5. Die US-Republikaner: Eines der Data-Analytics-Unternehmen der Republikanischen Partei der USA (GOP) machte versehentlich die personenbezogenen Daten von 198 Millionen Amerikanern öffentlich zugänglich. Das entspricht in etwa der gesamten stimmberechtigten Bevölkerung der Vereinigten Staaten. Cybersecurity-Experte Archie Agarwal beschrieb den Vorfall als "Goldmine für jeden, der es auf Wahlberechtigte abgesehen hat und diese manipulieren möchte". Die Daten waren auf einem AWS-Server gespeichert - ohne Passwort-Schutz.
4. US-Verteidigungsministerium (DoD): Booz Allen Hamilton - Auftragnehmer des US-Verteidigungsministeriums - setzte das Pentagon einem enorm hohen Sicherheitsrisiko aus, als das Unternehmen kritische Daten auf einem Amazon-Server ablegte - ohne diese mit einem Passwort zu schützen. Zu den offengelegten Daten gehörten wiederum mehrere unverschlüsselte Passwörter, mit denen man sich Zugang zu vertraulichen Informationen verschaffen konnte.
3. Die britische Regierung: Ermittlungen der "Times" ergaben im Juni, dass russische Hacker regen Handel mit Tausenden von Passwörtern britischer Regierungsvertreter trieben. Betroffen waren Parlamentsabgeordnete und Mitarbeiter des Auswärtigen Amtes, darunter dessen IT-Chef. Die meisten der Passwörter wurden zwar bereits bei früheren Datenlecks abgegriffen, aber trotzdem nicht geändert. So hatten es die russischen Hacker besonders leicht, sich Zugang zu den jeweiligen Konten zu verschaffen. Beunruhigend ist vor allem das beliebteste Passwort unter den Regierungsvertretern: "Password".
Randnotiz: Bei einem anderen Zwischenfall im Dezember ließen mehrere britische Parlamentsabgeordnete auf Twitter verlauten, dass sie ihre Passwörter regelmäßig mit anderen teilen. So wollten sie einen Kollegen verteidigen, der ihrer Meinung nach irrtümlich einer Verfehlung bezichtigt wurde. Laut Sicherheitsforscher Troy Hunt weist dieser Vorfall "auf einen verheerenden Mangel an Wissen zu den Themen Datenschutz und IT-Sicherheit hin."
My staff log onto my computer on my desk with my login everyday. Including interns on exchange programmes. For the officer on @BBCNews just now to claim that the computer on Greens desk was accessed and therefore it was Green is utterly preposterous !!
— Nadine Dorries (@NadineDorries) 2. Dezember 2017
2. Equifax: Kriminelle Hacker verschafften sich die persönlichen Daten von knapp 150 Millionen Menschen in den USA, Großbritannien und Kanada über die Systeme des US-Finanzdienstleisters. Security-Experte Brian Krebs deckte auf, dass das Unternehmen für einige seiner Online-Portale die Login-Kombination "admin/admin" verwendete. Zwar bleibt weiterhin unklar wie genau es zu diesem Leck kommen konnte, doch liegt auf der Hand, dass der fahrlässige Umgang mit Passwörtern seitens Equifax die Daten von Millionen Menschen in Gefahr gebracht hat.
1. Donald Trump: Der US-Präsident steht an der Spitze der diesjährigen Security-Sünder. Und das aus gutem Grund. Denn für jemanden, der wiederholt die IT-Security-Verfehlungen seiner politischen Gegner angeprangert hat, bekleckert sich "POTUS" selbst nicht gerade mit Security-Ruhm. Im Januar 2017 wurde durch Ermittlungen des TV Senders "Channel 4 News" bekannt, dass viele hochrangige, von Trump persönlich ausgewählte Stabsmitglieder unsichere (weil viel zu simple) Passwörter verwendeten. Unter den hochrangigen Politikern waren auch mehrere Kabinettsmitglieder und Regierungsvertreter - offenbar auch der Cybersecurity-Beauftragte Rudy Giuliani. Die entsprechenden Passwörter wurden parallel für mehrere Websites und private E-Mail-Konten genutzt. Inzwischen ist davon auszugehen, dass diese laxen Passwort-Gewohnheiten für eine ganze Reihe von Datenschutzverletzungen zwischen 2012 und 2016 verantwortlich waren.
Trump verfügt auch über direkte Beziehungen zu drei der anderen "Spitzensünder". Das legt die Vermutung nahe, dass er für keine seiner Positionen vernünftige Cybersecurity-Protokolle implementiert hat. Schließlich wurden 2017 auch mehrere Websites der "Trump Organization" gehackt, während Security-Experten weiterhin die Sicherheit des präsidialen Mobile Devices und der Social-Media-Konten in Frage stellen.
Werden Sie nicht zum Passwort-Sünder!
