Arbeitsspeicher kann Passwörter verraten

Unsere Reihe von Blogbeiträgen durch Studierende der FHPolBB wird heute mit einem Beitrag von Florian Weizenfeld fortgesetzt. Herr Weizenfeld ist PKA und zudem Informatiker. So liegt es nahe, dass er in seinem Beitrag eine Frage der technischen Sicherheit im Internet analysiert. Dass einzelne Arbeitsschritte seines im Folgenden skizzierten Experiments nicht zu detailliert ausgeführt werden, liegt an der Intention dieses Blogs: Wir wollen Internetnutzer schützen und keine Blaupausen für kriminelle Aktivitäten liefern. Reflektieren wir also gemeinsam mit Herrn Weizenfeld riskante Aspekte der Nutzung öffentlicher Rechner:

(Herr Weizenfeld wird unser Bloggerteam in Zukunft mit weiteren Beiträgen unterstützen. Wir freuen uns schon jetzt darauf: Herzlich willkommen!)

Die heutige Zeit ist davon geprägt, immer und überall Online zu sein. E-Mails und Facebook-Benachrichtigungen werden zur jeder Zeit, an jedem Ort auf dem Smartphone empfangen. Falls kein Smartphone zur Hand ist oder ein größerer Bildschirm zum Surfen benötigt wird, geht man in das nächste Internet Cafe, nutzt öffentliche Rechner der Schule, Universitäten oder Bibliotheken oder den Rechner am Arbeitsplatz. Einmal im Internet, werden u.a. E-Mails gecheckt, der Facebook-Status aktualisiert und einige Fotos in die Dropbox gelegt. Wer die Ratschläge der Profis befolgt, der besitzt für alle Zugänge ein gesondertes Passwort, loggt sich nach jeder Internetnutzung aus und sorgt dafür, dass die beim Surfen entstandenen Cookies wieder gelöscht werden.

Selbst auf Fremdrechnern, die nicht mit Schadsoftware verseucht sind und auf denen man diese Sicherheitsmaßnahmen beachtet, können jedoch riskante Spuren hinterlassen werden. Zum Beweis habe ich einen Selbstversuch durchgeführt, um Ihnen zu illustrieren, welche persönlichen Daten man unbeabsichtigt hinterlassen kann. Dazu habe ich mit dem Pseudonym „Christoph Baumann“ einen kostenlosen E-Mail-Account bei einem der großen Anbieter geschaffen, ihn mit dem Passwort „19WaldBaum!84“ gesichert und zusätzlich einen begleitenden Facebook-Account eröffnet (was natürlich auch mit anderen sozialen Netzwerken, wie etwa Google+ möglich gewesen wäre). Mein Ziel war es zu testen, ob das Passwort nach der Internetnutzung und unter Beachtung der genannten Sicherheitsregeln unverschlüsselt auf einem benutzten Rechner wiederzufinden ist.

Dazu begab ich mich an einen öffentlichen Rechner mit Internetzugriff und loggte mich in die neu erschaffenen Accounts ein. Nach ausgiebiger Internetnutzung als Christoph Baumann habe ich meine E-Mails abgerufen, meine Erlebnisse bei Facebook geteilt und in einem Text-Editor eine E-Mail verfasst, die ich anschließend doch verworfen und dazu die ungespeicherte (!) Datei geschlossen habe. Ich loggte mich schließlich überall ordnungsgemäß aus, löschte alle Cookies, schloss den Browser und ging so davon aus, durch Nutzung der Sicherheitsrichtlinien keine nennenswerten Spuren hinterlassen zu haben. Lassen Sie uns nun gemeinsam prüfen, ob das tatsächlich der Fall war:

Weiterlesen