Technik-Journalist Mat Honan gehackt: Twitter gekapert, Festplatten gelöscht

Er ist einer, der nicht als das leichteste Opfer für Hacker gelten sollte: Mat Honan ist Reporter beim Gadgetmagazin Gizmodo, arbeitete früher für das Wired-Magazin. Honan ist keineswegs ein Anfänger, was Computer und Internet angeht. Doch Hackern fiel es leicht, sein komplettes digitales Leben zu übernehmen. Alles, was sie brauchten: ein paar Ideen, einen Computer mit Internetzugang und ein Telefon – und jede Menge Sicherheitslücken bei Onlinediensten.

Die schöne neue Onlinewelt ist überaus praktisch für den faulen Nutzer von heutzutage: Man kann alles im Netz speichern, spiegeln, aus dem Netz heraus kontrollieren. Zumindest, solange man selbst die Kontrolle hat. Mat Honan glaubte sich sicher. Er hatte seinen Rechner, sein Telefon, sein iPad und seine Nutzerkonten bei verschiedenen Internetdiensten, allen voran bei Apple, Amazon, Google und Twitter.

Doch mit einem Schlag änderte sich das: nicht mehr er, sondern unidentifizierte Hacker waren plötzlich im Besitz seiner Nutzerkonten, konnten über diese nicht nur auf seine Daten zugreifen, sondern sogar die Daten auf seinem Computer, seinem iPhone und seinem iPad löschen. Honan hatte auf die Dienstbetreiber und deren Sicherheitsmechanismen vertraut. Minutengenau beschreibt Honan auf Wired, wie seine Konten übernommen und seine Geräte wie von Zauberhand geleert wurden – und das alles ohne sein aktives Zutun.

Alles, was die Hacker machen mussten: sie nutzten, was man Social Engineering nennt. Statt nur auf Computer zu vertrauen, nutzten sie das gute alte Telefon und die Supporthotlines verschiedener Anbieter, um sich temporäre Passwörter geben zu lassen. Alles, was sie brauchten, um sich dort als er ausgeben zu können, waren Daten, die bei jeweils anderen Anbietern für sie zugänglich waren. Binnen drei Stunden war sein gesamtes digitales Leben in der Hand von anderen.

Honan hatte nicht alles richtig gemacht, wie er auch selbst eingesteht. Aber mit wenigen, leicht zugänglichen Informationen wie der Rechnungsanschrift und den letzten vier Stellen der Kreditkarte, konnten sich andere als er ausgeben – und sich temporäre Passworte zum Beispiel für seinen Apple-Emailkonto geben lassen. Von dort aus hangelten sie sich weiter durch sein digitales Leben – um schlussendlich zu ihrem eigentlichen Ziel zu gelangen. Alles, was sie im Sinn hatten, war Honans Twitterkonto zu übernehmen. Nicht weil es Honan gehörte, sondern weil es ein begehrtes Konten mit drei Buchstaben war.

Die Vertrauenskette in der Cloud

Das Kernproblem, das der Honan-Hack beschreibt: Sicherheit in der Cloud wird häufig über eine Art Vertrauenskette hergestellt. E-Mailadressen, Telefonnummern, Geburtsdaten und Konto- oder Kreditkartennummern sind wesentlicher Teil dieser Konzepte. Wer sie kennt, muss oft nur eine einzige Schwachstelle finden. Und kann sich dann von diesem Startpunkt aus im digitalen Leben eines anderen ausleben.

Wer dazu noch die Kontrolle über die eigenen Gerätschaften – in Honans Fall der Apple-Dienst „Find My“, mit dem verlorene oder gestohlene Geräte per Fernwartung lokalisiert und sogar gelöscht werden können – in die Cloud verlagert, riskiert nicht nur, dass seine digitale Identität übernommen oder auf seine Kosten eingekauft wird. Er riskiert, dass er die digitalen Schaltstellen seines Lebens aus der Hand gibt und Daten verliert.

Dass die Diensteanbieter im Sinne der Kundenfaulheit in Honans Fall den Hackern auch noch behilflich waren, zeigt, dass Cloudlösungen und ihre Anbieter derzeit noch einige Schwachstellen aufweisen. Aber wer wollte denn nicht schon immer mal ein komplett neues Leben anfangen?