Unter anderem der Email-Anbieter Gmx steht nach dem großen Datenklau nun in der Kritik. Foto: dpa

Nach dem großen Datenklau bei Politikern, Journalisten und Künstlern kursieren im Internet viele Thesen zu Datensicherheit. Unter anderem stehen Twitter und Gmx in der Kritik. Wir haben bei einem IT-Experten nachgefragt, was zutrifft und was nicht.

Berlin/Stuttgart - Der Skandal um massenhaft gestohlene Daten betraf dieses Mal Hunderte Politiker, Schauspieler und andere Prominente. Viele Menschen fragen sich: Wie konnte das passieren? Und was muss ich selbst tun, um meine Daten zu schützen? Auf Twitter und in anderen sozialen Netzwerken werden diese Fragen nun debattiert.

Lesen Sie hier: Das können Sie gegen Datenklau tun.

Manche Opfer wie der Youtuber Simon Wiefels, besser bekannt als Unge, äußerten sich dazu, wie in ihrem Fall auf die Daten zugegriffen werden konnten. Viele Thesen kursieren nun im Netz zum Datenklau. Zu den wichtigsten haben wir bei Dr. Stefan Köpsell nachgefragt. Köpsell forscht an der Professur Datenschutz und Datensicherheit der Technischen Universität Dresden sowie am Barkhausen-Institut.

These 1: Besonders bei Gmx gebe es Sicherheitslücken. Außerdem würden deutsche Anbieter in Sachen Sicherheit generell amerikanischen Firmen hinterherhinken.

In der Debatte um den Datenklau gerät nun unter anderem Gmx in Kritik, da der Anbieter inaktive Email-Adressen nach einem Jahr, in dem sie nicht genutzt werden, wieder frei gibt.

Gmx schreibt dazu selbst auf seiner Webseite: „Ist ein Gmx Konto sechs Monate inaktiv (...) wird der entsprechende Nutzer per E-Mail von uns informiert. Soweit eine alternative E-Mail-Adresse hinterlegt wurde, wird die Info auch an diese Adresse gesendet. Passiert daraufhin nichts, wird das Konto auf inaktiv gestellt. Die Adresse lässt sich jetzt noch ein halbes Jahr lang reaktivieren, wird nach Ablauf dieser Zeit aber neu vergeben. Achten Sie daher unbedingt darauf, dass Sie Ihren Kontakten eine Änderung Ihrer E-Mail-Adresse mitteilen. Sonst kann es unter Umständen passieren, dass Ihr bester Freund Ihnen Urlaubsfotos senden möchte, Ihre Adresse aber inzwischen von einem Dritten genutzt wird, den die privaten Bilder nichts angehen.“ Die Angaben stammen von 2015.

Gmx schickt vor Neuvergabe mehrere Emails

Ein Gmx-Sprecher bestätigte unserer Zeitung, dass diese Informationen nach wie vor zutreffen. Es dauere aber mindestens ein Jahr, bis eine Adresse neu vergeben werden könne, in der Praxis meist noch länger. Gmx weise seine Nutzer vor Ablauf dieses Jahres in mehreren Emails daraufhin, dass die entsprechende Email-Adresse von anderen Konten entfernt werden sollte. Der 19-Jährige aus Heilbronn, den das Bundeskriminalamt bei den Ermittlungen im Hacker-Angriff als Zeugen befragt hatte, hatte getwittert, dass der Täter „hauptsächlich Gmx-Accounts gehijacked“ habe. Dies könne man nicht bestätigen, sagte der Gmx-Sprecher unserer Zeitung.

Stefan Köpsell: „Dass deutsche Anbieter per se unsicherer sind als amerikanische, halte ich für zu pauschal. Denn wer amerikanische Anbieter nutzt, muss sich klar machen, dass die Daten dann auch auf amerikanischen Servern liegen. Manche Politiker haben den Datenklau ja als Angriff auf die Demokratie gewertet. Wenn man als Politiker wichtige Daten freiwillig auf US-amerikanischen oder generell ausländischen Servern hinterlegt, macht man sich potenziell für Angriffe auf die eigene Demokratie natürlich besonders verwundbar. Es gibt auch deutsche Anbieter wie posteo oder mailbox.org, die ganz explizit ein besonderes Augenmerk auf Sicherheit legen.“

