Riskanter Multi-Pass : Die unterschätzte Problematik der Passwort-Mehrfachverwendung und was man gegen den Missbrauch gestohlener Zugangsdaten tun kann

Täglich erscheinen neue und innovative Onlinedienste am Markt – bei vielen müssen sich Anwender ein individuelles Konto anlegen, um sie nutzen zu können. Und noch immer werden solche Benutzerkonten in der Regel mit einer Kombination aus E-Mail-Adresse und Passwort abgesichert. Die Vielzahl genutzter Onlinedienste führt dazu, dass Menschen im Laufe der Zeit eine große Zahl Benutzerkonten für verschiedenste Dienste ansammeln. Die vielen hierfür benötigten Zugangsdaten stellen die Anwender vor die Herausforderung, geeignete Passwörter zu wählen und sich auch zu merken. Da viele Benutzer mit dem eigenen Passwortmanagement längst überfordert sind, verwendet ein Großteil häufig dieselben Zugangsdaten zur Authentifizierung bei unterschiedlichen Diensten – allzu oft auch unabhängig davon, ob hiervon private oder betrieblich/dienstlich genutzte Dienste und Systeme betroffen sind.

Verschiedene wissenschaftliche Studien legen nahe, dass 40–53 % aller Passwörter mehrfach eingesetzt werden. Wird ein Benutzerkonto mit einem wiederverwendeten Passwort kompromittiert, sind naturgemäß auch die gleichlaufenden Benutzerkonten bei anderen Diensten und Organisationen direkt betroffen. Deswegen sind nach jedem Daten-Leak auch viele Unternehmensinfrastrukturen durch kompromittierte Zugangsdaten angreifbar.

Und so haben auch Kriminelle ein großes Interesse, da sie hier Potenzial für lukrative Aktivitäten auf vielen Plattformen sehen. Zugangsdaten werden im großen Stil gesammelt und für illegale Aktivitäten missbraucht: Einerseits gelingt es durch das Ausnutzen von Sicherheitslücken regelmäßig, in die technische Infrastruktur von Unternehmen einzudringen und dort ganze Benutzerdatenbanken zu stehlen. Andererseits entwenden Angreifer Zugangsdaten auch direkt beim Benutzer, indem sie deren Geräte mit Spionage-Malware infizieren oder aber den Anwender durch Phishing-E-Mails zur Datenpreisgabe bewegen.

Hierdurch entstehen seit vielen Jahren umfangreiche Schäden – nicht nur bei den unmittelbar betroffenen Benutzern, sondern auch bei Unternehmen.

Gestohlene Zugangsdaten verbreiten Kriminelle häufig öffentlich im Internet (oder Darknet), um so das eigene Ansehen in der Community zu steigern. Dadurch werden valide Zugangsdaten einem noch viel größeren Kreis zugänglich und entsprechend steigt die Bedrohung. In vielen Fällen bemerken Betroffene nicht unmittelbar, dass sie bereits Opfer einer Straftat geworden sind – je nach krimineller Aktivität erfahren sie nicht selten erst Jahre später davon, dass sich Täter unter Verwendung ihrer persönlichen Daten bereichert haben. Noch schwieriger ist es für mittelbar betroffene Organisationen, einen Einblick in die Bedrohung über „geleakte“ Passwörter zu erlangen.

Leak-Checker

Interessierte Benutzer können mit den am Markt verfügbaren Leak-Informationsdiensten (etwa [2,3,4], siehe auch [5]) überprüfen, ob eigene E-Mail-Adressen oder Telefonnummern von Datenlecks betroffen sind. Allerdings muss man solche Dienste erst einmal kennen und dann auch noch regelmäßig nutzen, um dauerhaft das eigene Risiko zu ermitteln und die Wahrscheinlichkeit zu senken, Opfer von Identitätsdiebstahl zu werden.

An dieser Stelle wäre ein proaktiver Dienst wünschenswert, der ohne Zutun der Verbraucher aktiv auf möglichst viele betroffene Benutzer zugeht und diese über kompromittierte Zugangsdaten informiert. Darüber hinaus benötigen auch Unternehmen und andere Organisationen einen Dienst, mit
dem sie die Benutzerkonten der eigenen Mitarbeiter und Kunden datenschutzkonform auf Vertraulichkeitsverluste hin prüfen können (vgl. Abb. 1).

