Nutzerkonten: Rekord-Datendiebstahl bei Yahoo

Mehr als eine Milliarde Yahoo-Nutzerkonten sind 2013 von einem Hackerangriff betroffen gewesen. Das gab das Unternehmen gestern in einer Pressemitteilung bekannt. Hinter der Attacke steht laut Angaben des Internet-Dienstleisters eine nicht autorisierte dritte Partei. Damit ist Yahoo im laufenden Jahr schon das zweite Mal mit einem Rekord-Datendiebstahl Thema in den Medien. Bereits im September hatte das Unternehmen einräumen müssen, dass Hacker im Jahr 2014 Daten aus mindestens 500 Millionen Nutzerkonten erbeutet hatten. Eine spannende Übersicht zu Hacker-Angriffen der letzten Jahre findet sich bei informationisbeautiful.net. Mathias Brandt

grafik-statista-datendiebstahl-rekorde-datensaetze

https://de.statista.com/infografik/5974/bei-hacks-von-tech-unternehmen-betroffene-datensaetze/


Tony Anscombe, Sicherheitsexperte von Avast Software, gibt Tipps, was nach dem Hack von Yahoo-Konten wichtig ist.

Anzeige

Der jetzt bekanntgewordene Hack von mehr als einer Milliarde Yahoo-Konten zeigt deutlich, dass jeder Nutzer selbst sicherstellen muss, dass seine Konten und Geräte geschützt sind. Die Verantwortung für Datensicherheit liegt bei jedem selbst und es gibt ein paar Dinge, die man beachten sollte, um möglichst gut geschützt zu sein:

  • Nutzen Sie für jedes Konto ein eigenes, starkes Passwort und ändern Sie dieses regelmäßig. Um seine Passwörter sicher zu verwalten, empfehlen wir einen Passwort-Manager zu nutzen, wie Avast Passwörter. Das Tool nutzt eine sichere Verschlüsselung und erstellt hochsichere Passwörter für alle Nutzerkonten. Das bedeutet nicht nur, dass man sich nicht alle langen und komplizierten Passwörter merken muss, sondern auch, dass man seine Passwörter einfach regelmäßig ändern kann. Der Anwender wird benachrichtigt, sobald eine Sicherheitslücke entstanden ist. So kann man sofort reagieren und das Passwort für alle Konten ändern, die mit der betroffenen E-Mail-Adresse verknüpft sind.
  • Stellen Sie sicher, dass alle Online-Konten geschützt sind. Vom Bankkonto über die Social-Media-Profile sollten alle Zugangsdaten nicht mit derselben E-Mail-Adresse und Passwortkombination verknüpft sein. Falls Sie für mehrere Konten dieselben Zugangsdaten verwenden, sollten Sie diese sofort ändern und ein mehrstufiges Authentifizierungsverfahren nutzen – wie zum Beispiel eine Kombination aus Passwort und einer Telefonnummer als zweiten Schritt.
  • Achten Sie auf Unregelmäßigkeiten und verdächtige Aktivitäten in Ihren Konten, zum Beispiel auf E-Mails, die nicht seriös aussehen. Falls Sie eine solche E-Mail erhalten, kontaktieren Sie am besten das Unternehmen, von dem die E-Mail angeblich kommt, auf direktem Weg, um dies zu verifizieren.

Stellen Sie sicher, dass Ihre Sicherheitslösungen auf dem Computer und mobilen Geräten auf dem aktuellen Stand sind. Die Aktualität der Software ist der beste Schutz gegen Cyberkriminelle und den immer mehr und ausgefeilter werdenden Angriffen, die heutzutage stattfinden.


Zu viele Sicherheitsmängel und unklare Rechtstexte: PSW GROUP rät von der Nutzung von Yahoo Mail ab

Scannen und Analysieren von E-Mail-Inhalten, freigiebiges Transferieren von Kundendaten, automatisches Verknüpfen des Mail-Accounts mit dem eigenen Messenger und schwammige Formulierungen in den Rechtstexten: Das kostenlose Mail-Angebot des Internet Giganten Yahoo kommt im Test der IT-Sicherheitsexperten der PSW GROUP (www.psw-group.de) nicht gut weg.

Dabei war das Team rund um Geschäftsführer Christian Heutger zu Beginn ihres Tests noch begeistert: Yahoo überzeugt mit leichtem Registrierungsprozess und einfachem Versand und Empfang von E-Mails. Das kostenfreie Angebot hält neben den E-Mail-Standardfunktionen eine gute Auswahl an zusätzlichen Features bereit. Einen positiven, weil sicheren, ersten Eindruck hinterließ insbesondere die sehr gut verschlüsselte Registrierungsseite. »Die Verschlüsselungsparameter sind hier stimmig: TLS 1.2 als aktuelle Protokollversion, ECDHE_RSA für den Schlüsselaustausch und eine starke Cipher (AES_128_GCM) sichern alle Bestandteile dieser Site ab. Weder Inhalte zur Aktivitätenverfolgung, noch Werbung oder sonstige Berechtigungen runden das stimmige Bild ab. Auch das Webinterface zum Versenden und Empfangen von Yahoo Mails ist – ebenfalls mit 128-Bit-Schlüssel, TLS 1.2 und ECDHE_RSA für den Schlüsselaustausch – stark verschlüsselt. Jedoch enthält diese Seite dann doch Inhalte, nämlich Werbeanzeigen, die die Aktivitäten der User verfolgen«, sagt Christian Heutger, Geschäftsführer der PSW GROUP.

