WIRTSCHAFT
18/06/2018 14:09 CEST | Aktualisiert 19/06/2018 07:56 CEST

Eine Hackerin enthüllt, was du online niemals machen solltest

"Ich werde mich niemals richtig sicher fühlen."

 
  • Die Hackerin “Snow” erklärt der HuffPost, welche Informationen ihr niemals online preisgegeben solltet.
  • Besonders in Fotos sollten keine vertraulichen Informationen wie Schlüssel oder Anschriften gezeigt werden.
  • Im Video oben ein verwandtes Thema: Hacker knackt alle Facebook-Accounts - und tut das einzig Richtige

Stephanie Carruthers ist eine “White Hat”-Hackerin, bekannt als Snow – unter ihren Kunden sind über 100 Firmen und Startups. 2014 gewann sie einen Wettbewerb auf der DEF CON, eine der ältesten und größten Hacking-Konferenzen der Welt. 

Carruthers hält häufig Vorträge bei Hacking-Conventions und teilt ihre Fachkenntnisse dort mit Unternehmen – in der Hoffnung, damit deren Online-Security zu verstärken.

Wir haben Snow über Twitter nach ihrer Arbeit gefragt und welche Tipps sie für uns hat, um im Internet sicherer zu sein.

HuffPost: Was genau ist ein “White Hat”-Hacker?

Stephanie Carruthers: Ein “White Hat”-Hacker ist ein ethischer Hacker. Genauer gesagt betreibe ich Social Engineering oder Social Hacking. Um auf einfache Weise zu erklären, was ich mache, sage ich immer: “Ich lüge und breche in Gebäude ein”.

Ich erfasse verschiedene Formen von Datenerhebungen, wie zum Beispiel Phishing-Kampagnen und physikalische Sicherheitsbewertungen. Ich arbeite mit dem Ziel, meinen Klienten zu zeigen, wo ihre Schwachstellen liegen, damit sie diese beheben können, bevor ein richtiger Hacker sie findet.

Wie bist du dazu gekommen?

Social Engineering wurde zu meiner Leidenschaft, als ich bei dem Wettbewerb “Social Engineering Capture the Flag” auf der DEF CON teilnahm – und ich hatte das Glück, in diesen Job hineinzuwachsen.

Wie sicher fühlst du dich persönlich online?

Ich würde niemals behaupten, dass ich selbst unangreifbar bin. Datenlecks ständig, sie sind schon fast die Norm. Und aus diesem Grund glaube ich nicht, dass ich mich online jemals wirklich sicher fühlen werde. Darum treffe ich für mich so viele Vorsichtsmaßnahmen, wie es nur möglich ist.

Mehr zum Thema: DSGVO: Was die EU-Datenschutz-Grundverordnung für jeden bedeutet

Was sind die dümmsten Sachen, die Menschen online gepostet haben?

Ich versuche, Dinge nicht als dumm zu bezeichnen, eher als uninformiert. Wenn die Menschen wirklich verstehen würden, was das Risiko dieses Inhalts ist, den sie online stellen, würden sie es sich wahrscheinlich noch mal überlegen.

Abgesehen davon habe ich einige Dinge online gesehen, bei dem derjenige die Gefahr einfach nicht verstanden hat, wie zum Beispiel:

► Fahranfänger: Aufgeregte Teenager (oder sogar die Eltern) machen stolz eine Nahaufnahme von ihrem neuen Führerschein mit all ihren persönlichen Informationen, inklusive Adresse.

► Neue Hausbesitzer: Hausbesitzer machen ein feierliches Bild ihres neuen Hausschlüssels und markieren den Ort ihres neuen Hauses, ohne zu bemerken, dass es dadurch sehr einfach ist, eine Kopie von ihrem Schlüssen zu machen – und das nur von einem Foto.

► Angestellte: Angestellte machen oft Selfies, ohne darauf zu achten, was im Vorder- oder Hintergrund auf dem Bild zu sehen ist – einschließlich Passwörter, Daten auf Whiteboards, Computerbildschirme, Voicemail-Passwörter, die auf den Telefonen kleben und so weiter. Und, aus welchen verrückten Gründen auch immer, posten Angestellte Bilder von ihren Gehaltsabrechnungen.

Während einige vielleicht denken, dass solche Posts nicht so schlimm sind, können Hacker diese Art von Bildern zu ihrem Vorteil nutzen.

Was sollte man bei Social Media-Seiten nie machen?

Etwas posten, ohne nachzudenken. Punkt. Bevor du etwas postest, stell dir selbst diese Fragen: Was für eine Information stelle ich online? Was ist im Hintergrund von meinem Bild zu sehen? Wenn ich mich an mir selbst rächen würde – wie würde ich diese Information gegen mich verwenden?

COURTESY OF SNOW
Stephanie Carruthers arbeitet als "White Hat" Hacker unter dem Namen Snow gegen Online-Kriminalität.

Welche Social Media-Seite macht uns deiner Meinung nach am leichtesten angreifbar?

