Hier im Blog berichte ich ja gefühlt täglich über Sicherheitsvorfälle (Cyberangriffe, Datenlecks, Sicherheitslücken). Mir ist vor einiger Zeit eine Übersicht von den Cybersicherheitsleuten von Surfshark untergekommen. Deutschland ist in Bezug auf geknackte Online-Konten auf den vorderen Plätzen dabei.
Anzeige
Ich nehme es mal als Kurzbeitrag mit auf. In Deutschland wurden im dritten Quartal 2024 durchschnittlich jede Sekunde 2 Benutzerkonten geknackt.
- In Deutschland gab es in 2024 bis Ende Oktober 21,2 Mio. gehackte Benutzerkonten.
- 14,6 Millionen deutsche Konten wurden im 3. Quartal 2024 angegriffen, was einen Anstieg von 404,2% im Vergleich zum Q2 2024 bedeutet.
- Zum Vergleich: In Italien gab es im letzten Quartal nur die Hälfte davon (7,8 Millionen) offengelegten Benutzerkonten, jedoch in Frankreich etwas mehr – insgesamt 17,2 Millionen.
-
Weltweit wurden im 3. Quartal 2024 insgesamt 423 Millionen Konten angegriffen, wobei die USA mit 22 % aller Datenverstöße auf Platz 1 liegen (Zeitraum von Juli bis September). Frankreich liegt auf Platz 2, während Russland auf Platz 3, gefolgt von Deutschland und Japan.
Das geht aus einer globalen Surfshark-Studie in Bezug auf die Datenschutzverletzungen hervor. Surfshark hat mir nachfolgende Grafik zukommen lassen, die Deutschland bei solchen Sicherheitsverletzungen weltweit auf Rang 4 bis 5 sieht.
Nordamerika ist aber weiterhin "führend" bei Datenschutzverletzungen. Im Q3 2024 verzeichnete Nordamerika mit 101 Millionen Konten die höchste Anzahl von Datenschutzverletzungen. Dies ist zwar ein leichter Rückgang im Vergleich zum 2. Quartal 2024 mit 129 Millionen Benutzerkonten, aber die Anzahl von gehackten Konten in Nordamerika macht immer noch ein Viertel aller weltweit betroffenen Konten aus.
Nordamerika rückte von Platz 2 in Q1 2024 auf Platz 1 im Q2 auf und blieb weiterhin in der führenden Position im 3. Quartal 2024. Wie bereits erwähnt, blieben die USA mit den meisten Sicherheitslücken und für die überwiegende Mehrheit (93 %) der verletzten nordamerikanischen Konten verantwortlich.
Anzeige
"Gehackte Benutzerkonten und geleakte Daten sind nach wie vor ein riesiges Problem, wobei sich die Zahl der Datenschutzverletzungen im Q3 2024 im Vergleich zum Q2 2024 verdoppelt hat. Eine Analyse der jahrzehntelangen Datenpannen zeigt, dass seit 2004 insgesamt 68 Milliarden Datenpunkte offengelegt wurden, davon 18 Milliarden sind die E-Mail-Adressen. Im Durchschnitt sind zu jeder E-Mail-Adresse drei weitere Datenpunkte wie Passwörter oder Telefonnummern offengelegt. Die Veröffentlichung personenbezogener Informationen erhöht das Risiko, ins Visier von Cyberkriminellen zu geraten", sagt Emilija Kucinskaite, Senior Researcher bei Surfshark dazu.
Passkeys als Rettung?
Mir geht dabei natürlich das Thema Passkey durch den Kopf, was ja derweil propagiert wird. Passkeys sind eine Alternative zu Passwörtern, da die Anmeldung des Benutzers ohne ein Passwort erfolgt. Unter Umständen kann dieser passwortlose Login sicherer als der Umgang mit Passwörtern sein, schreibt das BSI hier. Vorteile der Technologie für Nutzerinnen und Nutzer liegen darin, dass Sie in Zukunft zum einen keine Passwörter mehr erstellen und verwalten müssen. Zum anderen sind Passkeys immun gegen die breite Masse bekannter Phishing-Angriffe, so das BSI. Im betreffenden Beitrag des BSI finden sich weitere Hinweise zum Thema.
