Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Via Twitter wurde das Ultimatum angekündigt – doch Troy Hunt relativiert... screenshot: twitter

Sie wollen Millionen iPhones löschen – so schützt du dich vor den Apple-Erpressern

Die Turkish Crime Family droht mit der iCloud-Apokalypse. Bullshit, versichert ein ausgewiesener Experte. Du solltest trotzdem prüfen, ob deine Login-Daten auf bekannten Hacking-Listen auftauchen. So geht's!



Update 8. April: Über ihren Twitter-Account behaupten die Erpresser, sie hätten Geld in Form einer Bitcoin-Transaktion erhalten. Verifiziert wurde der Absender bislang nicht.

Die ursprüngliche Story:

Längst vergessene Hackerangriffe können hässliche Nachwehen haben: Dies demonstriert uns dieser Tage die Erpresserbande Turkish Crime Family.

Die Unbekannten haben angekündigt, sie würden die iPhones von Hunderten Millionen Usern löschen – falls Apple nicht das geforderte Lösegeld (Hunderttausende Dollar in Form von iTunes-Gutscheinen) bezahle.

Das Ultimatum läuft heute Freitag um 20.30 Uhr (MEZ) ab...

Das Internet reagiert wie zu erwarten:

Wie ernst ist die Lage?

Apple sah sich nach alarmierenden Medienberichten zu einer Stellungnahme veranlasst und versicherte den Kunden, die auf den iCloud-Servern gespeicherten Daten seien sicher.

«Es gab bislang keinerlei Sicherheitsverletzungen in irgendeinem der Dienste von Apple, inklusive iCloud und Apple ID. Die angebliche Liste mit E-Mail-Adressen und Passwörtern scheint von früher kompromittierten Diensten von Drittanbietern zu stammen (...).»

Apple-Stellungnahme. quelle: watson

Fakt ist: Die Erpresser sind keine Super-Hacker: Offenbar wollen sie von Dritten erbeutete Login-Daten für eigene Zwecke missbrauchen. In falscher Sicherheit wiegen sollte sich aber niemand.

In den vergangenen Jahren sind verschiedenen Online-Diensten die Login-Daten (E-Mail-Adressen und Passwörter) von Kunden abhanden gekommen. Ein besonderes Risiko geht von Angriffen aus, von denen die Betroffenen nicht gehört haben.

Die Wahrheit tut weh

Wenn Hacker fremde Login-Daten erbeuten, finden die «Breaches» früher oder später den Weg ins Internet und die sensiblen Informationen werden über einschlägige Plattformen, Untergrund-Foren und Suchmaschinen weiterverbreitet.

Die Swisscom beschreibt in ihrem aktuellen Sicherheitsbericht (hier als PDF), was mit erbeuteten Daten passiert:

Hier kommen Webseiten wie «Have I Been Pawned» (HIBP) ins Spiel. Das sind kostenlose Dienstleistungen, über die auch Laien herausfinden, ob eigene Login-Daten im Internet kursieren. Aber Vorsicht! Bevor man in einem Online-Formular die eigene Mailadresse übermittelt, sollte man den Anbieter kennen.

watson empfiehlt folgende seriöse Seiten:

Bei beiden lässt sich in kurzer Zeit herausfinden, ob eigene Daten in bekannten Hacking-Listen auftauchen.

Bild

Hinter dem Identity-Leak-Checker steht das deutsche Hasso-Plattner-Institut für Softwaresystemtechnik. Das ist ein privat finanziertes Hochschul-Institut. Namensgeber ist einer der (stinkreichen) Mitgründer des Software-Konzerns SAP.

Troy Hunt ruft «Bullshit»

«Have I Been Pawned» ist ein Projekt des Microsoft-Managers Troy Hunt. Er gilt als Vorreiter solcher Services und geniesst über die IT-Sicherheits-Branche hinaus einen guten Ruf.

Und hier schliesst sich der Kreis zu der aktuellen iCloud-Erpresserbande. Troy Hunt konnte nämlich einen kleinen Teil des Datensatzes, den die Kriminellen besitzen, untersuchen. Sein Fazit: Die Turkish Crime Family besitze keinesfalls Hunderte Millionen funktionierende iClouds-Logins von Apple-Kunden.