Ein Präsident, der seine eigenen Cybersecurity-Verdienste in den höchsten Tönen lobt, möglicherweise aber am Ende selbst für zahlreiche schwere Sicherheitslücken verantwortlich war, ist nur die Spitze des Eisbergs. Denn die Verfehlungen der größten Security-Sünder 2017 sind leider alles andere als vergänglich. Sollten Sie ähnlichen IT-Security-Frevel zu verantworten haben, tun Sie gut daran, sich ausgiebig an den folgenden drei Passwort-Lektionen zu laben:
Passwortschutz ist Pflicht
Nur ein starkes Passwort ist ein gutes
Mehrfachnutzung ist der Teufel
Wenn Sie sich jetzt fragen, wie Sie das nun wieder bewerkstelligen sollen - werfen Sie unbedingt einen Blick auf folgende Beiträge:
In jedem Fall sollte Passwort-Sicherheit auf Ihrer Prioritätenliste ganz weit oben stehen, egal ob im Unternehmensumfeld oder privat.
- Tipp 1: Varianz ist wichtig
Inzwischen ist eigentlich mehr die Frage, wann, und nicht ob der Passwort-Leak kommt. Dabei können Sie den Schaden minimieren, wenn Sie für JEDEN Online-Account ein eigenes Passwort verwenden. Natürlich ist es schwer, sich all diese Passwörter zu merken - insbesondere wenn es keine vorhersehbaren sein sollen. Da kommen die Passwort-Manager ins Spiel. Wenn Sie das Problem mit vielen Passwörtern kennen, sollten Sie sich einen besorgen. Die Software gibt's inzwischen für die meisten Browser und Betriebssysteme - auch für Mobile Devices. - Tipp 2: Komplexität wahren
Die meisten Passwort-Manager können komplexe Passwörter generieren. Dieses Feature ist wichtig, weil die meisten Websites Passswörter in Form sogenannter 'Hashes' abspeichern. Je nach Algorithmus können diese Hashes geknackt werden. Für diesen Fall sorgt ein sehr komplexes Passwort dafür, dass ein Angreifer sich schwer tut, es auszulesen. Daher empfehlen sich Passwörter mit mindestens zwölf Zeichen - unter Verwendung von Groß- und Kleinschreibung, Zahlen und Sonderzeichen. <br />Normalerweise müssen Sie sich mit einem Passwort-Manager nur noch ein Master-Passwort merken. Außerdem sollten Sie sicherheitshalber die Kennungen für wichtige Accounts (zum Beispiel E-Mail) im Fall der Fälle parat haben, falls der Passwort-Manager aus irgendeinem Grund nicht verfügbar ist. Kleiner Trick: Wort-Sequenzen mit Zahlen und Großbuchstaben sind ebenso schwer zu knacken wie generische. Zum Beispiel: "KatzenHundeHasenMeine3Lieblingstiere". - Tipp 3: On- oder offline?
Passwort-Managern liegen verschiedenen Sicherheits-Konzepten zu Grunde. Ein Offline-Manager synchronisiert die Daten nicht über verschiedene Devices hinweg. Sie müssen also die verschlüsselte Datenbank nach jeder Kennwort-Änderung anfassen. Oder Sie benutzen einen Cloud-Service wie Dropbox, um zu synchronisieren. Online-Passwort-Manager synchronisieren Ihre Passwörter über all Ihre Geräte - einige bieten sogar webbasierten Zugriff auf die Datenbank. <br /> Wenn Sie sich für eine der servicebasierten Implementationen entscheiden, achten Sie dabei auf die Architektur und darauf, dass die Datenbank lokal innerhalb der Applikation oder dem Browser entschlüsselt wird - so dass das Master-Passwort niemals in den Zugriffsbereich des Service-Providers gelangt. - Tipp 4: Nicht nur einen Master
Streng genommen dürfte es eigentlich keine gute Idee sein, all seine Kennungen mit nur einem Master-Passwort zu schützen - schließlich entsteht daraus eine große Angriffsfläche. Aus diesem Grund bieten einige Passwort-Manager eine Zwei-Faktor-Authentifizierung. In diesem Fall kann für den Zugriff auf die Datenbank ein zusätzlicher Eingabecode eingerichtet werden. Sie sollten auf dieses Feature achten und es bei Verfügbarkeit aktivieren. <br><\br> Auch wenn Sie einen Passwort-Manager nutzen: Wenn einer Ihrer Online-Accounts ebenfalls eine Zwei-Faktor-Authentifizierung bietet, nutzen Sie diese. Eine zusätzliche Schutzschicht kann nicht schaden. - Tipp 5: Möglichkeiten nutzen
Nutzen Sie weitere Security-Optionen, die Ihr Passwort-Manager bietet. Einige bieten beispielsweise die Option eines automatischen Log-Offs - was insbesondere bei Nutzung von öffentlichen Rechnern wichtig ist. Auch solche Features können dabei helfen, eine Infektion des Computers mit Malware oder Viren zu verhindern.