„Zu der Neuvergabe von E-Mail-Adressen bei kostenlosen Anbietern wie beispielsweise Gmx lässt sich sagen, dass dies vermutlich tatsächlich passiert oder zumindest passiert ist. Zum einen vermerkt Gmx in seinen aktuellen AGBs: „Ungeachtet und unbeschadet einer Kündigung ist Gmx berechtigt, den Zugang zum Account des Kunden einzuschränken, wenn der Kunde seinen kostenlosen Account länger als sechs Monate nicht durch ein Login genutzt hat.“ Zum anderen wurde einer meiner Accounts, die ich bei Gmx seit 2002 – und seitdem nicht mehr genutzt – hatte freigegeben, sodass ich ihn jetzt wieder registrieren konnte. Insofern sollte man also sehr vorsichtig sein, wenn man selten genutzte E-Mail-Konten zur Kontowiderherstellung hinterlegt. Wird das entsprechende E-Mail-Konto dann durch den Anbieter freigegeben, so kann ihn jemand anderes registrieren und mittels der Passwortwiederherstellungsfunktion Zugriff auf die Dienste erlangen, bei denen die betreffende E-Mail-Adresse hinterlegt wurde.“

These 2: Zwei-Faktor-Authentifizierung bringe nichts.

Der Youtuber Simon Wiefels, besser bekannt als „Unge“, hatte erklärt, dass sein Twitter-Account unter anderem durch einen Fehler in der Zwei-Faktor-Authentifizierung gehackt worden war. Zwei-Faktor-Authentifizierung bedeutet, dass die Identität eines Nutzers mit zwei unterschiedlichen und unabhängigen Komponenten verifiziert wird. In Wiefels‘ Fall soll der Hacker sich Zugriff auf sein Gmail-Konto verschafft haben und darüber Twitter-Mitarbeiter überzeugt haben, die Zwei-Faktor-Authentifizierung zurückzusetzen. Ist Zwei-Faktor-Authentifizierung also unwirksam, wenn sie so leicht umgangen werden kann?

Authentifizierungs-Code als SMS oft unsicher

Stefan Köpsell: „Zwei Faktor-Authentifizierung kann nicht schaden. Aber ob sie wirklich hilft, ist die andere Frage. Zum Beispiel, wenn die Authentifizierung darin besteht, dass ich einen Code als SMS an mein Handy geschickt bekomme. Da kennen wir viele Beispiele aus dem Online-Banking, wo das nicht sicher war, weil Mobiltelefone wegen der vielen Apps, die Nutzer oft ohne größere Bedenken herunterladen, leicht angreifbar sind.“

These 3: Nur ein kleiner Teil der Daten zeuge von hoher technischer Expertise des Täters. Vielmehr hätten die Unbekannten offenbar zu einem großen Teil Schwachstellen in Passwörtern und in Prozeduren zu deren Wiederherstellung genutzt.

Stefan Köpsell: „Ich denke schon, dass das Ausmaß wesentlich geringer gewesen wäre, wenn mehr Menschen sich an bestimmte Grundregeln halten würden. Erstens: Sichere, also zufällige Passwörter nutzen. Der Mensch ist aber sehr schlecht darin, zu erkennen, was wirklich zufällig ist. Zum Beispiel reicht die Kombination aus Geburtsdatum und Autokennzeichen oder die Vorstellung, einmal quer über die Tastatur zu tippen, nicht aus. Deshalb sollte man einen Passwort-Manager nutzen, der wirklich zufällige Passwörter generiert.“

Passwort-Zettel für selten genutzte Dienste

Und Köpsell sagt weiter: „Zweitens: Für jeden Dienst ein anderes Passwort. Natürlich ist das unmöglich zu merken. Hier hilft wieder der Passwort-Manager. Gerade für Dienste, die man nur selten nutzt, empfehle ich: Passwörter zu Hause auf einem Zettel aufschreiben. Natürlich kann dann jemand in die Wohnung einbrechen und den Zettel klauen. Das ist aber wesentlich unwahrscheinlicher als ein Datenklau, wenn die Passwörter digital irgendwo hinterlegt sind.“

Sicherheitsfragen nicht wahrheitsgemäß beantworten

Als dritten Punkt schildert Köpsell: „Oft gibt es Sicherheitsfragen zur Wiederherstellung von Passwörtern, zum Beispiel der Mädchenname der Mutter oder dergleichen. Diese Fragen würde ich nie wahrheitsgemäß beantworten. Denn die Gefahr ist hoch, dass solche Informationen zum Beispiel über die sozialen Netzwerke irgendwann bekannt werden, besonders bei Menschen des öffentlichen Interesses wie Politikern. Auch hier: Lieber ein zufälliges Passwort als Antwort auf diese Fragen generieren lassen und zu Hause aufschreiben. Denn die Sicherheitsfragen nutzt man ja wirklich selten, da reicht es, wenn die Antworten zu Hause auf dem Zettel stehen.“