In den vergangenen Tagen ging es durch die Online-Medien: Der Cloudspeicherdienst Dropbox wurde bereits vor vier Jahren gehackt, doch das volle Ausmaß wurde erst jetzt bekannt.

Im Jahr 2012 wurde erstmals bekannt, dass Hacker bei einem Angriff auf Dropbox Nutzerdaten stehlen konnten. Dropbox erkannte diesen Hack und setzte entsprechende Passwörter zurück. Nun hat der Sicherheitsforscher Thomas White eine Kopie dieser Daten auf seinen Webseiten veröffentlicht, wodurch erstmals das volle Ausmaß ersichtlich wurde. Der Datensatz beinhaltet über 68 Millionen Kombinationen aus E-Mail Adressen und Passwörtern. Das sind ca. 2/3 aller Dropbox-Nutzer. Die Passwörter liegen etwa zur Hälfte als Bcrypt-Hashes vor und sollten somit relativ sicher sein. Die andere Hälfte der Passwörter ist jedoch mit dem unsicheren SHA1 Algorithmus gehasht, wodurch es Hackern leichter fallen wird, den Klartext der Passwörter herauszufinden.

Viel schwerwiegender ist allerdings der Grund, warum die Hacker an diese enorme Anzahl an Zugangsdaten gelangen konnten. Wie der Guardian berichtet, sollen hierfür die Zugangsdaten eines Dropbox-Mitarbeiters genutzt worden sein. Aber wie sind die Hacker an diese Daten gelangt? Nun ja, dieser Mitarbeiter hat, wie wahrscheinlich fast alle IT-Nutzer dieser Erde, einen Kardinalfehler begannen und hat für zwei unterschiedliche Dienste dieselben Passwörter verwendet. So konnte durch einen früheren LinkedIn-Hack im selben Jahr die entsprechende Kombination herausgefunden werden.

Dieser Sicherheitsvorfall zeigt aber ein noch größeres und unkalkulierbares Schadenspotenzial auf: Nicht nur in der Industrie sondern auch in kirchlichen und diakonischen Einrichtungen verbreiten sich unbemerkt Cloud-Dienste und Apps, die von Mitarbeitenden teilweise unerlaubt und ohne das Bewusstsein für Sicherheitsrisiken genutzt werden. Vor allem Cloudspeicherdienste wie Dropbox sind hier weit verbreitet und werden auch für die Ablage von personenbezogenen und sensiblen Daten genutzt. Dieses Vorgehen macht alle Bemühungen kirchlicher Einrichtungen ihre IT-Sicherheit zu steigern zunichte und lädt Cyber-Kriminelle zum Angriff auf unsere, in diesem Fall ungesicherten, Daten ein.

Das Beispiel Dropbox zeigt erneut, das größte Sicherheitsrisiko ist und bleibt der Mensch und darauf müssen kirchliche Einrichtungen reagieren. Deshalb sollte die Sensibilisierung von Mitarbeitenden oberste Priorität haben und ein fester Bestandteil der IT-Sicherheitsstrategie sein. Denn durch Weiterbildungsmaßnahmen der Mitarbeitenden in Bezug auf deren IT-Kompetenz, auch über den unmittelbaren Tätigkeitsbereich hinaus, wird sicherheitskonformes Verhalten gefördert. Dadurch werden Vorschriften und Prozesse nicht nur einheitlich definiert, sondern es werden auch die Grundlagen dafür gelegt, dass diese Vorschriften und Prozesse von den Mitarbeitenden getragen und gelebt werden. Denn IT-Sicherheit ist nur erreichbar, wenn alle Mitarbeitenden ihr Risikobewusstsein geschärft haben und IT-Sicherheit als Teil ihrer Tätigkeit verstehen. Nur so kann ein hoher Sicherheitsgewinn erzielt werden.

Michael Tolk

Bildquellen