Bild

screenshot: itnews.com.au

Bild

Der IT-Sicherheitsexperte Troy Hunt hat analysiert, woher geleakte Apple-Passwörter stammen. screenshot: troyhunt.com

Zu den Erpressern selbst hat Troy Hunt ebenfalls eine klare Meinung: Er teile die Einschätzung, dass es sich um unreife Persönlichkeiten – möglicherweise «Kinder» – handle.

So sieht übrigens die Warnung bei Troy Hunts Online-Dienst HIBP aus, wenn eine Mailadresse nach einem Hackerangriff (hier Dropbox, 2012) tatsächlich im Web kursiert 😳

Bild

screenshot: haveibeenpwned.com

Pluspunkt: Man kann bei HIBP eine automatische Benachrichtigung einrichten, um in Zukunft gewarnt zu werden, falls eine Mailadresse nach einem Datenklau im Web auftaucht.

Was soll ich tun?

Zwingend anzuraten ist allen Internet-Nutzern, für verschiedene Online-Dienste unterschiedliche Passwörter zu nutzen.

Falls es bei den oben erwähnten Diensten «Treffer» gibt, sollte man schleunigst alle Logins mit der gleichen Mailadresse prüfen und wenn nötig die Passwörter ändern!

Wenn man für verschiedene Dienste zusätzlich je nach Risiko auch unterschiedliche E-Mail-Adressen verwendet, schafft man zusätzliche Sicherheit und bändigt die Datensammelwut der Anbieter. Denn Kundendaten sind wertvoll und werden gerne weiterverkauft (was in der Regel im Kleingedruckten steht).

Die häufigsten Kennwörter aus allen erfassten Leaks sind:

Bild

screenshot: sec.hpi.de

Vorbeugen – und einen Passwort-Manager verwenden!

Empfehlenswert ist auch die sogenannte Zwei-Faktor-Authentifizierung. Bei der ersten Anmeldung auf einem neuen Computer erhält man einen zusätzlichen PIN auf ein vorher festgelegtes Mobilgerät, in der Regel ist das das Smartphone.

Das schafft zwar zusätzliche Arbeit, schützt aber vor Ärger. Beim Verwalten der Passwörter helfen kostenlose Passwort-Manager wie KeePass, die sich problemlos auf PC, Tablets, Smartphones und mit allen gängigen Betriebssystemen nutzen lassen.

KeePass ist kostenlos und ein Open-Source-Projekt, der Quellcode wird also von unabhängigen Experten geprüft. Als kostenpflichtige Alternative gibt es kommerzielle Dienste wie LastPass oder 1Password. Diese Anbieter reagieren in der Regel viel schneller auf neu entdeckte Schwachstellen.

Umfrage

Welche Passwort-Manager verwendest du?

  • Abstimmen

1,345

  • Keinen! 😒55%
  • LastPass5%
  • 1Password16%
  • KeePass12%
  • DashLane1%
  • RoboForm1%
  • Anderen (bitte ins Kommentarfeld schreiben)10%

Mit Material der Nachrichtenagentur SDA

Das könnte dich auch interessieren:

Warum wir bald wieder über den Schweizer Pass reden werden

Link zum Artikel

«Ich hatte Sex mit dem Ex meiner besten Freundin…»

Link zum Artikel

Die amerikanische Agentin, die Frankreichs Résistance aufbaute

Link zum Artikel

Matheproblem um die Zahl 42 geknackt

Link zum Artikel

Wie gut kennst du dich in der Schweiz aus? Diese 11 Rätsel zeigen es dir

Link zum Artikel

«In der Schweiz gibt es zu viel Old Money und zu wenig Smart Money»

Link zum Artikel

So schneiden die Politiker im Franz-Test ab – wärst du besser?

Link zum Artikel

Röstigraben im Bundeshaus: «Sobald ich auf Deutsch wechsle, sinkt der Lärm um 10 Dezibel»

Link zum Artikel

So erklärt das OK der Hockey-WM in der Schweiz die Ähnlichkeit zum Tim-Hortons-Spot

Link zum Artikel

Die Geschichte von «Ausbrecherkönig» Walter Stürm und seinem traurigen Ende

Link zum Artikel

«Informiert euch!»: Greta liest den Amerikanern bei Trevor Noah die Leviten

Link zum Artikel

Keine Angst vor Freitag, dem 13.! Diese 13 Menschen haben bereits alles Pech aufgebraucht

