Datensicherheit 4. März 2013 von

Cloud-Dienst „Evernote“ meldet Hacker-Angriff

Bild-10418

Unbekannte haben sich  Zugriff auf Benutzerinformationen wie E-Mail Adressen der „Evernote”-Kunden verschafft. Die Angriffe auf Internet-Dienste häufen sich. Über eine gesetzliche Meldepflicht wird noch debattiert.

Der Cloud-Anbieter Evernote hat „verdächtige Aktivitäten” festgestellt und geblockt. Diese glichen einem „koordinierten Versuch”, sich Zugriff auf den gesicherten Bereich des Dienstes zu verschaffen. Das teilte das US-Unternehmen am Samstag mit. Der Cloud-Dienst bietet rund 50 Millionen Kunden die Möglichkeit, Texte und Fotos auf einem Online-Speicher zu sammeln und zu verwalten.

Den Angreifern sei es möglich gewesen, Zugriff auf Benutzernamen, E-Mail Adressen und verschlüsselte Passwörter zu erlangen. Zugleich beschwichtigt Evernote: „Unsere Sicherheitsüberprüfungen haben nicht ergeben, dass auf Ihre Daten zugegriffen, diese geändert oder gelöscht wurden.” Zahlungsinformationen der Premium-Kunden hätten die Angreifer nicht eingesehen. Täter und Motive sind unbekannt.

Nutzer sollten mehrere Passwörter verwenden

Evernote hat alle Kunden-Kennwörter zurückgesetzt. Die Nutzer müssen nun ein neues Passwort anlegen. Allerdings hätten die Angreifer die erbeuteten Passwörter erst noch entschlüsseln müssen, um sie zu nutzen. Das Unternehmen spricht von einer Einweg-Verschlüsselung, technisch auch „Hashed und Salted” genannt, mit der sie automatisch auf den Unternehmens-Servern gesichert werden.

Evernote reiht sich in eine Liste von Internet-Anbietern ein, die in letzter Zeit Ziel von Angriffen wurden. So meldeten auch Twitter, Facebook, Apple und Microsoft Versuche von außen, im großen Stil auf Kunden-Accounts zuzugreifen. Der Nutzer bleibt zunächst machtlos, wenn Unternehmen seine Daten verlieren. Als allgemeine Vorsorgetipps gelten: Keine einfachen Passwörter aus gebräuchlichen Wörtern bilden, sondern auf willkürliche Buchstaben- bzw. Zahlenkombinationen setzen. Das erschwert Angreifern die Entschlüsselung. Ebenso sinnvoll ist es, bei verschiedenen Diensten nicht dasselbe Passwort zu verwenden und Passwörter mehrmals im Jahr zu ändern. Andernfalls können Angreifer mit dem einmal erbeuteten Passwort auf zahlreiche Accounts zugreifen, vom Profil im sozialen Netzwerk bis zum E-Mail-Konto. Das erleichtert zum Beispiel den Identitätsdiebstahl im Internet, bei dem Angreifer zum Beispiel Freunde und Bekannte des Betroffenen um Geld bitten.

Diskussion um Meldepflicht

Vorfälle wie bei Evernote untergraben das Vertrauen der Nutzer in „die Cloud”. Die Bedenken in Punkto Datensicherheit sind groß, wie Umfragen regelmäßig zeigen. Die EU-Kommission will auch deshalb durchsetzen, dass Unternehmen und Verwaltungen „große Sicherheitsvorfälle” – darunter auch Hackerangriffe – den Behörden melden müssen. Sie hat im Februar einen entsprechenden Regelungsentwurf vorgelegt (Richtlinie zur Informations- und Netzsicherheit). Ein großangelegter Datenklau könne Millionen Euro kosten, so Digital-Kommissarin Neelie Kroes. Wenn die Behörden über alle relevanten Vorkommnisse Bescheid wissen, könnten sie besser dagegen vorgehen.

Allerdings ist die Meldepflicht umstritten. Der deutsche Branchenverband Bitkom fürchtet zu viel Bürokratie für kleine Unternehmen und fordert, dass Meldungen größtenteils freiwillig bleiben. Gesetzliche Meldepflichten für IT-Sicherheitsvorfälle sollten sich auf die Betreiber kritischer Infrastrukturen beschränken – etwa von Flughäfen und Kraftwerken. Zugleich berichtet auch Bitkom von zahlreichen Attacken. 40 Prozent der Unternehmen in Deutschland verreichneten bereits Angriffe auf ihre IT-Systeme oder andere IT-Sicherheitsvorfälle, so das Ergebnis einer Umfrage des Verbandes.

Zum Thema bei iRights

Zum Thema im Internet

1 Kommentar

  • 1 RA Sebastian Dosch am 4. Mrz, 2013 um 11:58

    Eine Meldepflicht bei schweren Datenschutzverstößen kennt das deutsche Datenschutzrecht doch schon:

    § 42a BDSG und damit die “Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten” greift ja zumindest, wenn

    – besondere Arten personenbezogener Daten,

    – personenbezogene Daten, die einem Berufsgeheimnis unterliegen,

    – personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder

    – personenbezogene Daten zu Bank- oder Kreditkartenkonten

    betroffen sind.

    Das hilft allerdings nicht bei einem reinen Passwort- und E-Mail-Hack, zugegeben. Aber in der Art könnte man es sich doch vorstellen.