Eine Million Nutzerkonten von Schweizern kompromittiert

Quelle: Swisscom Security Report 2017
Swisscom Security Report 2017: Von den grossen Datenlecks der vergangenen Jahre waren auch Schweizer Behörden und Firmen betroffen.
 
Wie so viele beobachtet auch Swisscom eine Zunahme des Identitätsdiebstahls und der Internetspionage. Rund eine Million Login-Informationen zu Nutzerkonten seien alleine von Schweizer Nutzern bei sieben Datenlecks von internationalen Anbietern wie Adobe, LinkedIn und Dropbox gestohlen worden. Dies macht der am Freitag veröffentlichte Security Report 2017 (PDF) von Swisscom erstmals publik.
 
Die Angreifer profitierten von verschiedenen Faktoren, schreibt der Telco: dem steigenden Wert der schützenswerten Assets, den neuen Angriffsmöglichkeiten durch technische Innovation und dem Zusammenwachsen von physischer und virtueller Welt sowie der veränderten Art und Weise wie Menschen zusammenarbeiten.
 
Dem Datendiebstahl widmet der Telco ein eigenes Kapitel. Die bereits seit Jahren anhaltende Serie von Data Breaches habe sich im Jahr 2016 eindrücklich fortgesetzt. Das Problem liege nicht nur bei den betroffenen Firmen und ihren Kunden, sondern betreffe auch Gesellschaft und Politik. Als Beispiel nennt Swisscom die Panama Leaks und den Wahlkampf in den USA.
 
Hochschulen, Grossfirmen, Provider kritischer Infrastruktur…
Um dies zu veranschaulichen, hat Swisscom die Daten der sieben grössten Data Breaches mit insgesamt über 890 Millionen betroffenen Nutzerkonten ausgewertet. Dazu hat der blaue Riese die Domainnamen der betroffenen Nutzer mit jenen aus unterschiedlichen Sektoren der Schweiz abgeglichen. Das Resultat: Behörden und Verwaltungen sind ebenso vom Datendiebstahl betroffen wie Grossfirmen, kritische Infrastrukturprovider, Hochschulen und private Nutzer (die detaillierten Angaben finden sich in der Tabelle oben).
 
Besonders problematisch wird das Abgreifen von Hashes von Passwörtern, wenn diese – wie das oft der Fall ist – für unterschiedliche Angebote genutzt werden, die die selbe Hashing-Methode verwenden. Warum das zum Problem wird und was Anbieter dank "Salz" und "Pfeffer" dagegen machen können, haben wir letztes Jahr geschrieben.
 
Wird das entwendete Passwort für das eigene E-Mail-Konto verwendet, kann sich der Angreifer durch die Funktion "Passwort vergessen" auch für Dienste, für die der User ein anderes Passwort nutzt, ein neues zuschicken lassen.
 
Fallbeispiel Swisscom: Fast 35'000 Mailkonten gesperrt
In einem Beispiel wird illustriert, wie Swisscom selber von so einem Fall betroffen war und wie systematisch und schnell die Kriminellen nach einem Datenklau vorgehen. So hätten sich gegen Ende August 2016 in der Security Community Stimmen gemehrt, dass die Daten von Dropbox-Nutzern in einschlägigen Foren im Untergrund gehandelt würden. Kurz danach seien die Daten im Internet frei verfügbar gewesen.
 
Am 8. September seien auf den Mailservern von Bluewin an einem einzelnen Tag über 10'000 verdächtige, jedoch erfolgreiche Logins von einer einzigen IP-Adresse aus dem Ausland verzeichnet worden. Die IP-Adresse, von der die Anmeldungen ausgegangen seien, sei sofort blockiert worden. Die bereits betroffenen 10'000 Mailkonten seien gesperrt und die Benutzer informiert worden.
 
Allein im Zeitraum März bis Dezember 2016 hat Swisscom 34'892 Mailadressen gesperrt, die durch ein oder mehrere Datenlecks exponiert waren.
 
Der blaue Riese weist vor dem Hintergrund der zunehmenden Bedrohung darauf hin, dass dank Wissen über Zusammenhänge und etwas Disziplin die Benutzer bei der Wahl und Verwendung ihrer Passwörter die Auswirkungen von Datendiebstahl minimieren können. Unternehmen ruft die Swisscom dazu auf, das Thema Bug Bounty ernsthaft zu prüfen und wenn möglich ein entsprechendes Programm einzuführen. (ts/sda)