Anzeige

Yahoo scannt sämtliche E-Mail-Inhalte

Das war es dann aber auch schon mit guten Eindrücken, denn Yahoo Mail lässt leider auch unsichere Passwörter durch und speichert mehr Registrierungsdaten als nötig wären. Und während die Seitenverschlüsselung der Login-Page und des Mail-Interfaces stimmig ist, setzt Yahoo bei der E-Mail-Verschlüsselung auf veraltete Parameter und unzureichende Verschlüsselung. »Die von uns versendeten Test-Mails offenbarten, dass hier TLS in der älteren Version 1.0 genutzt wird und außerdem lediglich der veraltete und unsichere Hash-Algorithmus SHA1 zum Einsatz kommt. Die Tatsache allerdings, dass Yahoo sämtliche E-Mail-Inhalte nach bestimmten Suchbegriffen scannt und durchleuchtet, ist für uns ein absolutes No-Go und Grund, jedem von der Nutzung des Dienstes dringend abzuraten. Denn Yahoo kann sämtliche E-Mail-Inhalte lesen und verwenden. Möglicherweise werden diese sogar an US-Behörden weitergeleitet«, bemängelt Christian Heutger aufs schärfste und verweist darauf, dass Yahoo ausschließlich eine Client-to-Server-Verschlüsselung nutzt. »E-Mails, die über einen Yahoo-Account versendet werden, werden nicht ausreichend verschlüsselt«, erklärt er die Bedeutung.

Die Rechtstexte haben es besonders in sich.

Einziger Pluspunkt ist die leichte Auffindbarkeit. »Ansonsten mangelt es extrem an Verständlichkeit, Eindeutigkeit und Klarheit. So schreibt Yahoo beispielsweise zunächst, der Konzern trage keinerlei Verantwortung für den Schutz der Login-Daten. Diese muss der User selbst schützen. Dann heißt es, Yahoo übernehme keine Verantwortung für das Speichern persönlicher Einstellungen – dieser Satz gelte jedoch nicht, wenn User die deutschen Dienste nutzen«, kritisiert Heutger die verwirrenden Inhalte. Überdies analysiert Yahoo beim Versand, Empfang und Speichern alle Kommunikationsinhalte, einschließlich der Kommunikationsinhalte von Diensten, die mit dem Yahoo Account synchronisiert werden. »Wer hat da noch Lust, seinen Dropbox-Account mit Yahoo Mail zu verknüpfen?«, fragt Heutger zurecht.

Gegenteil von gelungenem Datenschutz

Auch in Sachen Datenschutz – Yahoo unterliegt dem irischen Datenschutzrecht – kommt der Free-Mail-Dienst nicht gut weg. Yahoo sammelt personenbezogene Daten an verschiedenen Stellen, zum Beispiel bei Registrierung oder Nutzung eigener Produkte und Services. Darüber hinaus sammeln und speichern Yahoos Serverprotokolle Informationen vom Browser, darunter IP-Adresse, Cookie-Informationen, Soft- und Hardware-Eigenschaften. »Yahoo Mail ist so ziemlich das Gegenteil von gelungenem Datenschutz! Der Dienst ist sehr speicherfreudig, erklärt jedoch nicht, wo genau welche Daten gespeichert werden. Unmissverständlich klar gemacht wird jedoch, dass das für ungültig erklärte Safe-Harbor-Abkommen nach wie vor Anwendung findet. Das wiederum bedeutet nichts anderes, als dass Yahoo die personenbezogenen Daten seiner User in die USA schickt, um sie dort auf deutlich geringerem Datenschutzniveau zu verarbeiten«, kritisiert Christian Heutger.

Weitere Informationen unter: https://www.psw-group.de/blog/e-mail-anbieter-test-yahoo-mail/3799


 

Das Verschmelzen von privaten und geschäftlichen Accounts ruft Sicherheitsbedenken auf den Plan

Safer Internet Day 2016: Rundum-Service zum Thema E-Mail-Sicherheit

E-Mail-Sicherheit: Social Engineering auf C-Level-Niveau – Menschen als das schwächste Glied in der Sicherheitskette

Neue Sicherheitsvorkehrungen zum Schutz vor gefälschten E-Mails

E-Mail: Mit DANE mehr Sicherheit im Mailverkehr

Drei Sekunden für mehr E-Mail-Sicherheit

Herausforderung E-Mail-Archivierung – Rechtssicherheit und Datenschutz

Thesen zu Sicherheitsmaßnahmen bei der E-Mail-Kommunikation

Studie: Sicherheitsmaßnahmen bei der E-Mail-Kommunikation

Überlastung in der IT-Sicherheit

IT-Sicherheitstrends 2017: Expertenmangel bremst die Initiativen der Unternehmen

De-Mail noch mit Entwicklungspotenzial

Cybersicherheit: Die Hälfte der Attacken ist auf versteckte Malware in verschlüsseltem Datenverkehr zurückzuführen

Sicherheitspraxis: Benutzerbasierte Überwachung im Netzwerk

Mitarbeiter auf Dienstreise – ein Problem für die Sicherheit