Serapion

Serapion

Ein Digital-Health-Blog von Dr. Christina Czeschik

  • Hallo!
  • Blog
  • Profil
    • Artikel
    • Bücher
    • Vorträge
    • Fachredaktion
  • Kontakt
    • Impressum
Aktuell
  • [ 6. April 2022 ] Neu erschienen: Allgemeinbildung Digitalisierung für Dummies In eigener Sache
  • [ 26. März 2022 ] Zukunftskongress: Wie werden wir 2030 leben und arbeiten? Digital Health
  • [ 28. September 2021 ] Die Agentur für Analogisierung Digital Health
HomeDigitale PrivatsphäreAlte Hintertüren in neuem Glanz

Alte Hintertüren in neuem Glanz

27. September 2017 Christina Czeschik Digitale Privatsphäre

Wenn es einen Online-Account gibt, den man wie Kronjuwelen hüten sollte, dann ist das der persönliche E-Mail-Account. Praktisch jeder andere Dienst erlaubt es, das Passwort über die Haupt-Mailadresse zurückzusetzen. Das heißt: Wer den E-Mail-Account eines anderen kontrolliert, kontrolliert dessen gesamte Online-Existenz.

Man könnte also denken, dass es im Sinne des Kunden ist, wenn E-Mail-Provider den Account so streng wie möglich sichern. Ist es aber nicht: Wer schon einmal das Passwort seines Mailkontos vergessen hat, weiß zu schätzen, dass es eine Option zur Wiederherstellung gibt. Bei Gmail, dem Maildienst von Google, ist eine dieser Optionen die Wiederherstellung per SMS: Google sendet dem Nutzer einen Zahlencode per SMS auf dessen Handy, der damit den Besitz des Handys und damit seine Identität „beweist“ – und ein neues Passwort wählen darf.

SMS werden abgefangen

Zu dumm nur, dass der Empfang einer SMS an eine bestimmte Nummer nicht unbedingt an den Besitz des entsprechenden Telefons gekoppelt ist. Über eine schon seit langem bekannte Sicherheitslücke können Angreifer, die auf das Glasfasernetz der Telekommunikationsanbieter Zugriff haben, SMS abfangen und beliebig umleiten. Wie genau dies funktioniert, haben Sicherheitsanalysten der Firma Positive Technologies in diesem YouTube-Video demonstriert:

Für diese Art des Hacks muss der Angreifer nicht einmal die Gmail-Adresse des Opfers kennen – Gmail akzeptiert auch Vor- und Nachnamen in Kombination mit der Telefonnummer. Letztere kann leicht über die Service-Hotlines der Telefongesellschaft herausgefunden werden, wenn der Angreifer auf einen wenig sicherheitsbewussten Callcenter-Mitarbeiter trifft, wie Reporter herausgefunden haben.

(Böse Zungen könnten einwenden, dass gewisse deutsche Telefonprovider gegen diese Art des Angriffs immun sind, weil man in der Hotline nie ein menschliches Wesen zu sprechen bekommt – stimmt, aber Telefonnummern lassen sich auch durch Social Engineering oder offen zugängliche Quellen im Netz herausfinden.)

Eroberte Accounts einfach zu Geld machen mit Bitcoin

Hintertüren und Sicherheitslücken in Bitcoin-WalletsWieso geht es im Titel des obigen Videos um Bitcoin und nicht um Gmail? Ganz einfach: Wenn sich jemand Zugriff auf das Gmail-Konto eines Bitcoin-Investors verschafft, dann lässt sich dieser Zugriff sofort und unmittelbar zu Geld machen. Bitcoin-Transaktionen – also der Transfer von Bitcoin von einer Adresse zur anderen – lassen sich nicht rückgängig machen, auch wenn sie ganz klar nicht legitim sind. Der Anreiz ist für einen Angreifer also am höchsten, in solche Gmail-Accounts einzubrechen, die Bitcoin-Usern gehören (oder auch Ether- oder Litecoin-Besitzern).

