Kürzlich wurde bekannt, dass dem Vorstandsvorsitzenden des Nürnberger IT-Dienstleisters DATEV und Präsidenten des IT-Dachverbands Bitkom, Dieter Kempf, auf dessen Reise mit der Bahn zum IT-Sicherheitskongress das Smartphone aus dem Jackett am Kleiderhaken entwendet wurde (vgl. hier). Zwar lassen sich die von Kempf vergebenen langen Kennwörter nur schwer brechen, jedoch könnte man – eine gewisse paranoide Haltung vorausgesetzt – einen Smartphone-Diebstahl auch als vorbereitende Maßnahme für einen gezielten Social-Engineering-Angriff deuten, selbst wenn die Presse mutmaßt, dass es den Dieben primär um die Erpressung von Lösegeld und nicht um die Daten an sich geht. Aber dies muss ja nicht immer zutreffen.
Keine Lösegeldforderungen, aber trotzdem unangenehm
Ist der physische Zugriff auf ein Gerät über ungefähr fünf Minuten ungehindert möglich, kann ein Angreifer problemlos den WhatsApp-Account eines Opfers übernehmen, selbst wenn das gestohlene Gerät mittels Sperrcode gegen unautorisierten Zugang geschützt ist. Denn der für die erfolgreiche Accountübertragung erforderliche Autorisierungscode, welcher als SMS an die Mobilrufnummer des Opfers gesendet wird, kann auf Wunsch des Angreifers nach fünf Minuten Wartezeit auch telefonisch angesagt werden. Hierzu geht ein Anruf von WhatsApp auf dem Telefon des Opfers ein, der bei physischem Zugriff auf das Telefon ohne Kenntnis des Zugangscodes angenommen und hierdurch der Aktivierungscode erfolgreich übertragen werden kann. Voraussetzung ist lediglich die Kenntnis der Telefonnummer des Opfers. Im Falle eines iPhones kann hierzu etwa versucht werden, Siri nach der Nummer zu fragen. Dieses Vorgehen wurde von spanischen Bloggern erfolgreich in einem You-Tube Video demonstriert (vgl. hier).
Viele Betroffene schweigen und zahlen
Der Fall von Dieter Kempf jedenfalls scheint mittlerweile kein Einzelfall mehr zu sein, denn zu gleicher Zeit wurde bekannt, dass es einen Frankfurter Rechtsanwalt womöglich noch härter getroffen hat. Dieser ließ seinen Laptop, ebenfalls in der Bahn, während eines Besuches im Bordbistro ungesichert am Platz zurück. Das Gerät wurde prompt gestohlen. Auf Grund der unsicheren Konfiguration des Gerätes und der Möglichkeit des Fernzugriffs auf das interne Netzwerk, war es den Dieben innerhalb kurzer Zeit möglich, auf sensible Kundendaten des internen Kanzleinetzwerks zuzugreifen. Als Auslöse für das Gerät verlangten die Diebe einen Betrag in Höhe von 90.000 €. Auf Grund der für den Rechtsanwalt geltenden Schweigepflicht sah dieser keine andere Möglichkeit, als das Lösegeld zu zahlen (vgl. hier).
Laut Experten ist mit einem weiteren Anstieg der Erpressungen im Cyberraum nicht nur wegen überforderter Cybercops zu rechnen; auch neue Bezahlmöglichkeiten wie Bitcoins eröffnen Cyber-Kriminellen neue Möglichkeiten.
Fazit:
Angesichts der vielen weder ausreichend gesicherten noch gesperrten Laptops oder Smartphones, die von Ihren Besitzern beziehungsweise Anwendern in Zugabteilen oder während Konferenzen an ihren Plätzen zurückgelassen werden, lässt sich ableiten, dass diese Art von Gefahr erst bei den wenigsten angekommen ist. Als Minimalschutz eines Laptops oder Smartphones ist sowohl dessen Verschlüsselung, als auch der Zugangsschutz über ein mindestens acht Zeichen langes und gewissen Komplexitätsanforderungen entsprechendes Kennwort anzusehen. Für Laptops ist auf Reisen nicht nur die Aktivierung der Bildschirmsperre beim Verlassen des Gerätes absolut notwendig. Der Laptop sollte dann auch zusätzlich heruntergefahren werden, so dass die Festplattenverschlüsselung aktiv ist und die Daten schützt. Ansonsten drohen – je nach vorhandenen Schnittstellen – böse Überraschungen. Noch besser ist es natürlich, den Laptop und seine Mobilgeräte im Zug oder auf Konferenzen nicht unbeaufsichtigt zu lassen.