Das vom BMBF geförderte Forschungsprojekt „Effektive Information nach digitalem Identitätsdiebstahl“ (EIDI) hat daher in einem interdisziplinären Konsortium Warndienste entwickelt, mit denen Onlinedienste und Unternehmen die eigenen Benutzer und die eigene Infrastruktur schützen können (Projektlaufzeit 2017 bis Ende 2020).

Das Forschungsprojekt hat unterschiedliche Anforderungen von Unternehmen ermittelt, die dann in mehreren Warnsystemen umgesetzt wurden. Damit ein solcher Warndienst zuverlässig funktioniert, benötigt er aktuelle kompromittierte Zugangsdaten. Da Leak-Daten jedoch häufig in großen Mengen in öffentlich zugänglichen Foren und Portalen verbreitet werden, ist diese Anforderung erfüllbar – es hat sich herausgestellt, dass die Menge der öffentlich verfügbaren Identitätsdaten-Leaks kaum zu überblicken ist (vgl. Abb. 2) und solche Daten ohne große Aufmerksamkeit der Öffentlichkeit frei im Internet gehandelt und verbreitet werden.

Verbesserte Datensammlung im Netz

Um einen Überblick über betroffene Zugangsdaten zu bekommen, wurden Systeme entworfen, die es den Betreibern eines Warndienstes erleichtern, solche Daten zu sammeln. Hierzu werden automatisierte Systeme, aber auch manuelle Prozesse eingesetzt, um möglichst umfangreich alle verfügbaren gestohlenen Zugangsdaten aufzuspüren. Im Rahmen des Forschungsprojekts konnten mehrere tausend Zugangsdatensammlungen erfasst werden.

Solche Zugangsdatensammlungen (Identitätsdaten-Leaks) sind in der Regel Textdateien, die pro Zeile einen Datensatz eines Benutzerkontos enthalten. Die Größe derartiger Textdateien variiert zwischen wenigen hundert und mehreren hundert Millionen Zeilen. Datensätze umfassen meistens E-Mail-Adressen und Passwörter, können aber noch weitere Informationen enthalten, wie Name, postalische Anschrift, Bankverbindung, Geburtsdatum und vieles mehr.

Allerdings gibt es für Leak-Dateien kein einheitliches und auch kein etabliertes Datenformat, was die automatisierte Analyse deutlich erschwert. Die enormen Datenmengen machen aber trotz der unbekannten und uneinheitlichen Datenstruktur ein automatisiertes System für die Extraktion der einzelnen Datensätze notwendig. Daher hat EIDI einen vollautomatisierten Parser für Identitätsdaten-Leaks entwickelt, der komplette Datensätze extrahiert und den einzelnen Identitäts-Merkmalen ihre Bedeutung zuordnet.

Hiermit lässt sich die Kombination von E-Mail-Adresse und Passwort extrahieren, während bislang am europäischen Markt verfügbare Leak-Informations-Systeme aus den Leak-Daten lediglich betroffene E-Mail-Adressen erfassen, nicht aber die Kombinationen mit den Passwörtern. Die Verarbeitung genau dieser Kombination aus E-Mail-Adresse und Passwort ist aber eine wichtige Anforderung an ein funktionierendes Warnsystem, da letztlich nur Warnungen ausgesprochen werden sollten, wenn die in den Leak-Daten gefundenen Zugangsdaten tatsächlich noch aktuell sind und sich somit für ein erfolgreiches Login nutzen lassen.

Aus einigen tausend Identitätsdaten-Leaks konnten mithilfe der entwickelten Werkzeuge trotz eines aufwendigen Analyseprozesses mehr als 25 Milliarden Zugangsdaten extrahiert und datenschutzkonform in einer Datenbank gespeichert werden. Bei der Konzeption des gesamten Systems kam das Paradigma „Privacy by Design“ zur Anwendung und wurde durch eine konsequente Begleitung durch Datenschützer und Juristen während des gesamten Entwicklungsprozesses gewährleistet. Um die verarbeiteten Identitätsdaten möglichst umfassend zu schützen, werden diese nicht im Klartext in der Datenbank abgespeichert – außerdem dienen kryptografische Verfahren dazu, ausschließlich Pseudonyme der Zugangsdaten in der Datenbank abzulegen, die aber für eine Warnung vollkommen ausreichend sind.

