„Ken sent me“ – eine kleine Geschichte des Password-Hackings

Passwort-Hacking gibt es schon seit den 60er Jahren und es gewinnt immer mehr an Brisanz und Aktualität. Ein kurzer Bericht aus den Geschichtsbüchern.

Mär 18, 2022 - 4 Min.
Picture of: Branka Miljanovic
Branka Miljanovic

Passwörter sind kein Phänomen des Computer-Zeitalters, sondern wahrscheinlich so alt wie die Menschheit. Schon bei den Römern oder im Mittelalter wurden an den Toren zu besonders geschützten Bereichen Passwörter von jedem abgefragt, der Zutritt erlangen wollte. Und schon damals waren Passwörter nicht sicher. Gelang es einem Unbefugten, etwa durch Belauschen von Gesprächen an den Geheimcode zu gelangen, standen ihm alle Türen offen ... 

Ganz ähnlich in den USA im Zeitalter der Alkohol-Prohibition in den 1920er Jahren: Auch die illegalen „Flüsterkneipen“ („Speakeasy“), in denen hochprozentige Getränke ausgeschenkt wurden, konnte nur betreten, wer dem Türsteher das aktuelle Passwort nennen konnte. Nicht nur legendäre Hollywood-Filme wie “Animal Crackers” (1932) von den Marx Brothers greifen dies auf, sondern auch eines der ersten erfolgreichen grafischen Computerspiele: In „Leisure Suit Larry in the Land of Lounge Lizards“ (1987) muss der Held ein Passwort nennen, um Zugang zu einer Kneipe zu erhalten. Die hierfür notwendige Phrase „Ken sent me“ hat seitdem Kultstatus erreicht. Auch sonst durften sich die Spieler des Adventures „Leisure Suit Larry“ ein bisschen wie Hacker fühlen: So war beispielsweise der Fragenkatalog, der als Kopierschutz diente, sehr leicht zu knacken. Ebenso einfach war es, den einarmigen Banditen in der Spielhalle zu überlisten, um hohe Geldsummen zu erspielen.

Der erste Computer-Hacker

In den IT-Bereich hielten Passwörter Einzug, als es möglich wurde, in einer gemeinsamen digitalen Infrastruktur zusammenzuarbeiten. In diesem Zusammenhang gehört wahrscheinlich der Amerikaner Allan Scherr (*1940) zu den ersten „richtigen“ Hackern: Anfang der 1960er Jahre arbeitete er an einem Projekt des Massachusetts Institute of Technology (MIT) mit: Im sogenannten Compatible Time-Sharing System (CTSS), einer der ersten digitalen Arbeitsumgebungen, in der mehrere User Daten gemeinsam nutzen, bearbeiten und Nachrichten austauschen konnten, legitimierten sich die Benutzer mit persönlichen Passwörtern, die in einer Master-Liste gespeichert waren. Scherr gelang es, ohne grossen Aufwand an diese Liste heranzukommen und die Passwörter anderer User für den Zugang zum System zu benutzen.

Sind wir nicht alle schon einmal gehackt worden? 

Eigentlich ist es erstaunlich: Man weiss seit Jahrhunderten, wie unsicher Passwörter sind, und trotzdem waren sie noch weit bis in die 2000er Jahre das wichtigste Werkzeug, um persönliche Nutzerkonten in Firmennetzwerken, Webshops, Social-Media-Angeboten oder auch bei Behörden abzusichern. Und noch heute sind sie das Ziel von Hackern, um sich unbefugten Zugang zu digitalen Netzwerken zu verschaffen. Bestes Beispiel dafür ist die sogenannte „Collection #1“, die 2019 vom australischen IT-Sicherheitsspezialisten Troy Hunt auf einem Fileserver aufgespürt worden war: Diese 87 GB grosse Sammlung umfasste 772.904.991 einzigartige E-Mail-Adressen, 1.160253.228 einzigartige E-Mail-Passwort-Kombinationen und 21.222.975 individuelle Passwörter und bündelte Daten aus mehreren Quellen. Wenig später stiess Hunt auf die „Collections“ #2 bis #5 mit fast 700 GB Daten zu etwa 2,2 Milliarden Online-Konten. Man könnte Troy Hunt damit als einen „seriösen“ Hacker bezeichnen, der Cyberkriminelle mit ihren eigenen Waffen schlägt. Für Anwender hat Hunt den Webdienst haveIBeenPwned.com eingerichtet, mit dem jeder Internet-User schnell überprüfen kann, ob seine E-Mail-Adresse oder Telefonnummer ebenfalls durch das Daten-Leak kompromittiert wurden.

