“Frag doch mal Stefan, der kennt sich mit Computern aus”, hörte ich einen Bekannten am Nebentisch sagen und gab mir Mühe, in meine derzeitige Konversation versunken zu wirken. Jeder, der beruflich entfernt irgendetwas mit technischen Gerätschaften zu tun hat, dürfte beipflichten, dass eine gewisse Ignoranz die beste Strategie darstellt, um nicht als persönlicher Troubleshooter im Freundeskreis missbraucht zu werden. Besser wäre es vermutlich, den eigenen Tätigkeitsbereich gänzlich aus dem Bewusstsein des eigenen Umfelds herauszuhalten – ein schwieriges Unterfangen, wenn man hin und wieder prominent in Interviews zu Themen der Informationssicherheit zu Wort kommt.

Wie dem auch sei: Diese Konversation, sie geschah im späten Sommer des Jahres 2014, liess sich nicht vermeiden. Und das ist gut so, wie sich bald herausstellen sollte. Das Problem, das mir eine Bekannte daraufhin schilderte, startete harmlos: “Mein iPhone spinnt. Ich muss mich andauernd einloggen”, sagte sie. Auf die Frage, wie oft das denn passieren würde, erklärte sie mir, das sei alle paar Tage der Fall. Und es dauere immer ewig bis das Email ankommen würde, fügte sie in genervtem Ton. “Welches Email?”, fragte ich nach. Das Email, mit dem Link zum Setzen eines neuen Passwortes. Das alte Passwort würde jeweils nicht mehr akzeptiert.

Ich war überrascht und plötzlich interessierter als zuvor: Die Wahrscheinlichkeit, dass das betroffene Gerät einfach spinnt, war sehr gering. Viel wahrscheinlicher war es, dass sich jemand Zugriff zum iCloud Account verschafft hatte – wiederholt. Das Muster ist nicht neu, das Bewusstsein dafür aber erschreckend gering.

Im Prinzip ist es sehr einfach: Mit der steigenden Popularität von Cloud-Lösungen für alltägliche Dienste wie E-Mail, Kalender, Dateiablage etc. wie Google, Microsoft und Yahoo werden diese Dienste zur Dreh- und Angelscheibe unseres täglichen Lebens, obschon das nicht immer bewusst in dieser Form wahrgenommen wird. Im Falle der obengenannten Betroffenen war die Plattform der Wahl Google.

Während die besagte Person, klar aus der WhatsApp-Generation stammend, zwar darauf bestand, dass sie kaum Emails versenden würde, war klar: Der Account dient als Grundlage für alles Mögliche: iCloud, Facebook, Kreditkarten-Verwaltung, Dropbox, eine Datingplattform – um nur ein paar wenige zu nennen. Der Angriff ist simpel und lässt sich mit zwei Worten erklären: “Passwort vergessen?”.

Ein Klick auf den entsprechenden Link auf fast jeder beliebigen Seite führt zu einem Formular, wo Webapplikationen gegen Eingabe einer E-Mailadresse oder eines Benutzernamens nur allzu gerne ein E-Mail an die entsprechende Adresse senden, mit der Bitte doch ein neues Passwort zu wählen. (Oder, im Falle von älteren oder schlecht entwickelten Applikationen direkt das, bestehende und im Klartext gespeicherte, Passwort zustellen. Das, wiederum wäre aber ein Thema für einen eigenen Artikel.)

Dieser Prozess funktionierte auch für den iCloud Account der Betroffenen im obengenannten Beispiel: Der Angreifer loggte sich via des kompromittierten Google Accounts ein, forderte einen Passwort Reset an, setzte mit dem vorgegebenen Prozess ein neues Passwort und loggte sich wieder aus, nicht aber ohne vorher die Spuren – die obengenannten Emails, die den Wechsel des Passworts sowie den Login von einem neuen Client aus bestätigen – zu löschen. In der Folge hatte der Angreifer kompletten Zugriff auf den iCloud Account: Photostream, die momentane geographische Lage des Gerätes, Notizen – das ganze Programm. Der einzige Hinweis, der sich durch den Angriff präsentierte, war das Invalidieren der existenten Device Tokens: Ein iPhone oder OSX-Gerät würde mit seiner derzeitigen Session nicht mehr auf iCloud zugreifen können und dementsprechend eine Neueingabe des Passwortes fordern. Eben genau das obengenannte Verhalten, das zur Entdeckung führte.