Ich denke, dass Facebook die meisten Informationen herausgibt – hauptsächlich weil Facebook sich auf haufenweise Daten bezieht, wie deine Freunde, Kollegen, Familie, dein Job, deine Hobbys, deine Kinder und so weiter.

Viele Antworten auf Sicherheitsfragen (die für Online-Banking und Passworterneuerung benutzt werden) kann man finden, indem man einfach auf einen Facebook-Account von jemandem guckt.

Darüber hinaus macht Facebook keinen guten Job, deine Privatsphäre zu schützen – Social Media funktioniert nicht sonderlich gut, wenn jeder verschlossen und eingeschränkt ist. Vieler User denken zum Beispiel gar nicht daran, ihre Privateinstellungen zu verändern.

Würde Gesichtserkennungstechnologie Betrüger davon abhalten, Fake-Profile zu erstellen?

Gesichtserkennung mag vielleicht helfen, Fake-Accounts zu reduzieren, aber das würde sie nicht auslöschen. Hacker sind sehr listige Menschen und genießen es, Wege zu finden, diese Hindernisse zu umgehen. Es ist ein Katz-und-Maus-Spiel.

Auf der anderen Seite stärken wir Facebook, je mehr persönliche Informationen wir preisgeben. Ich kenne viele Menschen, die ihre Privatsphäre so sehr schätzen, dass sie sich mit falschem Namen anmelden und ein nicht-menschliches Bild auf ihren Social Media-Accounts nutzen.

Um zu vermeiden, als Fake-Profile wahrgenommen zu werden, müssten sie Facebook ihren richtigen Namen und ihr Gesicht geben. Das ist so ähnlich wie die Idee von Facebook, uns nach Nackt-Bildern zu fragen um Rachepornos zu verhindern. 

Wenn Facebook diese Daten hat, wird es wesentlich einfacher, sie automatisiert zu suchen und zu zerstören. Wie auch immer, wir kommen immer wieder zu dem Vertrauensproblem zurück, denn das ist das kleinere Übel.

Mehr zum Thema: Mediziner: So gefährlich sind Hacker-Angriffe auf Hightech-Implantate

Passwort und Sicherheitsfragen: Warum passieren Vertragsbrüche?

Datenlecks können aus verschiedenen Gründen zustande kommen, wie zum Beispiel wegen Social-Engineering-Attacken, Lücken bei der Anmeldung, lückenhafte Server, fehlende physikalische Sicherheitskontrollen, schwache oder gestohlene Anmeldedaten und so weiter. Wenn diese Schwachstellen durchgehend existieren, werden die Datenverstöße weiter passieren.

Was für jeden vorteilhaft ist: Lege dir gute Passwort-Angewohnheiten zu. Passwörter sind eine Mischung aus individueller und firmenbezogener Verantwortung.

Hier sind einige Dinge die du machen kannst, um dich zu schützen:

► Hör auf, immer wieder die gleichen Passwörter zu verwenden, ändere dein Passwort regelmäßig und benutze einen Passwort-Manager. Du solltest für alles ein starkes und einzigartiges Passwort benutzen.

► Lüge bei den üblichen Sicherheitsantworten. Du musst nicht den echten Geburtsnamen deiner Mutter angeben. Benutze etwas anderes, das nicht so einfach erraten werden kann.

► Benutze die Zwei-Faktor-Authentifizierung. Die meisten Seiten haben eine Option, bei der du diese zusätzliche Sicherheitseinstellung finden kannst.

Wer sind die ganzen Betrüger/Hacker, die unsere Informationen wollen?

Betrüger greifen die Möglichkeiten an, die sich ihnen bieten. Wie viele andere illegale Aktivitäten, kommen Hacks zustande, weil die Belohnung das Risiko übertrifft.

In den meisten Fällen ist das so, weil die örtlichen Gesetze kein großes Risiko für die Angreifer darstellen. Letztendlich ist es egal, wer oder wo der Angreifer ist. Es geht darum, dass es Informationen gibt, die er haben will und die Mittel und Fähigkeiten hat, sie zu bekommen – vorausgesetzt, die Belohnung ist es wert.

In vielen Fällen sind Hacker furchtbar erfolgreich. Denn es gibt ganze Betriebe mit tausenden von Hackern. Die haben richtige Strukturen mit Quoten, Hierarchien und internen Weiterbildungen. 

Mehr zum Thema: Entwickler warnt: Wer seine Fotos für Apps freigibt, riskiert seine Privatsphäre

Was sollten sich normale Internetnutzer auf jeden Fall merken?

Sie sollten einfach daran denken, dass diese Sicherheitsprobleme so schnell nicht verschwinden werden. Außerdem: Du kannst dich nicht zum sichersten Menschen der Welt machen.

Aber du kannst dich besser absichern als andere. Das Ergebnis: Die Angreifer geben hoffentlich auf und versuchen es bei jemand anderem. Wie das Sprichwort: “Du musst nicht schneller als der Bär sein, um davon zu kommen. Du musst nur schneller rennen als der Typ neben dir”. 

Dieser Artikel erschien ursprünglich bei der HuffPost USA und wurde von Martina Zink aus dem Englischen übersetzt und angepasst.

(ks)