Serapion

Serapion

Ein Digital-Health-Blog von Dr. Christina Czeschik

  • Hallo!
  • Blog
  • Profil
    • Artikel
    • Bücher
    • Vorträge
  • Kontakt
  • Impressum
    • Datenschutzerklärung
Aktuell
  • [ 15. April 2025 ] Zukunftskongress 2025: KI und mentale Gesundheit In eigener Sache
  • [ 25. März 2025 ] Mein neuer Roman: „Androids, Dreaming“ Bücher
  • [ 28. April 2024 ] Buchpremiere in Dortmund: „Rehabilitation“ In eigener Sache
HomeDigitale PrivatsphäreAlte Hintertüren in neuem Glanz

Alte Hintertüren in neuem Glanz

27. September 2017 Christina Czeschik Digitale Privatsphäre

Wenn es einen Online-Account gibt, den man wie Kronjuwelen hüten sollte, dann ist das der persönliche E-Mail-Account. Praktisch jeder andere Dienst erlaubt es, das Passwort über die Haupt-Mailadresse zurückzusetzen. Das heißt: Wer den E-Mail-Account eines anderen kontrolliert, kontrolliert dessen gesamte Online-Existenz.

Man könnte also denken, dass es im Sinne des Kunden ist, wenn E-Mail-Provider den Account so streng wie möglich sichern. Ist es aber nicht: Wer schon einmal das Passwort seines Mailkontos vergessen hat, weiß zu schätzen, dass es eine Option zur Wiederherstellung gibt. Bei Gmail, dem Maildienst von Google, ist eine dieser Optionen die Wiederherstellung per SMS: Google sendet dem Nutzer einen Zahlencode per SMS auf dessen Handy, der damit den Besitz des Handys und damit seine Identität „beweist“ – und ein neues Passwort wählen darf.

SMS werden abgefangen

Zu dumm nur, dass der Empfang einer SMS an eine bestimmte Nummer nicht unbedingt an den Besitz des entsprechenden Telefons gekoppelt ist. Über eine schon seit langem bekannte Sicherheitslücke können Angreifer, die auf das Glasfasernetz der Telekommunikationsanbieter Zugriff haben, SMS abfangen und beliebig umleiten. Wie genau dies funktioniert, haben Sicherheitsanalysten der Firma Positive Technologies in diesem YouTube-Video demonstriert:

Für diese Art des Hacks muss der Angreifer nicht einmal die Gmail-Adresse des Opfers kennen – Gmail akzeptiert auch Vor- und Nachnamen in Kombination mit der Telefonnummer. Letztere kann leicht über die Service-Hotlines der Telefongesellschaft herausgefunden werden, wenn der Angreifer auf einen wenig sicherheitsbewussten Callcenter-Mitarbeiter trifft, wie Reporter herausgefunden haben.

(Böse Zungen könnten einwenden, dass gewisse deutsche Telefonprovider gegen diese Art des Angriffs immun sind, weil man in der Hotline nie ein menschliches Wesen zu sprechen bekommt – stimmt, aber Telefonnummern lassen sich auch durch Social Engineering oder offen zugängliche Quellen im Netz herausfinden.)

Eroberte Accounts einfach zu Geld machen mit Bitcoin

Hintertüren und Sicherheitslücken in Bitcoin-WalletsWieso geht es im Titel des obigen Videos um Bitcoin und nicht um Gmail? Ganz einfach: Wenn sich jemand Zugriff auf das Gmail-Konto eines Bitcoin-Investors verschafft, dann lässt sich dieser Zugriff sofort und unmittelbar zu Geld machen. Bitcoin-Transaktionen – also der Transfer von Bitcoin von einer Adresse zur anderen – lassen sich nicht rückgängig machen, auch wenn sie ganz klar nicht legitim sind. Der Anreiz ist für einen Angreifer also am höchsten, in solche Gmail-Accounts einzubrechen, die Bitcoin-Usern gehören (oder auch Ether- oder Litecoin-Besitzern).

