Für die Betroffenen muss es sich anfühlen wie ein Schlag in die Magengrube: Personalausweis und Telefonnummern, private Bilder und Chatverläufe - alles offen im Netz und für jeden einsehbar. Was jetzt als großer Politiker- und Promi-Hack für Entsetzen sorgt, kommt jedoch kaum überraschend.
Denn es war weniger ein besonderes Talent des oder der Hacker dafür nötig, dass das Abgreifen und Veröffentlichen der Promi-Daten solche Ausmaße annehmen konnte. Etwas Fleiß und krimineller Ehrgeiz beim Sammeln von Login-Informationen haben da sicher gereicht.
Verheerend war (und ist) vielmehr ein vorgelagertes Problem, das vielerorts besteht und leider allzu oft verdrängt bzw. ignoriert wird: der mangelnde Schutz von Zugangsdaten und fehlende Multi-Faktor-Authentifizierung.
Dass Zugangsdaten für viele digitale Dienste als aktive User-Eingaben relativ einfach abzugreifen sind, ist eigentlich schon schlimm genug. Dass sich aber die überholte Kombination aus Nutzername plus Pass-wort so hartnäckig als ausschließlicher Access auch zu sensibelsten Informationen hält, macht alles noch viel brisanter.
Da zahlreiche Anwender kaum engagiert im Setzen und Variieren sicherer Passwörter sind (geschweige denn im Nutzen eines Passwort-Managers), passt ein gefundener Schlüssel schnell zu vielen Türen – und eine Fülle privatester Daten tut sich auf.
Der Fall zeigt eindrücklich, dass ein sorgfältiges Identity- und Access-Management (IAM), idealerweise basierend auf Multi-Faktor-Authentifizierung, keine Spielerei ist, um vielleicht einmal Iris-Scanner oder Gesichtserkennung auszuprobieren. Sondern zentrales Element einer konsequenten Sicherheitsstrategie.
Das muss Usern und Organisationen bewusst sein, die ihre digitalen Identitäten schützen möchten. Vor allem aber auch Anbietern, die digitale Dienste zur Verfügung stellen.