Praktische Projekt-Ergebnisse

Aufbauend auf dem ermittelten Datenbestand sind in Kooperation mit Anwendungspartnern aus der Wirtschaft unterschiedliche Warndienste entwickelt worden – beteiligt waren dabei Partner aus dem Bereich sozialer Netzwerke, E-Mail-Provider, Online-Shops und andere Unternehmen. Die durch die Kooperationspartner formulierten Anforderungen wurden in drei verschiedenen Dienstarten realisiert.

• Der Dienst Live-Feed übermittelt alle gefundenen Identitätsdaten direkt an die kooperierenden Unternehmen, die anschließend überprüfen können, ob eigene Benutzer in den empfangenen Daten enthalten sind. Sollte dies der Fall sein, dann können die entsprechenden Benutzerkonten beispielsweise deaktiviert und die Inhaber der Benutzerkonten informiert werden.
• Ein weiteres Ergebnis ist der Credential Check: Wird beispielsweise ein neues Benutzerkonto erstellt oder bei einem existierenden Benutzerkonto das Passwort gewechselt, dann kann der Betreiber normalerweise nicht überprüfen, ob der Benutzer ein neues Passwort wählt oder eines wiederverwendet, das bereits in Kombination mit seiner E-Mail-Adresse in einem Identitätsdaten-Leak enthalten ist. Im Forschungsprojekt wurde daher eine Schnittstelle (API) entwickelt, die es Onlinediensten ermöglicht, zu überprüfen ob bestimmte Zugangsdaten bekanntermaßen kompromittiert und im erfassten Datenbestand enthalten sind. So können Dienstanbieter die von einem Benutzer eingegebenen Zugangsdaten mit dieser API zunächst überprüfen, bevor diese akzeptiert werden. Dazu ist es nicht notwendig, Klartexte von Passwörtern zu übertragen, denn hier kommen ebenfalls kryptografische Verfahren zum Einsatz, um eine datenschutzkonforme Verarbeitung zu gewährleisten (genauer gesagt eine Private-Set-Intersection unter der Verwendung von Blinding mit elliptischen Kurven).
• Die beiden bislang dargestellten Lösungen erfordern es allerdings, dass kooperierende Unternehmen den jeweiligen Dienst in die eigene Infrastruktur integrieren, was einen gewissen Integrationsaufwand notwendig macht. Die Anforderungen der Partner zeigten indessen auch Bedarf für eine Lösung, die nur geringen technischen Integrationsaufwand bedeutet. Für kleinere Unternehmen, die primär die eigenen Mitarbeiterkonten schützen möchten, ist daher ein weiterer Dienst namens Leak-Monitoring entwickelt worden: Dieser fertigt einen regelmäßigen Lagebericht an, der teilnehmenden Unternehmen eine Auskunft über die eigene Betroffenheit gibt.

Erschreckender Erfolg

Im Rahmen des Forschungsprojekts wurde dieses Warnsystem bereits sehr erfolgreich mit Partnern aus der freien Wirtschaft getestet, die einige Millionen Benutzer auf ihren Online-Plattformen verzeichnen. Mithilfe des Live-Feeds wurden mehrere Milliarden Datensätze übermittelt, welche die Partner anschließend dahingehend überprüft haben, ob sie valide Zugangsdaten der eigenen Infrastruktur enthielten (also aktuell für diese Online-Plattform gültige Passwörter, vgl. Abb. 1). Bei einer Übereinstimmung wurden die entsprechenden Benutzerkonten deaktiviert und die betroffenen Benutzer über die Gefährdung und schützende Maßnahmen informiert. Insgesamt ließen sich so bereits mehr als eine Million akut gefährdete Benutzerkonten identifizieren und anschließend erfolgreich schützen.

Bei einer so umfassenden Menge valider Zugangsdaten stellt sich die Frage, woher diese Daten stammen. Eine Analyse der an die Partner übertragenen Identitätsdaten-Leaks hat gezeigt, dass die in den Leaks enthaltenen Zugangsdaten sehr wahrscheinlich nicht bei den Partnern selbst abgeflossen sind. Vielmehr ließen sich Identitätsdaten-Leaks, die viele gültige Zugangsdaten enthielten, zum Teil Sicherheitsvorfällen bei anderen Online-Shops oder -Diensten zuordnen.

