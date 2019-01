Sie gilt als das größte jemals entdeckte Datenleck bisher: Eine am 16. Januar publik gemachte Liste mit gehackten knapp 773 Millionen E-Mail- und Passwortdaten von Internetnutzern macht auf dramatische Weise deutlich, wie fahrlässig bei vielen der Umgang mit teils vitalen Informationen im World-Wide-Web bis heute ist. „Das betrifft jeden“, sagt Andreas Veltman. Der Gronauer IT-Sicherheitsexperte stellt lakonisch fest: „Auf der Liste sind ja praktisch alle.“

Der richtige Umgang mit Server, Nutzerprofilen und Passwörtern

Der dreifache Vater muss nicht weit gucken, um zu sehen, wie risikofreudig manche – bewusst oder unbewusst – im Netz unterwegs sind: „Die haben auch vom Vater nichts gelernt“, lacht er. Seit 17 Jahren ist er als einer von drei Geschäftsführern beim 1992 gegründeten IT-Unternehmen Amexus mit Hauptsitz in Ahaus in Sachen IT-Sicherheit Ansprechpartner für Unternehmen aus der Region und darüber hinaus. Meist sind es kleine und mittlere Betriebe. Und oft müssen sie erst lernen, wie wichtig der richtige Umgang mit Server, Nutzerprofilen und Passwörtern ist.

Webseite „Have I been pawned“

„Es könnte im Widerspruch zu traditionellem Denken stehen, aber unverwechselbare Passwörter in ein Buch zu schreiben und sie in ihrem physisch verschlossenen Haus zu behalten, ist eindeutig besser, als dasselbe überall im Internet wiederzuverwenden“, erklärt Troy Hunt dazu in seinem Blog über das „Monster-Datenleck“. Der Australier betreibt die Webseite „Have I been pawned“, wo jeder überprüfen lassen kann, ob er vom Datenklau betroffen ist. Hunt hatte als erster die Existenz der Liste, die in einem Hacker-Forum aufgetaucht war, publik gemacht.

„Angriffe aus China werden immer mehr“

„Wer an Ihre Daten will, der kommt da auch ran.“ Die Auswertungen der von seinem Betrieb installierten Firewalls zeigen: „Angriffe aus China werden immer mehr.“ Veltmans Unternehmen hat eigens eine Grafik erstellt, um die verschiedenen Stufen von IT-Sicherheit in Unternehmen sichtbar zu machen. Gerade mit Blick auf Industriespionage werde das nämlich auch für kleine Unternehmen, die eine spezialisierte Nische bedienen, brisant. Die Grafik unterteilt den Umgang mit dem Thema in Firmen in fünf Kategorien: von „chaotisch“ bis „geschäftsorientiert“.

„Irgendwann kommt dann der große Alarmruf“

Viele ließen das Ganze zunächst auf sich zukommen, so die Erfahrung, erklärt Veltman. „Die meisten denken, was interessiert es die Chinesen, was ich mache.“ Damit laufe er ins offene Messer. „Irgendwann kommt dann der große Alarmruf.“ Dann müssen er und seine Leute „Feuerwehr“ spielen. Ziel sei es aber, dass das immer weniger notwendig ist.

Gerade Inhaber geführte Unternehmen zögerten oft, „weil es direkt ins Portemonnaie geht“. Wenn aber jemand bereit sei, für zwei Millionen Euro eine Maschine für die Produktion anzuschaffen, aber nicht in die IT-Sicherheit investieren wolle, die vielleicht 1000 Euro pro Jahr koste, habe er womöglich anschließend das Nachsehen, wenn jemand in seine Systeme eindringt. „Dann ist das vielleicht wirklich so, dass ganze Server verschlüsselt sind.“

Häufigster Fehler

Häufigster Fehler im Privaten wie im Betrieb: unsichere Passwörter, „wenn Sie bei 50 Diensten angemeldet sind und ein und dasselbe Passwort haben“. Ebenso beliebt: Kreativlosigkeit. Passwörter wie „4711“, „0815“, „Hallo“ oder sogar „1234567“ gehören auf jeden Fall zu denen, die sich auf Listen mit den beliebtesten Passwörtern wiederfinden, die Hacker abarbeiten. Dabei ist es relativ leicht, ein Maximum an Sicherheit herzustellen, beherzigt man einige einfache Regeln: „Je länger ein Passwort ist, umso länger braucht der Hacker, um es zu knacken.“

Ein gutes Passwort sollte aus mindestens zehn Zeichen – „besser noch zwölf oder sogar mehr“ – bestehen und neben Groß- und Kleinbuchstaben auch Ziffern und Sonderzeichen enthalten. Und es sollte alle drei Monate gewechselt werden.

Er empfehle auch die Nutzung eines Passwort-Managers wie etwa „LastPass“, die als Applikation aus den gängigen App-Stores verfügbar sind. Diese Programme generieren Passwörter aus Zufallskombinationen und verwalten sie in einer Art „Safe“, für den man sich dann nur noch ein Hauptpasswort, den „Masterkey“ merken muss. Einzige Krux: „Wenn man den Masterkey verliert, wird es schwierig, den wieder herzustellen.“

Die „Zwei-Faktor-Authentifizierung“

Ebenfalls eine gute Möglichkeit sei die „Zwei-Faktor-Authentifizierung“, bei der neben dem Passwort ein jeweils aktuell per SMS erhaltener Code fürs Einloggen benötigt wird. Das bietet maximale Sicherheit. Und: „eine vernünftige Datensicherung.“ Denn auch SMS können abgefangen werden. „Hundertprozentige Sicherheit kriegt man nicht hin.“