Mir steht immer noch der Golem-Artikel von April 2024 mit dem Titel Webauthn-rs-Entwickler hält Passkeys für geplatzten Traum vor Augen. William Brown ist der Entwickler von webauthn-rs, eine Webauthn-Bibliothek für Rust. Brown hat einen Blog-Beitrag veröffentlicht, in dem er Passkeys als "geplatzten Traum" bezeichnet – die Chance, das breit durchzusetzen, wurde seiner Meinung nach vertan. Die Verfahren sind wohl zu komplex, um Passkeys auf einfache Weise verwenden zu können.
Anzeige
Meiner Ansicht nach haben Passkeys den großen Nachteil, dass man für deren Bereitstellung auf Big-Tech angewiesen ist und diese Firmen dann über die Metadaten zumindest theoretisch immer wissen von wo und wann man sich irgendwo angemeldet hat.
Keine Frage, wenn Passkeys eine größere Verbreitung finden, werden die meisten Lemminge diese bei Apple und Google verwalten lassen und doof aus der Wäsche schauen, wenn es Issues mit der Apple ID gibt oder die Google AI beschließt aus XYZ Gründen deren Konto zu sperren (too much nipples) …
Technisch benötigen Passkeys kein Big-Tech/Cloud Geraffel. Das funktioniert auch mit KeePassXC, Bitwarden, etc.
Ich nutze Passkeys aber weiterhin nur als weiteren Faktor in MFA. Zumindest mein 'Wissen' ist bisher noch vor Erzwingungshaft geschützt und selbst wenn sich dies in Zukunft ändert, kann ich immer noch spontan entscheiden, ob ich bei Straf-/Gewaltandrohung kooperiere oder 'leider mein Passwort vergessen habe.
Im Zusammenhang mit Passkeys, schlage ich vor sich mal die Lösung von RCDevs WebADM anzuschauen.
Diese Statistiken sind für die Katz! Da werden auch die Ganzen Leaksammlungen mit reingenommen, ohne das geprüft wird ob diese Daten überhaupt noch aktuell sind!
Stehe selbst mit drei eMails inkl.PW in solchen Listen… seit Jahren und seit Jahren nicht aktuell. Geklaut/abhanden gekommen sind diese auch nicht bei mir selbst, sondern durch Drecksfirmen wie Sony/Adobe/LastFM die sich die Daten klauen haben lassen, teilweise sogar im Klartext. Strafe für diese Firmen? Null, Nada, Nothing, Ikke noget; Ei midagi, Mikään, Rien…
Bereinigt man diese Statistiken ist es gerade noch nen Bruchteil. Bringt dann aber keine Schlagzeile mehr.
Millionen PW geleakt hört sich halt besser an, das davon 50% hoffnungslos überaltet und längst nicht mehr gültig sind interessiert nicht.
>>"Millionen PW geleakt hört sich halt besser an, das davon 50% hoffnungslos überaltet und längst nicht mehr gültig sind interessiert nicht."
Beruflich ist das Dank (deprecated*) immer noch zyklischen Passwortwechseln zzgl. 2FA wohl so. Aber privat? Passwortrecycling, nur einer Mailadresse für alles, kein 2FA, gar-nicht-bewusst-oder-interessiert-dass-Daten-geklaut-wurden – da finden sich sicherlich wirklich Millionen nutzbare persönliche Daten und Zugänge für dieses oder jenes Konto. Ob das dann wirklich relevante Konten sind, steht auf einem anderen Blatt, aber die persönlichen Daten, die viele Eintragen (z.B. echtes Geburtsdatum, "vielleicht gibt's ja ein Geschenk"), sind ganz sicherlich für Phishing interessant.
Passkeys sind für Liesl und Otto Normalnutzer – wenn überhaupt bekannt – zu unbequem, aufwänding, schwierig zu verwenden und vor allem zu teuer (zu teuer fängt bei >1€ an).
*) "Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden" (ORP.4.A23)."
aus: https://www.borncity.com/blog/2024/12/09/starke-passwoerter-nach-bsi-it-grundschutz-in-active-directory-so-gehts/
Stimmt.
Eine meiner Mailadressen steht immer noch in den Listen drin.
Da wurde mal ein Shop, bei dem ich die Mailadresse benutzte, gehackt.
Das ist aber schon weit über 10 Jahre her und ich habe damals auch gleich alle Passwörter geändert.
Die in den Listen stehenden Daten sind also schon seit über 10 Jahren nicht mehr aktuell.