Das heißt nicht, dass diese Sicherheitslücke irgend etwas mit Bitcoin zu tun hätte. Sie hat nicht einmal hauptsächlich mit Gmail zu tun – sie ist vielmehr ein Überbleibsel aus alten SMS-Zeiten – und ist seither nicht repariert worden. Schon 2015 haben wir in unserem Buch „Gut gerüstet gegen Überwachung im Web“ darauf hingewiesen, dass SMS nicht sicher sind, sondern unverschlüsselt übermittelt werden und mit sogenannten IMSI-Catchern abgefangen werden können.

Aber während es früher mühsam war, einen Diebstahl von Informationen – oder einen kompletten Identitätsdiebstahl – zu Geld zu machen, kommt den Angreifern jetzt der Trend in Richtung Kryptowährungen zur Hilfe. Wenn die Besitzer der Bitcoins eine sogenannte Online-Wallet verwenden, also eine Art Online-Konto, das einen Zugriff auf die Währungstransaktionen per Browser erlaubt, dann lässt sich in sehr kurzer Zeit sehr viel Geld unwiderruflich stehlen – besser noch als beim Kreditkartenbetrug, denn die Opfer haben keine Möglichkeit, ihre Bitcoin zurückzufordern.

Mehrere Unternehmer und Investoren im Bereich der Kryptowährungen haben auf diese Art und Weise schon Bitcoin und Ether mit einem Gegenwert von jeweils Hunderttausenden von Dollar verloren.

Fazit

Unsere Online-Accounts werden für unser Leben immer wichtiger, aber die Sicherheitsmaßnahmen bei vielen Providern halten nicht Schritt. Und dort, wo sichere Optionen zur Verfügung stehen – etwa durch ein kleines Stück Hardware wie den YubiKey – sind wir oft aus Bequemlichkeit nicht bereit, sie zu benutzen.

Wie schaut eine Endnutzerin auf dieses Problem – und (wie) lässt es sich lösen? Mehr dazu bald hier im Blog!

  • 2-Faktor-Authentifizierung
  • Account
  • Bitcoin
  • Gmail
  • Google
  • Hack
  • Hacker
  • Identitätsdiebstahl
  • Kryptowährung
  • Passwort
Digital Marketplaces UnleashedPrevious

Digital Marketplaces Unleashed: Patientendaten auf dem Schwarzmarkt

Gruppenfoto Digitale Medien in der psychischen VersorgungNext

Gebt mir meine Daten! Patient Empowerment und IT (Veranstaltung)

Related Articles

Mit Patientendaten bei Amazon bezahlen
Digitale Privatsphäre

Mit Patientendaten bei Amazon bezahlen

25. Juli 2015 Christina Czeschik Digitale Privatsphäre

(Naja – nicht mit den eigenen.) Nachtrag zu „Was ist eine Krankenakte auf dem Schwarzmarkt wert?„: In San Diego hat eine pharmazeutisch-technische Assistentin in der Apotheke CVS über einen Zeitraum von mehreren Jahren die Daten […]

Was ist eine Patientenakte auf dem Schwarzmarkt wert?
Digitale Privatsphäre

Update: Schwarzmarkt für Patientendaten

18. Oktober 2016 Christina Czeschik Digitale Privatsphäre

Wieso eigentlich dieses ganze Gewese um Datenschutz im Gesundheitswesen? Klar, die ärztliche Schweigepflicht muss gewahrt werden, aber geht es dabei nicht eher darum, den Patienten vor neugierigen Verwandten, Nachbarn oder Arbeitgebern zu schützen? Anders gefragt: […]

Interview mit Darktrace
Digital Health

Interview: Ist Datenschutz in Deutschland wichtiger als die Sicherheit von Systemen?

29. Januar 2019 Christina Czeschik Digital Health, Digitale Privatsphäre

Wie schauen andere Länder auf die Digitalisierung im deutschen Gesundheitswesen – und auf Datenschutz und IT-Sicherheit bei uns? Dies wollen wir in einer losen Folge von Interviews mit Expert*innen für Informationssicherheit aus verschiedenen Ländern hier […]

Worum geht's?

Arztpraxis Buch Cybersicherheit Datenschutz Datensicherheit Digital Health Digitalisierung E-Health elektronische Patientenakte Gesundheitswesen Informationssicherheit Internet IT-Sicherheit Kryptographie Künstliche Intelligenz Medizin Patientendaten Privatsphäre Sicherheit Verschlüsselung

Blogposts abonnieren

Ihre Daten bleiben vertraulich. Lesen Sie mehr dazu in der Datenschutzerklärung.

