Vor über zwei Wochen wurde der Diebstahl von 16 Millionen E-Mail-Accounts bekannt, trotzdem fuhr im November 2013 eBay die Sicherheitsvorkehrungen herunter.
Selbst Kleinkinder könnten (per Suchmaschine) die Zugangsdaten gehackter E-Mail-Konten in Erfahrung bringen. Beinahe täglich tauchen bei Pastebin & Co. neue Datensätze mit geklauten Zugangsdaten unzähliger E-Mail-Konten auf. Sofern die Angaben noch stimmen oder Passwörter mehrfach benutzt werden, was oftmals der Fall ist, können wannabe-Hacker durch das Zurücksetzen des Passworts die vollständige Kontrolle über ein Konto von eBay, Amazon oder Zalando erlangen. Einzige Voraussetzung ist die Kontrolle des betroffenen E-Mail-Kontos. Lässt sich der Cyberkriminelle dann beispielsweise beim weltweit größten Internet-Auktionshaus auf Kosten des Kontoinhabers hochpreisige Ware an eine anonym erworbene Packstation oder ins Ausland schicken, ist das Horrorszenario perfekt. 3 – 2 – 1, meins? Oder doch nicht meins? Letzte Woche versuchte ich diese Frage im Auftrag der Netzpiloten zu beantworten.
Ich wollte von der Abteilung für Öffentlichkeitsarbeit wissen, wieso dem US-amerikanischen Unternehmen die Bequemlichkeit ihrer Nutzer so viel wichtiger ist, als ihre Sicherheit. Die Antwort kam prompt und überraschte mich. Nach Auskunft einer Pressesprecherin entspricht der Verzicht auf die Beantwortung von Sicherheitsfragen beim Verlust des aktuellen Passworts sogar dem „Branchenstandard„. Meine Presseanfrage erfolgte bei eBay am 3. Februar 2014 um 08:20 Uhr – der dazu passende Artikel erschien einen Tag später.
Die Hintergründe zu diesem Fall hatte ich höchst erstaunt der Verbraucherschutz-Seite falle-internet.de entnommen. Anfangs konnte ich es gar nicht so recht glauben, was dort steht. Von eBay wollte ich wissen: Ist diese Vorgehensweise auf Dauer ausgelegt? Aus welchem Grund wurden die zu beantwortenden Sicherheitsfragen kommentarlos gestrichen? Durch welche Sicherheitsmaßnahmen sollen diese ersetzt werden? Die schriftliche Antwort (per E-Mail) von Frau Maike Fuest,Head of Communications eBay Germany (eBay Corporate Services GmbH) im Originalton:
(…)
Bei dem Prozess „Passwort vergessen“, gilt es für uns zwei Dinge miteinander in Einklang zu bringen: Wir möchten für Nutzer, einerseits nicht unnötige Hürden aufstellen, um wieder auf ihr Konto zugreifen zu können, wenn sie ihr Passwort vergessen haben. Gleichzeitig ist es unser Ziel, Missbrauchsversuche zu identifizieren und zu verhindern.Vor diesem Hintergrund setzen wir für die Änderung von Passwörtern für eBay-Mitgliedskonten ein abgestuftes Sicherheitsverfahren ein. Bei Mitgliedskonten, die von unseren Risiko-Managementsystemen als mit einem geringen Missbrauchsrisiko eingestuft werden, ist eine Passwortänderung über einen Link möglich, der an die Email-Adresse, die dem Konto hinterlegt ist, gesandt wird. Ebenso wird es bei vielen anderen großen E-Commerce-Anbietern* gehandhabt. Dabei gehen die Anbieter – wie auch wir – davon aus, dass im Normalfall kein Dritter Zugriff auf das Email-Konto eines Nutzers haben sollte. Wir folgen hier dem Branchenstandard.
Branchestandard?
Bei Mitgliedskonten, die gemäß unserer Risikomanagement-Systeme ein höheres Missbrauchsrisiko aufweisen, setzen wir zusätzliche Sicherheitsmaßnahmen ein, wie zum Beispiel die Beantwortung von Sicherheitsfragen oder die Übermittlung eines PINs per Telefon.