Link zum Artikel

Der Kampf einer indonesischen Insel gegen den Plastik

Link zum Artikel

«Ich bin … wie soll ich es sagen … so ein bisschen ein Arschloch-Spieler»

Link zum Artikel

Alles, was du über die neuen iPhones und den «Netflix-Killer» von Apple wissen musst

Link zum Artikel

15 Bilder, die zeigen, wie wunderschön und gleichzeitig brutal die Natur ist

Link zum Artikel

Shaqiri? Xhaka? Von wegen! Zwei Torhüter sind die besten Schweizer bei «FIFA 20»

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

33
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
33Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • Darkglow 08.04.2017 20:43
    Highlight Highlight Enpass
  • Fulehung1950 08.04.2017 09:57
    Highlight Highlight Kaspersky Password Manager
  • Stichelei 08.04.2017 08:26
    Highlight Highlight SplashID
    • Stichelei 09.04.2017 13:39
      Highlight Highlight Ab und zu frage ich mich schon, mit was für Leuten ich so im gleichen Land lebe. Kann mir irgendjemand nur einen halbwegs vernünftigen Grund sagen, wieso man einen Kommentar blitzt, der nur aus der Nennung des benutzten Passwortmanagers besteht?
  • purzelifyable 07.04.2017 18:36
    Highlight Highlight SplashID Safe.
  • G. 07.04.2017 18:27
    Highlight Highlight SplashID
  • Barracuda 07.04.2017 18:20
    Highlight Highlight Ich habe immer noch nicht verstanden, weshalb man einen Passwort-Manager benutzen soll. Da braucht ein Hacker ja nur noch ein einziges Passwort, um an alle meine Logindaten und Passwörter zu kommen. Gut möglich, dass ich das vielleicht etwas falsch verstehe... Kann da jemand Licht ins Dunkel bringen?
    • virus.exe 08.04.2017 08:13
      Highlight Highlight Dann machs wie ich und speichere NIE ein Passwort 1:1 im Manager ab. Irgendwo ist immer ein Fehler drin. Aber die Eselsbrücke hilft mir...
  • Mumped 07.04.2017 13:49
    Highlight Highlight Ich benutze Evernote als "Passwortmanager". Meint ihr das ist sicher genug? Oder bieten speziell ausgewiesene Passwortmanager bessere Verschlüsselungsalgorithmen?
    • Freddie 07.04.2017 14:37
      Highlight Highlight Die von Apple und Google selber?
      Keychain von Apple fand ich super. Konnte man auch einfach bearbeiten und man hatte die Pw immer verfügbar. Nun Android...Google Passwords finde ich leider nicht so toll. Aber es gibt ja jenste PW-Manager.
    • Alnothur 07.04.2017 14:38
      Highlight Highlight Da kannst du es auch gleich in einem Forum posten.
  • Zwerg Zwack 07.04.2017 12:49
    Highlight Highlight Ich benutze ein Passwortschema bestehend aus einem Basispasswort, in welches ich jeweils den zweiten Buchstaben und die Anzahl Buchstaben als Zahl des Dienstes oder der Webseite an bestimmen Stellen einfüge. Z.B. für Watson: basispasswort --> basisApass6wort.
    Dadurch habe ich für fast alle Webseiten unterschiedliche Passwörter, und wenn das Basispasswort aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht, ist es sehr schwierig, das zugrunde liegende Schema aufzudecken.


    • Freddie 07.04.2017 14:37
      Highlight Highlight Das ist ja mal die beste Idee. Werde ich nun auch so machen 💪
  • Kemni 07.04.2017 12:20
    Highlight Highlight Ich empfehle SecureSafe als Passwortmanager. Gefällt mir gut, Schweizer Firma und auf Schweizer Servern.
  • grazybaba 07.04.2017 12:01
    Highlight Highlight Ich speichere mein Passwörter nie und nimmer, wenn ich mein Passwort nicht mehr weiss, lasse ich mir ein neues geben (das ich dann wieder ändere) ich habe ja Zeit 😂😂😂
    • welefant 07.04.2017 19:18
      Highlight Highlight Danke ;) hab schon gedacht ich bin der einzige, der sich auch keine passwörter merken kann 😬
  • chnobli1896 07.04.2017 11:56
    Highlight Highlight KeePass nutze ich geschäftlich. Mit dem Auto-Type kann man sogar noch Zeit sparen und die Login-Vorgänge automatisieren. Kann ich nur empfehlen.
  • grazybaba 07.04.2017 11:55
    Highlight Highlight Habe gleich nachgeschaut: Uups!
    Aber bei LinkedIn und da bin ich schon lang nicht mehr dabei, kann mir jemand sagen, ob die Gefahr für mich jetzt vorbei ist? Oder soll ich mein iPhone mit Alu-Papier umwickeln?😂😂😂
    • Freddie 07.04.2017 14:40
      Highlight Highlight Alupapier und Aluhut! Man könnte es ja aus deinem Kopf saugen. 😉