Der „Faktor Mensch“ macht Passwort-Hackern das Leben leicht

Passwörter sind als „Sicherheitssystem“ aus mehreren Gründen problematisch: Wer viele verschiedene Online-Dienste nutzt, sollte für jeden ein anderes Passwort wählen – und dieses muss dann noch diverse Anforderungen an die Komplexität (Passwortlänge, Verwendung von Klein- und Grossbuchstaben, Sonderzeichen, Ziffern …) erfüllen, um minimale Sicherheitsstandards zu erfüllen. Kaum ein User kann sich viele komplizierte Passwörter dauerhaft merken – deshalb schreibt man sie entweder auf oder entscheidet sich doch für eine der beiden unsichersten Strategien, nämlich ein Passwort für mehrere Dienste oder sehr simple Passwörter zu verwenden. Abhilfe könnte eine Passwortmanager-App schaffen. Trotzdem erweisen sich Passwörter auf die Dauer als lästig und wenig benutzerfreundlich. Selbst IT-Profis greifen gelegentlich gerne zu „einfachen Lösungen“. So nahm sich die Hacker-Gruppe OurMine die Twitter- und Pinterest-Accounts des Facebook-Gründers Mark Zuckerberg vor. Das von Zuckerberg verwendete Passwort lautete „dadada“. Das OurMine-Team gab an, durch ein Datenleck beim Business-Dienst LinkedIn aus dem Jahr 2012 darauf gestossen zu sein.

Brute Force & Co.: die Strategien der Passwort-Hacker

  • Brute-Force-Attacken
    Die Methoden, die Hacker anwenden, um an fremde Passwörter heranzukommen, sind vergleichsweise simpel: Bei Brute-Force-Attacken werden einfach automatisiert zahllose Zeichenkombinationen durchprobiert. Besonders erfolgreich ist diese Methode, wenn Benutzer gerne kurze und einfach zu merkende Passwörter verwenden. Trotzdem bleibt die Anzahl der möglichen Versuche meist begrenzt, weil bei mehreren erfolglosen Passworteingaben oft der Zugang gesperrt wird. Auch für komplexe, lange Passwörter eignen sich Brute-Force-Angriffe aufgrund des hohen Rechenaufwands nicht.
  • Dictionary-Attacken
    Dictionary-Attacken ermitteln Passwörter mit Hilfe von Benutzernamen- und Passwort-Listen. Besonders erfolgreich ist diese Methode bei typischen Passwörtern, die aus einfach zu ermittelnden Namen oder Geburtsdaten bestehen. Wenn der User dann noch für mehrere Online-Konten dieselben Passwörter nutzt, können Wörterbuch-Angriffe grossen Schaden anrichten.
  • Phishing-Angriffe
    Sicher haben Sie auch schon mal eine E-Mail bekommen, die täuschend echt das Corporate Design Ihrer Bank nachahmte und Sie dazu aufforderte, auf einer Website dringend Benutzername und Passwort einzugeben, um Ihr Konto wieder freischalten zu können? Hoffentlich haben Sie nicht auf diese Mail reagiert und sie gleich in Ihren digitalen Papierkorb geschoben. Denn es handelte sich dabei ganz klar um einen Phishing-Angriff, mit dem Betrüger an Ihre Account-Daten herankommen wollten. Oft weisen hier schon Details wie der E-Mail-Header oder Rechtschreibfehler im Text darauf hin, dass hier Betrüger am Werk sind.
  • Social-Engineering-Angriffe
    Erst kürzlich wurde bekannt, dass es einer Hacker-Gruppe gelungen ist, etwa 780 GB an Daten des Videospiel-Publishers Electronic Arts (EA) zu erbeuten – unter anderem die Quellcodes für Entwicklungssoftware und neue Computer-Games. Die Betrüger nutzten dabei das Chat-Tool Slack, um mit dem IT-Support Kontakt aufzunehmen. Sie gaben sich als EA-Mitarbeiter aus, die ihr Handy verloren hätten und ein neues Authentifizierungs-Token bräuchten, um wieder auf das Unternehmensnetzwerk zugreifen zu können – ein typischer Social-Engineering-Angriff, bei dem Kenntnisse über das Unternehmen und über Adressaten des Slack-Chats genutzt wurden, um sich deren Vertrauen zu erschleichen.

Fazit: Passwörter allein genügen auch heute noch nicht

Die oben genannten Hacking-Beispiele zeigen: Sogar ausgefuchste IT-Experten gehen Passwortbetrügern auch heute noch immer wieder auf den Leim! Dabei spielen menschliche Faktoren wie Bequemlichkeit und Unachtsamkeit, aber auch immer raffiniertere technische Tricks der Cyberangreifer eine Rolle. Sensible Daten sollten folglich nicht nur durch Benutzernamen, E-Mail-Adressen und Passwörter geschützt werden. Wir verfügen heute über vielfältige Möglichkeiten, Hackern zum Beispiel mit Zwei-Faktor-Authentisierung oder Multi-Faktor-Authentisierung das Handwerk zu legen. Als besonders sicher gilt hier die Abfrage biometrischer Merkmale des Nutzers. Denn wer kann schon ohne Weiteres die originalen Fingerabdrücke, die Iris des Auges oder die gesamten Gesichtszüge des berechtigten Nutzers bei der Anmeldung vortäuschen? Sicherlich werden Passwörter auch in Zukunft zum Einsatz kommen, aber vorzugsweise in Verbindung mit weiteren, sehr sicheren Authentisierungsverfahren. Es gilt einfach, den Hackern immer einen grossen Schritt vorauszubleiben. 

 

Cyber-Kriminalität – wie Sie Ihr Unternehmen schützen!