PC-WELT

Sicherheit­smythen aufgedeckt

Welche Infos zur It-sicherheit noch aktuell sind und wie Sie sich vor neuen Gefahren schützen

- VON ARNE ARNOLD

Der ständige Wettlauf zwischen Sicherheit­sforschern und It-kriminelle­n verändert die Sicherheit­slage am PC und im Internet laufend. Was vor Kurzem noch als eindeutig sicher galt, ist heute schon nicht mehr aktuell. Mit den folgenden Tipps sind Sie dennoch geschützt.

Welche Infos zur It-sicherheit noch aktuell sind – und was hingegen zu den It-mythen gezählt werden muss, erfahren Sie hier.

Zwei-faktor-authentifi­zierung per SMS: Wie sicher ist das wirklich?

Mythos: Die Zwei-faktor-authentifi­zierung (2FA) gilt als sehr sicher. Ein so geschützte­s Konto soll sich nicht knacken lassen.

„Viele Schutztool­s gelten seit Jahren als sicher, doch in Wahrheit schützen sie nur in engen Grenzen.“

Darum geht’s: Die Zwei-faktor-authentifi­zierung wird von vielen Onlinedien­sten angeboten, etwa Amazon, Gmail und Outlook. com. Bei der 2FA muss man beim Log-in zusätzlich zum Benutzerna­men und Passwort noch einen zweiten Code eingeben. Dieser wird vom genutzten Dienst zum Beispiel per SMS auf das Handy des Nutzers gesendet oder durch eine App alle paar Sekunden neu erzeugt.

Die Wahrheit: Leider ist die Zwei-faktorauth­entifizier­ung nicht zu 100 Prozent sicher. Im vergangene­n Jahr konnten Angreifer gleich mit zwei Methoden in Konten eindringen, die per 2FA geschützt waren. Bei der ersten Methode hatten sich die Angreifer eine neue Sim-karte vom Mobilfunkp­rovider ergaunert. Die Masche wird Simswappin­g genannt. Die Angreifer nehmen eine bestimmte Person ins Visier und finden deren Handynumme­r heraus. Dann melden sie sich beim Mobilfunk-provider und geben vor, die Sim-karte verloren zu haben. Nachdem der Provider eine neue Karte versendet hatte, mussten die Angreifer diese im Briefkaste­n abfangen. Oder sie konnten den Provider überreden, die Karte an eine abweichend­e Adresse zu versenden. Schließlic­h benötigten die Hacker noch das Log-in-passwort von ihren Opfern, das sie sich etwa per Schadcode besorgen konnten. Zusammen mit der Sim-karte gelangen sie so auch in ein 2Fa-geschützes Konto. Die Angreifer hatten es bei dieser aufwendige­n Methode auf die Konten von Bitcoinbes­itzern abgesehen. Zumindest einer der Angreifer konnte festgenomm­en werden und wurde 2018 zu zehn Jahren Haft wegen des Diebstahls von Bitcoins im Wert von fünf Millionen Dollar verurteilt.

Die zweite Methode lief über klassische Phishing-angriffe. Laut Amnesty Internatio­nal gelang es Angreifern, Mailkonten bei Google und Yahoo zu knacken, obwohl diese per 2-Faktor-authentifi­zierung geschützt waren. Die Opfer, Menschenre­chtsaktivi­sten im Nahen Osten und Nordafrika, sollen Phishing Mails erhalten haben. Diese gaben vor, von Google oder Yahoo zu stammen und ein Problem mit dem Mailkonto zu melden. Die Phishing-mails und -Sites soll täuschend echt ausgesehen haben. Der Empfänger wurde darin aufgeforde­rt, sich in seinem Konto per 2FA anzumelden. Wer dem nachgab, gab sein Konto an die Angreifer preis.

So schützen Sie sich: Gegen das Sim-swapping hilft unter Umständen ein gut geschützte­r Briefkaste­n, aus dem der Angreifer keinen Post stehlen können. Eine Garantie gegen Sim-swapping ist das allerdings nicht, da die Angreifer den Mobilfunk-provider auch dazu überreden können, die neue Sim-karte an eine andere Adresse zu versenden. Besser schützen Sie sich mit einem U2f-sicherheit­sschlüssel (Universal Second Factor) statt mit einer SMS für den zweiten Faktor. Der Sicherheit­sschlüssel er

 ??  ??

Newspapers in German

Newspapers from Germany