Das belegt noch einmal ganz praktisch, dass die Passwort-Mehrfachverwendung ein umfassendes Problem für die Sicherheit von Onlinediensten und Unternehmen darstellt, auch wenn kein Angriff gegen die eigene Infrastruktur erfolgreich durchgeführt werden konnte. Dienstanbieter sollten also gerade auch dann sehr aufmerksam sein, wenn bekannt wird, dass bei anderen Unternehmen oder Diensten größere Mengen Anmeldedaten abhanden gekommen sind – denn diese enthalten vermutlich auch einen gewissen Anteil valider Zugangsdaten für die eigene Infrastruktur.

Abhilfe

Im Rahmen des Projekts wurde ebenfalls analysiert, welche Rolle das Alter eines Identitätsdaten-Leaks spielt: Es zeigte sich, dass auch solche Leaks noch immer valide Zugangsdaten enthalten, die aus Sicherheitsvorfällen stammen, die bereits viele Jahre zurückliegen. Aus der Sicherheitsperspektive muss man also weit zurück blicken.

Bereits längst bekannte Maßnahmen können allerdings dazu beitragen, die Bedrohungen durch gestohlene Zugangsdaten zu reduzieren: Die Verwendung einer starken Authentifizierung, etwa mithilfe eines zweiten Faktors (2FA), schützt beispielsweise Benutzerkonten auch dann, wenn die entsprechenden Passwörter bereits kompromittiert worden sind. Hier sind die Betreiber von Onlinediensten gefragt, diese Form der Authentifizierung flächendeckend anzubieten. Die Einführung der PSD2-Richtlinie hat seit Jahresbeginn 2021 einen solchen zweiten Faktor immerhin beim Online-Banking flächendeckend erforderlich gemacht. Dadurch ist den meisten Anwendern diese Form der Authentifizierung mittlerweile bereits bekannt – andere Dienstanbieter können von dieser Benutzererfahrung vermutlich profitieren.

Bis ein Unternehmen einen zweiten Faktor eingeführt und dessen Nutzung vollständig durchgesetzt hat, muss man jedoch auf andere Schutzmaßnahmen zurückgreifen. Hier bietet es sich an, ein Leak-Intelligence-System zu verwenden, um kompromittierte Benutzerkonten in der eigenen Infrastruktur zu erkennen. Darüber hinaus ist es hilfreich, wenn Benutzer und Mitarbeiter zum Thema Identitätsdiebstahl sensibilisiert werden und regelmäßig mithilfe eines Leak-Checkers die eigene Betroffenheit überprüfen. Aus Unternehmenssicht lassen sich Leak-Checker und ihre Nutzung durch die Mitarbeiter beispielsweise in Awareness-Kampagnen einbinden.

Für Verbraucher und Mitarbeiter bietet die Uni Bonn in der Folge des EIDI-Projekts ebenfalls einen Leak-Checker an [2], mit dem Anwender ihre E-Mail-Adressen beziehungsweise die damit verbundenen Dienste auf Kompromittierung in Identity-Leaks überprüfen können – das Ergebnis wird dem Benutzer nach der Prüfung gegen die EIDI-Datenbank an die betroffene E-Mail-Adresse zugesandt.

Dr. Timo Malderle ist wissenschaftlicher Mitarbeiter der Rheinischen Friedrich-Wilhelms-Universität Bonn. Prof. Dr. Michael Meier ist Inhaber des Lehrstuhls für IT-Sicherheit am Institut für Informatik der Universität Bonn und Leiter der Abteilung Cyber Security des Fraunhofer-Instituts für Kommunikation, Informationsverarbeitung und Ergonomie (FKIE). Dr. Matthias Wübbeling ist akademischer Rat an der Universität Bonn sowie dem FKIE und Geschäftsführer der Identeco GmbH & Co. KG.

Literatur

[1] EIDI, Effektive Information nach digitalem Identitätsdiebstahl, Projekt-Website, https://itsec.cs.uni-bonn.de/eidi/
[2] Universität Bonn, identity leak checker (powered by Identeco), https://leakchecker.uni-bonn.de
[3] Hasso-Plattner-Institut (HPI), Identity Leak Checker, https://sec.hpi.de/ilc/
[4] Troy Hunt, Have I Been Pwned (HIBP), Identity Leak Checker, https://haveibeenpwned.com
[5] Timo Malderle, Bedrohung durch Identitätsdatendiebstahl, Datenerhebung, Analyse und Mitigation, Dissertation, Oktober 2020,