Ich denke nicht, dass Passkeys eine Rettung ist, es ist die Mischung aus Desinteresse, Bequemlichkeit, die über Faulheit bis hin zur Ignoranz reicht und grenzenloser Naivität. Erst kürzlich habe ich bei Vorbereitung eines Vortrages in Shodan festgestellt, dass in Deutschland ca. 77.000 Rechner mit freien SMB offen am Netz hängen, ohne Authentifizierung wohlgemerkt! Denen helfen weder Passkeys noch Super-Duper Schlangenöl. Da helfen nur Schmerzen und saftige Strafen. Am liebsten so hoch, dass diese nie wieder irgendwas mit Display und Tasten anpacken.
Ich halte eine Abbhängigkeit von Passkeys von wenigen amerikanischen Herstellern, Google, Microsoft, Metam … auch für gefährlich, auch weil jetzt der Datenschutz-Pakt mit der USA wieder auf der Kippe stehen könne, wie in dem anderen Artikel vorhergesagt.
Ich frage mich, warum die EU für ihre Bürger keinen Passkeys Dienst zur Verfügung stellt.
Weil sie es nicht gebacken kriegen! Wie alles was mit IT zu tun hat.
Sorry da kenne ich Drittweltländer die mehr Expertise haben.
/edit/
dreht "Silberlöckchen Orange" uns die Dienste ab, weil ihm die EU auf die Eier geht, ist hier zappenduster! Und komm mir nicht damit das ist unwahrscheinlich.
Krieg in Europa dachte auch keiner das wir das nochmals erleben.
China kann da ein Lied von singen, nur sind die in der Lage das auszugleichen.
Persönlich hoffe ich ja das es dazu kommt, denn man muss erst altes niederbrennen um Neues zu schaffen und das können wir: aufstehen und wieder aufbauen! (naja alles nach Millenium wohl eher nicht mehr)
Ja wäre wirklich schön, wenn die Transatlatik Datenschubers alle auf die Schnauze flögen und möglichst daran auch zugrunde gehen würden. Dann wäre Platz für neues und Solides.
Dann geht unsere gesamte Industrie mit unter. Wollen Sie das?
Tja nen ordentlicher Neuanfang funktioniert nunmal nur so! Ist bitter… aber anders wird das nix mehr.
Ich sehe hier einen direkten Zusammenhang mit dem Durchschnitts-IQ der jeweiligen Länder.
Der ist gut.
you make my day ;-P
Wer viel macht, macht auch viele Fehler. Die Statistik zeigt auch, dass wir beim Thema "Digitalisierung" doch recht weit sind, selbst wenn es auf der Ebene "Behördenkommunikation mit dem Bürger" noch nicht so weit ist. Insbesondere wenn wir die Zahlen an den Balken mal durch die Einwohnerzahl der einzelnen Länder normalisieren.
Wir sind in Deutschland mit der so genannten "Digitalisierung" so weit, dass Kinder und Jugendliche ohne ihr Smartphone schon durchdrehen. Auch günstige Preise beim Supermarkt bekommt man jetzt schon nur mit deren APP die auch alle persönlichen Daten haben möchte. Bei manchen Dingen muss es nicht immer digital sein.
Nur weil man etwas mit PC Tablet Handy machen kann ist das noch keine Digitalisierung und stümperhaft umgesetzt hat auch nichts mit Digitalisierung zu tun!
Wenn das dann auch nur mit IT aus den Staaten funktioniert spricht das auch nicht für Deutschland.
Die Daten sind doch normalisiert (pro 1000 Personen)
Wenn ich die Flaggen richtig im Kopf habe ist nicht Russland auf Platz 3 sondern Finnland.
Vielleicht sollte man einfach mal anfangen, mehr Qualität in Software zu bringen um mögliche Sicherheitslecks / Schwachstellen zu reduzieren / minimieren, statt immer mehr "Schichten" an "Sicherheitstechnik" darüber zu ziehen.
Funktioniert im Alltäglichen Leben ja auch (TÜV, GS, VDE usw.) das der Endverbraucher auch ohne Diplom damit sicher zurecht kommt, wäre ja Lustig, wenn man vor der Benutzung des Kühlschranks erst einmal seine komplette PSA anziehen müsste damit es nutzen kann :-).
Aber, geht ja nicht weil "hier bitte Random-Pseudo-Grund weil Programmieren ja komplizierter ist als alles andere auf dieser Welt"