Darüber hinaus setzen wir eine Reihe von Risikomanagement-Systemen ein, anhand derer wir ungewöhnliche Verhaltensweisen von Nutzern auf unserem Marktplatz identifizieren und in den meisten Fällen den Missbrauch eines Mitgliedskontos entdecken und Gegenmaßnahmen einleiten können, bevor ein Schaden entsteht. Unser Team sucht proaktiv nach solchen Missbrauchsversuchen und geht allen Hinweisen nach, die es von Dritten auf derartige Versuche erhält. Wendet sich ein Nutzer mit der Information an uns, dass sein Konto missbraucht wurde, arbeiten wir mit dem Nutzer zusammen um sicherzustellen, dass er oder sie schnellstmöglich wieder die volle Kontrolle über das Konto erhält. Darüber hinaus unterstützen wir auch bei der Rückabwicklung etwaiger missbräuchlicher Transaktionen. Außerdem unterstützen wir die Ermittlungsbehörden bei ihren Ermittlungen in solchen Fällen.
*z.B. Amazon und Zalando (dies bitte als Hintergrundinformation betrachten)
Amazon macht es tatsächlich ganz genauso. Auch dort wurden die Sicherheitsfragen ersatzlos gestrichen. Siehe die Bilder unten:
Ich fragte wenige Tage später den IT-Experten Pascal Kurschildgen, warum auf kein vergleichbares Verfahren wie mTAN umgestellt wurde. In dem Fall könnte man das neue Passwort als SMS an den Konto-Eigentümer schicken. Das Problem ist aber, dass auch das mTAN-Verfahren bereits erfolgreich umgangen wurde.
Kann mangelnder Datenschutz „Branchenstandard“ sein?
Pascal Kurschildgen ist der Meinung, damit könnte man es den Cyberkriminellen leichter statt schwerer machen. Eine TAN oder ein Passwort an das gleiche Gerät zu versenden, welches diese anfordert, ist laut Kurschildgen niemals sinnvoll. Wenn auf dem Smartphone oder Tablet-PC dann auch noch die betreffende E-Mail ankommt, wird es noch übler. Für sicherheitskritische Systeme wurde das mTAN-Verfahren zwischenzeitlich abgeschafft. Auch die EU schreibt mittlerweile für Banken das chipTAN-Verfahren vor.
Mir war natürlich bereits vor dem Netzpiloten-Artikel bekannt, dass die Sicherheitsfragen relativ einfach umgangen werden können. Dafür muss das Script-Kid lediglich bei Facebook & Co. das persönliche Umfeld des Opfers ausspionieren. Wenn der Social Hacker in sozialen Netzwerken oder auf privaten/gewerblichen Webseiten den Namen des Hundes, der Ehefrau, Mutter oder Schwester in Erfahrung bringen kann, hat der Kontoinhaber schon verloren. Dann hat der Hacker die meisten korrekten Antworten auf alle Sicherheitsfragen in Petto. Richtig krass ist aber, dass der Cyberkriminelle zur Übernahme des Kontos nicht den korrekten Usernamen von eBay benötigt. Sobald eine bei eBay registrierte E-Mail-Adresse existiert, kann man sich problemlos den Link zum Zurücksetzen eines neuen Passworts zuschicken lassen. Wäre ich der Hacker, so würde ich nach der erfolgreichen Übernahme des eBay-Accounts alle verdächtigen E-Mails im Postfach verschwinden lassen. Für den Inhaber des E-Mail-Zuganges sieht es dann so aus, als wenn alles okay wäre.
eBay: 3, 2, 1 – geklaut?
Kann es für Amazon, Zalando und eBay wirklich eine sinnvolle Option sein, eine Sicherheitsvorkehrung ersatzlos zu streichen, nur damit es für die Kunden noch einfacher und bequemer ist den Shop zu benutzen? Ich persönlich halte das Vorgehen trotz des von Frau Fuest angesprochenen Risikomanagement-Systems nicht für akzeptabel. Diese Meinung vertritt auch der Penetrationstester Matthias Ungethüm.
In einer der nächsten Ausgaben des Podcasts Nerdfon quetschen wir Pascal Kurschildgen aus, was E-Commerce-Anbieter stattdessen anbieten könnten, um die Sicherheit ihrer Kunden zu optimieren.
P.S.: Passend zum Thema kam heute bei ZDF Hyperland ein Artikel von Torsten Kleinz heraus.
Tarnkappe.info
(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.
