Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

Datenschutz für VIPs: Was wir aus dem Hack von Colin Powells E-Mail-Konto lernen können

Geschrieben von Carl Groves | Nov 2, 2016 5:24:00 AM

Man kann getrost die Frage stellen, inwieweit sich Führungskräfte, Entscheidungsträger in Regierungen und andere Repräsentanten einer gesellschaftlichen Elite sich tatsächlich von uns Normalsterblichen unterscheiden. Sie tun es, wenn auch nicht unbedingt zum besseren. Das Gmail-Konto des früheren Secretary of State Colin Powell, wurde ebenso erfolgreich gehackt wie das AOL-Konto des ehemaligen CIA Director John Brennan und das Gmail-Konto von John Podesta, einem der wichtigsten Berater der Demokraten. Man könnte fast den Eindruck gewinnen, dass für Führungskräfte unserer Ära das Medium E-Mail magische Eigenschaften besitzt. Unter anderem die, sich quasi automatisch um die Belange des jeweiligen Kontoinhabers zu kümmern. Leider ist das nicht der Fall.

Sorgloser Umgang mit öffentlichen Konten

Als der erfolgreiche Hack von Colin Powells E-Mail-Konto im letzten Monat publik gemacht wurde, waren IT-Sicherheitsexperten unterschiedlicher Couleur schnell mit den üblichen Ratschlägen bei der Hand: verschiedene Passwörter für verschiedene Konten nutzen, 2-Faktor-Authentifizierung einsetzen, automatische Nachrichtenweiterleitung deaktivieren, sich vor Phishing-Mails in Acht nehmen und so weiter. Das sind alles vernünftige Ratschläge.
VIPs sollten aber noch einige andere Empfehlungen beherzigen. Zum Beispiel sollten sie grundsätzlich auf Webmail-Accounts aller Art verzichten.

Ein Beispiel. Gibt man den Namen „Colin Powell“ in den Personen- und E-Mail-Suchdienst Spokeo ein, erscheint er als 79-jähriger Einwohner von McLean, Virginia. Nutzt man die kostenpflichtige Spokeo-Variante, würde man zusätzlich die Gmail-Adresse erhalten. Das Ganze funktioniert auch umgekehrt. Gibt man die auf der DC-Leaks-Seite veröffentlichte E-Mail-Adresse ein, liefert Spokeo die identische Adresse wie bei der ursprünglichen Namenssuche:

Damit wissen wir bereits, dass Powell sein Gmail-Konto für die von ihm verwendeten sozialen Medien benutzt hat, für E-Commerce-Transaktionen und andere Online-Dienste. Da die Privatsphäre-Einstellungen bei vielen Websites eher durchlässig als sicher sind, haben sich Daten-Broker vermutlich Powells Adresse heraus gepickt und so landete sie schließlich bei Spokeo.

Es gibt einiges zu tun

Menschen wie Powell geraten nicht nur leicht ins Visier von Hackern. Sie sind auch ein ideales Ziel. Und wenn es nur darum geht aus schlecht abgesicherten Konten Kapital zu schlagen. Beispielsweise indem man peinliche und pikante Details aus dem Leben von Familie und Freunden zur Veröffentlichung anbietet. Mittlerweise wissen wir, dass Powell sein privates E-Mail-Konto während seiner Tätigkeit im State Department benutzte um mit „Freunden“ – darunter Führungskräfte und Regierungschefs anderer Länder – „off the records“ zu kommunizieren. Und nicht nur das. Er gab der damaligen Secretary of State, Hillary Clinton, Tipps wie sie den offiziellen E-Mail-Account und die IT-Sicherheit mit Hilfe eines Modems und eines Laptops umgehen könnte.

Für hochrangige Persönlichkeiten im Staatsdienst und andere exponierte Führungskräfte kann die Empfehlung daher nur lauten sofort alle Gmail-, AOL- und Yahoo-Konten zu löschen und stattdessen eine separate Domain beim Provider einzurichten. Dieses private Konto sollte man entsprechend zurückhaltend für private und sozusagen „quasi“-offizielle Kommunikation benutzen. Und bitte nicht gleichzeitig für den favorisierten Lieferdienst vor Ort. Zusätzlich sollte man sich mit dem Gedanken anfreunden alle Inhalte zu verschlüsseln.

Unternehmens-IT und VIPs

Als es den Hackern gelungen war Powells Gmail-Konto zu knacken, stießen sie beispielsweise auf eine interne Salesforce.com PowerPoint überschrieben mit “M&A Target Review” und verschickt als E-Mail-Anhang. Ein schöner Zufallsfund für Hacker und Cyberkriminelle: Eine Liste mit Unternehmen, die Salesforce.com zu übernehmen plant.

