Blog Datensicherheit

Der Datenschutzverstoß in Ubuntu-Foren: Schwache Passwörter und die Folgen

von Andy Green Wenn Sie Ihre guten Vorsätze fürs neue Jahr wieder nicht umgesetzt haben, d. h. immer noch keine stärkeren Passwörter und keine Zwei-Faktor-Authentifizierungen (sofern möglich) eingeführt haben und weiterhin die...
Michael Buckbee
2 Min. Lesezeit
Letzte Aktualisierung am 29. Oktober 2021

Contents

    von Andy Green

    Der Datenschutzverstos

    Wenn Sie Ihre guten Vorsätze fürs neue Jahr wieder nicht umgesetzt haben, d. h. immer noch keine stärkeren Passwörter und keine Zwei-Faktor-Authentifizierungen (sofern möglich) eingeführt haben und weiterhin die Verwendung des gleichen Passworts auf mehreren Websites zulassen oder sich ausschließlich auf einen Passwort-Manager verlassen, wird der Datenschutzverstoß vom vergangenen Wochenendes Sie vielleicht wieder auf den richtigen Weg bringen. Am Samstag stahlen Hacker mehr als 1,8 Millionen Benutzernamen, Passwörter und E-Mail-Adressen aus dem Online-Forum für Ubuntu.

    Das Unternehmen, das die Vermarktung von Ubuntu Linux unterstützt, nahm die Website sofort offline und hinterließ seinen Benutzern eine Nachricht, die in vier Worten zusammengefasst werden kann: Ändern Sie Ihre Passwörter!

    Kurze Zeit später erhielten die Forennutzer eine weitere Mitteilung: Sollte das gleiche Passwort auch auf anderen Websites verwendet worden sein, insbesondere für das E-Mail-Konto, mit dem sie sich im Forum angemeldet haben, wurde ihnen „dringend“ nahegelegt, auch die Passwörter dieser anderen Dienste schnellstmöglich zu ändern“.

    Inwieweit ist dieser Verstoß von Ubuntu mit anderen Cyber-Angriffen in diesem Jahr vergleichbar? Meine Quelle für aktuelle Statistiken zu Datenschutzverstößen ist das Identity Theft Resource Center. Dies verfügt über eine laufende Protokolldatei der öffentlich angezeigten Vorfälle. Mit Stand vom 16. Juli zählten sie 326 Vorfälle und sieben Millionen gefährdete Datensätze. Allem Anschein nach betraf der größte Vorfall vor  diesem bisher 1,1 Millionen Datensätze.

    Sorry Ubuntu, aber mit dieser Nachlässigkeit übernehmt ihr nun den ersten Platz. Wir können nur hoffen – und die bisherige Erfahrung spricht in diesem Fall gegen uns – dass damit die Höchstzahl der durch Hacker gefährdeten Datensätze für das Jahr 2013 erreicht ist.

    Sicherheitsexperten haben auf vielen Websites darauf verwiesen, dass auch dann Bedenken bestehen, wenn die Passwörter von Ubuntu nicht im Klartext-Format sind. Sie wurden durch den extrem fehlerhaften MD5-Algorithmus geknackt. Glücklicherweise hatte der IT-Administrator der Foren die MD5-Algorithmen mit Salt-Zeichenketten verstärkt, um die Arbeit der Hacker zumindest zu erschweren. Mehr dazu weiter unten.

    Blogger, die sich mit dem Thema Sicherheit befassen, haben überall im Internet auf ihre vorherigen Posts über „unsalted“ MD5s verwiesen, sodass es sich dabei keineswegs um ein unbekanntes Problem handelt. Ganz nebenbei können Sie auch in einem unserer zurückliegenden Posts über Rainbow Tables und schwache, berechenbare Passwörter nachlesen, wie die Entschlüsselung von MD5 zum Kinderspiel wird.