Bitte bestätigen Sie Ihr Abo mit dem Link in der E-Mail, die wir Ihnen soeben geschickt haben.

Buchtipp

  • Cover von Androids, Dreaming

    Mein neuer Roman: „Androids, Dreaming“

    25. März 2025
    Nach meinem letzten Sachbuch, „Digitale Selbstverteidigung für Dummies“, habe ich erst einmal wieder an einem Roman gearbeitet. Wie viele meiner Leserinnen und Leser schon wissen, veröffentliche ich meine Romane unter dem Namen Jo Koren. Jetzt [...]
  • Cover des Sachbuchs "Digitale Selbstverteidigung für Dummies" von Christina Czeschik
    Neu: Digitale Selbstverteidigung für Dummies
    21. März 2024

Neu im Blog

  • Zukunftskongress 2025: KI und mentale Gesundheit
    15. April 2025
  • Cover von Androids, Dreaming
    Mein neuer Roman: „Androids, Dreaming“
    25. März 2025
  • Jo Koren und Manfred Kindler bei der Lesung aus "Rehabilitation"
    Buchpremiere in Dortmund: „Rehabilitation“
    28. April 2024
  • Cover des Sachbuchs "Digitale Selbstverteidigung für Dummies" von Christina Czeschik
    Neu: Digitale Selbstverteidigung für Dummies
    21. März 2024
  • ChatGPT für Dummies
    ChatGPT für regnerische Nachmittage
    22. September 2023

Interviews

  • Alexander Krützfeldt, "Wir sind Cyborgs"
    Interview: Wir sind Cyborgs. Oder?
    22. März 2017
  • Elektronische Kommunikation für Ärzte und MFAs
    Interview: Neue Technologien helfen beim Austausch zwischen Ärzten und MFA
    28. November 2016
  • Qunomedical Team
    Wegweiser in einer globalen Gesundheitsversorgung – Interview mit Qunomedical
    15. Januar 2019
  • Bianca Frädrich vom Startup Leibdoctor im Interview
    Interview: Vertrauen online – Startup berät bei medizinischen Fragen
    21. November 2018
  • Johannes Jacubeit, LifeTime-Gründer
    Interview: Wolkenlos – E-Health ohne Cloud
    24. Januar 2017

Was ist eigentlich…

  • Was ist die qualifizierte elektronische Signatur
    Was ist eigentlich… die qualifizierte elektronische Signatur (QES)?
    5. September 2016
  • Zentrale vs. dezentrale Datenspeicherung
    Was ist eigentlich… dezentrale Datenspeicherung?
    22. Januar 2019
  • Corona-App
    Was sind eigentlich… Corona-Apps?
    9. Juni 2020
  • Entscheidungsbaum (Decision Tree)
    Was ist eigentlich… Explainable Artificial Intelligence (XAI)?
    20. August 2019
  • Was kann ChatGPT im Gesundheitswesen?
    Was ist eigentlich… ChatGPT?
    28. August 2023

Engagement
Mädchenschule Khadigram e.V.

Ich unterstütze den Verein Mädchenschule Khadigram, der sich für die medizinische Versorgung, Alphabetisierung und Weiterbildung von Mädchen im indischen Bundesstaat Gujarat einsetzt. Mehr Informationen finden Sie hier.

Blogposts abonnieren
Ihre Daten bleiben vertraulich. Lesen Sie mehr dazu in der Datenschutzerklärung.

Bitte bestätigen Sie Ihr Abo mit dem Link in der E-Mail, die wir Ihnen soeben geschickt haben.

Archiv
Serapion

Dr. Christina Czeschik

Herkulesstr. 3-7
45127 Essen
Mail: hallo@serapion.de
Fon: 0201/857 88 367

Blogverzeichnis - Bloggerei.de   Webwiki Button   Blogverzeichnis

  • Hallo!
  • Blog
  • Profil
    • Artikel
    • Bücher
    • Vorträge
  • Kontakt
  • Impressum
    • Datenschutzerklärung

2021 | Dr. Christina Czeschik

Diese Website benutzt Cookies. Wenn Sie die Website weiter nutzen, gehen wir von Ihrem Einverständnis aus.OKNeinDatenschutzerklärung