Das heißt nicht, dass diese Sicherheitslücke irgend etwas mit Bitcoin zu tun hätte. Sie hat nicht einmal hauptsächlich mit Gmail zu tun – sie ist vielmehr ein Überbleibsel aus alten SMS-Zeiten – und ist seither nicht repariert worden. Schon 2015 haben wir in unserem Buch „Gut gerüstet gegen Überwachung im Web“ darauf hingewiesen, dass SMS nicht sicher sind, sondern unverschlüsselt übermittelt werden und mit sogenannten IMSI-Catchern abgefangen werden können.

Aber während es früher mühsam war, einen Diebstahl von Informationen – oder einen kompletten Identitätsdiebstahl – zu Geld zu machen, kommt den Angreifern jetzt der Trend in Richtung Kryptowährungen zur Hilfe. Wenn die Besitzer der Bitcoins eine sogenannte Online-Wallet verwenden, also eine Art Online-Konto, das einen Zugriff auf die Währungstransaktionen per Browser erlaubt, dann lässt sich in sehr kurzer Zeit sehr viel Geld unwiderruflich stehlen – besser noch als beim Kreditkartenbetrug, denn die Opfer haben keine Möglichkeit, ihre Bitcoin zurückzufordern.

Mehrere Unternehmer und Investoren im Bereich der Kryptowährungen haben auf diese Art und Weise schon Bitcoin und Ether mit einem Gegenwert von jeweils Hunderttausenden von Dollar verloren.

Fazit

Unsere Online-Accounts werden für unser Leben immer wichtiger, aber die Sicherheitsmaßnahmen bei vielen Providern halten nicht Schritt. Und dort, wo sichere Optionen zur Verfügung stehen – etwa durch ein kleines Stück Hardware wie den YubiKey – sind wir oft aus Bequemlichkeit nicht bereit, sie zu benutzen.

Wie schaut eine Endnutzerin auf dieses Problem – und (wie) lässt es sich lösen? Mehr dazu bald hier im Blog!

  • 2-Faktor-Authentifizierung
  • Account
  • Bitcoin
  • Gmail
  • Google
  • Hack
  • Hacker
  • Identitätsdiebstahl
  • Kryptowährung
  • Passwort
Digital Marketplaces UnleashedPrevious

Digital Marketplaces Unleashed: Patientendaten auf dem Schwarzmarkt

Gruppenfoto Digitale Medien in der psychischen VersorgungNext

Gebt mir meine Daten! Patient Empowerment und IT (Veranstaltung)

Related Articles

Blockchain im Gesundheitswesen
Digital Health

Von Bitcoin zur Patientenakte: Blockchain im Gesundheitswesen

21. Juli 2017 Christina Czeschik Digital Health, Digitale Privatsphäre

Blockchain, die (Substantiv): Technologie, die Bitcoin zugrunde liegt, einer sogenannten Kryptowährung, mit der im Darknet Drogen- und Waffengeschäfte finanziert werden. Hat auch zur Entwicklung zahlreicher anderer Kryptowährungen geführt – Ether, Litecoin, ZCash – mit denen […]

Lars Roemheld auf dem rC3
Digital Health

Was ist eigentlich… die Corona-Warn-App (CWA)?

11. Januar 2021 Christina Czeschik Digital Health, Digitale Privatsphäre, Was ist eigentlich...

Die Infektion mit dem Corona-Virus wird über Aerosole (Nebel, etwa in der Ausatemluft) und Tröpfchen weitergegeben — und nicht immer weiß ein Infizierter auch, dass er infiziert und damit ansteckend ist. Daher ist es schnell […]

Wissen ist Geld
Digitale Privatsphäre

E-Mail, Bitcoin, eGK: Wer verwaltet Deutschlands Schlüssel?

29. August 2017 Christina Czeschik Digitale Privatsphäre

Was ist der beste Weg, um Geld ein für alle Mal loszuwerden? Umweltfreundlicher, als Geldscheine zu verbrennen – endgültiger, als es an Freunde und Bekannte zu verschenken – und mit weniger Parkplatzstress verbunden als ein […]

Worum geht's?

Arztpraxis Cybersicherheit Datenschutz Datensicherheit Digital Health Digitalisierung E-Health elektronische Patientenakte Gesundheitswesen informationelle Selbstbestimmung Informationssicherheit Internet IT-Sicherheit Kryptographie Medizin Patientendaten Privatsphäre Sicherheit Telemedizin Verschlüsselung

Blogposts abonnieren

Ihre Daten bleiben vertraulich. Lesen Sie mehr dazu in der Datenschutzerklärung.