Doch nicht alle Dienste handhaben ihre persistenten Sessions so: Bei genauerer Untersuchung des Falls ging die Geschichte aber noch massiv weiter. Facebook, so schien es, war ebenfalls Gegenstand eines identischen Angriffs geworden. Mit einem signifikanten Unterschied: Facebook erlaubt es explizit, beim Passwortwechsel bereits eingeloggte Geräte in diesem Zustand zu belassen. Soll heissen: Wer Facebook nur auf seinem Mobilgerät oder an einem gleichbleibenden Desktop Client nutzt, kann ohne gezielte Überprüfungen (siehe unten) teils über Monate hinweg nicht bemerken, dass seine Chats und Timeline belauscht werden.

Zu diesem Zeitpunkt, es war ein paar Tage nach der initialen Konversation, war meine Bekannte hochgradig beunruhigt ob der Erkenntnisse, die da zu Tage gefördert wurden. Die technischen Details wurden den Strafverfolgungsbehörden übergeben, der Verursacher musste in der Zwischenzeit – wenn auch mit starker zeitlicher Verzögerung – die Verantwortung für seine Handlungen übernehmen.

Basierend auf den geschilderten Ereignissen wird klar, wie mächtig ein kompromittierter Google-Account sein kann – und die Möglichkeiten enden nicht mit dem Zurücksetzen von Passwörtern. Auch Google selber gibt, gegen die Eingabe des besagten Passwortes, gerne eine komplette Sammlung aller benutzerrelevanten Daten preis: Sämtliche Suchanfragen, angesehene Videos auf YouTube – für Android-Benutzer auch gerne noch Positionsdaten. Die Möglichkeiten sind mannigfaltig und, mit etwas Kreativität, ausbaufähig.

Das Erkennen derartiger Angriffe ist für Benutzer schwierig zu bewerkstelligen. Zum Zeitpunkt der initialen Konversation, wie sie oben beschrieben wurde, liefen die unberechtigten Zugriff schon mindestens ein halbes Jahr, vermutlich länger. Eine Möglichkeit, unautorisierter Nutzung auf die Spur zu kommen, sind die sogenannten Activity Infos. Bei Gmail befindet sich rechts unten ein unauffälliger Link, der anzeigt, wann von wo auf den Account zugegriffen wurde. Facebook bietet ein ähnliches Feature an, dort aber unter Security Settings beim Untertitel Where You’re Logged In. Bei verdächtiger Aktivität sollten, mit den entsprechenden Funktionen, alle Sessions beendet und ein Wechsel aller wichtigen Passwörter – allen voran des eigenen Email Accounts erfolgen.

Eine sicherere und nachhaltigere Lösung ist heute bereits in vielen anderen Bereichen, zum Beispiel E-Banking oder Onlinegaming gang und gäbe: Zwei-Faktor Authentisierung. Es ist nur konsequent, dieses Verfahren auch beim eigenen Email Account zu Anwendung zu bringen. Die zugehörige App zur Umsetzung auf Gmail, Google Authenticator, kann kostenlos bezogen werden und die Einrichtung dauert lediglich 5-10 Minuten. Anschliessend ist ein Login nur noch möglich, wenn neben dem Passwort auch ein generierter Code aus dem Authenticator eingegeben wird. Ein kleiner Zusatzaufwand, vor allem im Hinblick auf das Schadenspotenzial, wenn das eigene Passwort wirklich entwendet wird. Mittlerweile unterstützen verschiedene Dienste den Google Authenticator.

Eine Sache beweist diese Anekdote aber eindrücklich: Die Zeiten, in der Informationssicherheit nur Banken und Geheimdienste zu interessieren hatte, sind definitiv längst vorbei. In einer Zeit, wo sich unsere Kommunikation und unser Lebensstil zunehmend digitalisieren, wird der Umgang mit digitalen Risiken zur Kernkompetenz des Einzelnen. Ein Unterfangen, in dem noch viel Nachholbedarf besteht.

Über den Autor

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.