Aber warum hat Powell diese E-Mail überhaupt bekommen? Ganz einfach. Weil er Aufsichtsratsmitglied von Salesforce.com ist und das Dokument vor der bevorstehenden Aufsichtsratsversammlung im Mai an die Mitglieder des Aufsichtsrates verschickt wurde.

Schaut man etwas genauer hin, kommt man nicht umhin zu bemerken, dass Colin Powells E-Mail-Adresse eine der wenigen ist, die zu einem öffentlichen Webmail-Dienst gehören. Die überwiegende Mehrzahl der Angeschriebenen verwendete eine offizielle Unternehmens-Domain.

Aus unserer Sicht sollte es nicht zu viel verlangt sein, wenn ein Aufsichtsratsmitglied oder eine Person des öffentlichen Lebens in einer vergleichbar exponierten Stellung ein sicheres E-Mail-Konto des Unternehmens oder der Institution verwendet, bei der sie beschäftigt ist.

Das allein hätte den erfolgreichen Hack der PowerPoint verhindert.

Betrachtet man das Verhältnis von IT-Abteilung und VIPs scheint es sich eher um ein „diplomatisches“ Problem und nicht um ein primär technisches zu handeln. Wahrscheinlich wird niemand aus der IT-Abteilung ernsthaft einen vormaligen Staatssekretär darauf hinweisen, dass er für die Salesforce.com betreffende Kommunikation doch lieber einen professionellen E-Mail-Account anstatt seines privaten Gmail-Kontos verwenden sollte. Ein gefühltes Dilemma wie dieses sollte allerdings bei Sicherheitserwägungen keine Rolle spielen.

E-Mail und vertrauliche Inhalte

Der zweite, nicht ganz unwichtige Aspekt ist, dass Salesforce die PowerPoint ohne zusätzliche Sicherheitsmaßnahmen verschickt hat. Auch wenn die dahinterliegende Absicht war, es für den hochrangigen Empfänger so bequem wie möglich zu machen, gilt es doch eine Balance zu schaffen zwischen Zugriffsmöglichkeiten und Sicherheitserwägungen. Hier sprechen wir aber über sensible und hoch vertrauliche Daten oder wie die Juristen es nennen würden, sogenannte „wesentliche Informationen“. Hier sollte Sicherheit gegenüber der reinen Benutzerfreundlichkeit immer den Vorrang haben. Und die Technologie gibt es bereits. Dabei wird die betreffende E-Mail mit einem Link versendet, der zu einem sicheren internen Speicherort führt, wo die vertraulichen Dateien archiviert sind. Selbst wenn Angreifer es schaffen auf die Nachricht zuzugreifen, stehen sie gleich vor der nächsten Hürde (nämlich der Authentifizierung am betreffenden Fileserver).

Der VIP „Sicherheitshausmeister“

Das führt uns zu einer weiteren Beobachtung in Sachen Hacker und E-Mail. Angreifer haben womöglich ein sehr viel klareres Bewusstsein davon, dass E-Mail-Konten die Quelle sind, aus der sich die meisten Daten aus einer Hand abschöpfen lassen: vertrauliche Informationen, Geschäftsgeheimnisse und andere IPs.

Das erspart es den Eindringlingen erst das gesamte Dateisystem mühsam nach hochwertigen Inhalten durchsuchen zu müssen. Stattdessen können sie den direkten Weg zum E-Mail-Server oder den lokalen Dateien auf dem Laptop eines VIP nehmen. Mit dem Thema „Whaling“ und Phishing-Attacken auf Führungspersonen und Berühmtheiten haben wir uns bereits an anderer Stelle befasst. Und das Phänomen nimmt eher zu als ab.

Vielleicht wäre es in solchen Fällen tatsächlich eine Lösung, eine Elite-Truppe ins Leben zu rufen, die sich ausschließlich mit den Sicherheitsbelangen von Top-Führungskräften und VIPs beschäftigt. Gerade im Licht der jüngsten Attacken betrachtet gelangen immer mehr IT-Profis zu der Ansicht, dass IT-Sicherheit an der Spitze der Pyramide ansetzen muss.
Das heißt, es mag neben der regulären IT-Abteilung ein „A-Team“ geben, dass neben den technischen Aspekten mit den politischen Implikationen vertraut ist und entsprechend vermitteln kann. Am besten Tag und Nacht, wenn es sein muss.