    Es ist wenigstens ein kleiner Trost, dass die Forum-Administratoren von Ubuntu mehr Komplexität verwendet haben, indem sie ihrer MD5-Hashfunktion „Salt“ zufällig gewählte Zeichen hinzugefügt haben. Damit können Massenentschlüsselungen in Abhängigkeit von der Länge oder der Salt-Zeichenkette verhindert werden. Bei Hashfunktionen mit vielen Salt-Zeichenketten können Hacker ihre Ressourcen auch weiterhin selektiv konzentrieren und einige einfache knacken – beispielsweise die von einer Spitzenführungskraft oder einer halböffentlichen Person.

    Wie verbreitet ist die Angewohnheit schwache Passwörter zu benutzen? Sehr weit! Eine Umfrage, die wir im April durchführten, ergab, dass mehr als 60 % der Befragten das gleiche Passwort auf mehreren Websites verwenden. Ungefähr 50 % gaben an, immer noch keine Zwei-Faktor-Authentifizierung im Einsatz zu haben. Laut einer vorsichtigen Schätzung gibt es mehrere Tausend Benutzer des Ubuntu-Forums, die gerade eifrig ihre Passwörter ändern….

    Und auch Sie sollten jetzt den Druck spüren! Ich habe mich bisher um die Zwei-Faktor-Authentifizierung für mein eigenes E-Mail-Konto und andere wichtige Dienste gedrückt. So ist diese Datenpanne bei Ubuntu Glück im Unglück: Sie kommt gerade zur richtigen Zeit, um Internetnutzer aus ihrer Sommer-Lethargie zu holen und die Verteidigungsmechanismen zu verstärken.

     

    The post Der Datenschutzverstoß in Ubuntu-Foren: Schwache Passwörter und die Folgen appeared first on Varonis Deutsch.

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    ein-leitfaden-zur-ki-datensicherheit:-warum-sie-wichtig-ist-und-wie-man-es-richtig-umsetzen
    Ein Leitfaden zur KI-Datensicherheit: Warum sie wichtig ist und wie man es richtig umsetzen
    ein-leitfaden-zur-ki-datensicherheit:-warum-sie-wichtig-ist-und-wie-man-es-richtig-umsetzen
    Lexi Croisdale
    11. Juli 2025
    Erfahren Sie mehr darüber, was KI-Datensicherheit wirklich bedeutet, warum sie wichtig ist und wie Sie sensitive Daten schützen, die von KI-Systemen und -Workflows verwendet oder von diesen offengelegt werden.
    varonis-kündigt-eine-strategische-partnerschaft-mit-microsoft-an,-um-die-zukunft-der-ki-zu-sichern.
    Varonis kündigt eine strategische Partnerschaft mit Microsoft an, um die Zukunft der KI zu sichern.
    varonis-kündigt-eine-strategische-partnerschaft-mit-microsoft-an,-um-die-zukunft-der-ki-zu-sichern.
    Yaki Faitelson
    11. Juli 2025
    Die Unternehmen haben eine strategische Produktpartnerschaft geschlossen, um skalierbare Datensicherheit, Governance und Compliance für das KI-Zeitalter bereitzustellen.
    verborgene-risiken-von-shadow-ai
    Verborgene Risiken von Shadow AI
    verborgene-risiken-von-shadow-ai
    Jonathan Villa
    11. Juli 2025
    Shadow AI ist auf dem Vormarsch, da Mitarbeitende nicht genehmigte KI-Tools verwenden. Erfahren Sie, welche Risiken dies für Sicherheit und Compliance darstellt und wie Sie verantwortungsvoll damit umgehen.
    ki-modellvergiftung:-was-sie-wissen-müssen
    KI-Modellvergiftung: Was Sie wissen müssen
    ki-modellvergiftung:-was-sie-wissen-müssen
    Jonathan Villa
    30. Juni 2025
    Erkunden Sie die zunehmende Bedrohung durch „Modellvergiftung“ – Cyberangriffe, bei denen Modelle des maschinellen Lernens manipuliert werden –, und erfahren Sie, wie Ihr Unternehmen sich dagegen verteidigen kann.