Bitte bestätigen Sie Ihr Abo mit dem Link in der E-Mail, die wir Ihnen soeben geschickt haben.

Buchtipp

  • Digitalisierung, Medizin, Geschlecht

    6. Oktober 2020
    Nutzt oder schadet die Digitalisierung der Gleichstellung von Mann und Frau — und anderen — im Gesundheitswesen? Neue digitale Werkzeuge und Prozesse bieten die Chance, verkrustete Strukturen aufzubrechen — das hat die Digitalisierung schon vielfach [...]

Neu im Blog

  • Cover "Allgemeinbildung Digitalisierung für Dummies"
    Neu erschienen: Allgemeinbildung Digitalisierung für Dummies
    6. April 2022
  • Logo Zukunftskongress
    Zukunftskongress: Wie werden wir 2030 leben und arbeiten?
    26. März 2022
  • Agentur für Analogisierung
    Die Agentur für Analogisierung
    28. September 2021
  • Hunic - Exoskelett in der Pflege
    Digitalisierung in der Pflege zum Anfassen
    24. September 2021
  • Cybersecurity und COVID-Impfstoffe
    COVID-Impfstoffe: Operation Warp Speed und die Cybersicherheit
    21. September 2021

Interviews

  • Bianca Frädrich vom Startup Leibdoctor im Interview
    Interview: Vertrauen online – Startup berät bei medizinischen Fragen
    21. November 2018
  • Elektronische Kommunikation für Ärzte und MFAs
    Interview: Neue Technologien helfen beim Austausch zwischen Ärzten und MFA
    28. November 2016
  • Online-Terminvereinbarung in der Arztpraxis
    Interview: Online-Terminvereinbarung in der Arztpraxis
    14. November 2016
  • Digitalisierung im Gesundheitswesen
    Interview: Quantencomputer – Sicherheit gegen „spukhafte“ Entschlüsselung
    17. Januar 2017
  • Tobias Stepan vom Startup Teamwire im Interview
    Alles WhatsApp? Nein! Interview mit Teamwire
    17. Oktober 2018

Was ist eigentlich…

  • Was ist eigentlich die ärztliche Videosprechstunde
    Was ist eigentlich… die ärztliche Videosprechstunde?
    30. Oktober 2018
  • Blockchain im Gesundheitswesen
    Was ist eigentlich… Blockchain im Gesundheitswesen?
    17. September 2018
  • Elektronische Patientenakte und elektronische Gesundheitsakte
    Was ist eigentlich… der Unterschied zwischen elektronischer Patientenakte und Gesundheitsakte?
    10. Dezember 2018
  • Zentrale vs. dezentrale Datenspeicherung
    Was ist eigentlich… dezentrale Datenspeicherung?
    22. Januar 2019
  • Corona-App
    Was sind eigentlich… Corona-Apps?
    9. Juni 2020

Serapion auf Twitter

Tweets by serapionblog

Engagement
Mädchenschule Khadigram e.V.

Ich unterstütze den Verein Mädchenschule Khadigram, der sich für die medizinische Versorgung, Alphabetisierung und Weiterbildung von Mädchen im indischen Bundesstaat Gujarat einsetzt. Mehr Informationen finden Sie hier.

Blogposts abonnieren
Ihre Daten bleiben vertraulich. Lesen Sie mehr dazu in der Datenschutzerklärung.

Bitte bestätigen Sie Ihr Abo mit dem Link in der E-Mail, die wir Ihnen soeben geschickt haben.

Archiv
Serapion

Dr. Christina Czeschik

Herkulesstr. 3-7
45127 Essen
Mail: hallo@serapion.de
Fon: 0201/857 88 367
Twitter: @serapionblog

Blogverzeichnis - Bloggerei.de   Webwiki Button   Blogverzeichnis

  • Hallo!
  • Blog
  • Profil
    • Artikel
    • Bücher
    • Vorträge
    • Fachredaktion
  • Kontakt
    • Impressum

2021 | Dr. Christina Czeschik