      Schau eher, dass du bei anderen Accounts mit der selben E-Mail nicht das gleiche Pw hast.
  • EvilBetty 07.04.2017 11:34
    Highlight Highlight Sollen sie mal löschen... dann hab ich einen Grund, das neue iOS zu installieren :D
  • Micha Moser 07.04.2017 11:32
    Highlight Highlight Mich hats bei myspace 2012 erwischt, kein drama aber witzig, das mal zu sehen.
    • chnobli1896 07.04.2017 11:54
      Highlight Highlight Mich bei Adobe 2013, aber hab in der Zwischenzeit eh meine E-Mail-Adresse geändert :-)
  • Alnothur 07.04.2017 11:19
    Highlight Highlight KWallet. Integriert sich auch gut in Firefox, Chrome/ium und Vivaldi.
  • lost in space 07.04.2017 11:19
    Highlight Highlight Schlüsselbundverwaltung von Mac OS X
  • Scaros_2 07.04.2017 11:10
    Highlight Highlight Aaaaaaaaaand i got pwned.

    WildStar: In July 2015, the IP.Board forum for the gaming website WildStar suffered a data breach that exposed over 738k forum members' accounts. The data was being actively traded on underground forums and included email addresses, birth dates and passwords.

    Compromised data: Dates of birth, Email addresses, IP addresses, Passwords, Usernames


    Yeeeeah......
  • Lord_Curdin 07.04.2017 11:07
    Highlight Highlight Ich lasse Google meine Passwörter speichern. Mit passwords.google.com kommt man direkt auf die gespeicherten Passwörter. Immer schön synchronisiert. Nachteil ist halt einfach, dass Google deine Daten hat und du zwangsweise ein Google-Konto brauchst.
    • so eine 07.04.2017 12:15
      Highlight Highlight Ich vertraue Google auch vieles an, aber bestimmt nicht meine Passwörter.
    • Freddie 07.04.2017 14:42
      Highlight Highlight Haha, habe von Keychain auf password.google gewechselt. Das packt einem schon ein mulmiges gefühl...
  • Olmabrotwurst vs. Schüblig 07.04.2017 11:07
    Highlight Highlight Nokia 8210 beste wos je häts gitts
    • @schurt3r 07.04.2017 11:12
      Highlight Highlight Vielen, äh, Dank, Pascal!
      Benutzer Bildabspielen
  • yellowastra 07.04.2017 11:02
    Highlight Highlight Mac OSX
    • Armand Ha 07.04.2017 11:33
      Highlight Highlight macOS
      :)
  • Tilman Fliegel 07.04.2017 11:02
    Highlight Highlight Password Safe und Manager by Robert Ehrhardt. Bin damit sehr zufrieden.

Diese wichtige Handy-Funktion kann dein Leben retten – 68% der Schweizer kennen sie nicht

Zwei Drittel der Schweizer haben keine Ahnung, wie man rasch per Tastenkombination mit dem Handy einen Notruf absendet. Die internationale Notrufnummer kennen rund 40 Prozent nicht. Damit gefährden sie ihre eigene Rettung und die Rettung anderer.

Smartphones von Apple, Samsung, Huawei, etc. können über eine vom Handy-Hersteller eingerichtete Tastenkombination einen Notruf absetzen. Wer sich in einer Notsituation befindet und die Notrufnummer nicht wählen kann oder sich – beispielsweise im Schockzustand – nicht daran erinnert, kann so trotzdem jederzeit Hilfe rufen.Das Problem: 68 Prozent der Schweizer wissen nicht, wie man auch bei gesperrtem Handy schnell per Tastenkombination einen Notruf absendet. Gar nur eine von fünf …

Artikel lesen
Link zum Artikel