Cybersicherheit: Ein effektives Passwort ist die erste Regel, aber zu viele ignorieren sie immer noch
Es scheint unglaublich, dass im Jahr 2025 immer noch schwache, ja sogar extrem schwache Passwörter verwendet werden, wie „123456“, und es ist noch unglaublicher, dass dies von einer künstlichen Intelligenzplattform getan wurde, die für die Einstellung von Mitarbeitern eines bekannten multinationalen Unternehmens verwendet wird.
Das betreffende Unternehmen ist McDonald’s und die betreffende Plattform heißt McHire, entwickelt von der künstlichen Intelligenzfirma Paradox.ai und wurde für Stellenbewerbungen in der US-Franchise verwendet.
Die Nachricht ist, dass es zum Zugriff und zur Bewerbung anscheinend ausreichte, die Anmeldeinformationen „123456“ als Benutzername und Passwort einzugeben.
Zwei Forscher, Ian Carrol und Sam Curry, entdeckten, dass die Daten von 64 Millionen Menschen für jedermann leicht zugänglich waren.
Carroll erklärt, dass er diesen „beunruhigenden Fehler bemerkte, weil er neugierig auf die Entscheidung von McDonald’s war, Kandidaten einer KI-Chatbot-Bewertung und einem Persönlichkeitstest zu unterziehen.“
„Ich dachte,“ sagte er, „dass es im Vergleich zu einem normalen Einstellungsprozess eine ziemlich dystopische Wahl war. Und das ‚hat mich dazu gebracht, weiter zu forschen. Also begann ich, mich um eine Stelle zu bewerben, und nach 30 Minuten hatte ich Zugang zu praktisch jeder Bewerbung, die über Jahre hinweg bei McDonald’s eingereicht wurde.‘
Obwohl der Zugang zu einem Panel mit Paradox.ai-Mitarbeiterdaten für ein „Test“-Restaurant führte, das nicht real war, konnten die Forscher Chatbot-Gespräche mit anderen Kandidaten einsehen.
Von dort aus konnten sie „eine weitere Schwachstelle über eine“ API (Application Programming Interface, ein Protokoll, das die Kommunikation zwischen zwei verschiedenen Computerdiensten ermöglicht) identifizieren, die es den beiden Forschern auch ermöglichte, unverschlüsselte Kandidatendaten zu entdecken: Vorname, Nachname, Telefonnummer, Wohnadresse, E-Mail und so weiter.
Persönliche und sensible Daten, multipliziert mit 64 Millionen, jeder, der auf die Plattform zugegriffen hatte. Eine sehr reiche und leichte Beute für jeden böswilligen Akteur.
Das Problem wurde McDonald’s und Paradox.ai noch am selben Tag, an dem es entdeckt wurde, am 30. Juni, gemeldet. Kurz darauf wurden die „123456“-Anmeldeinformationen entfernt und bis zum 7. Juli waren alle Probleme laut dem KI-Unternehmen behoben.
In einer Erklärung gegenüber Wired, McDonald’s „erklärte“: „Wir sind enttäuscht über diese inakzeptable Schwachstelle eines Drittanbieters, Paradox.ai. Sobald wir davon Kenntnis erhielten, wiesen wir das“ Unternehmen an, sie sofort zu beheben, und das Problem wurde noch am selben Tag behoben, an dem es uns gemeldet wurde.
Paradox.ai seinerseits versuchte, den Schaden zu minimieren, ohne seine Verantwortung zu verbergen.
Nach den „internen Untersuchungen des Unternehmens war das von den beiden Forschern aufgerufene Testpanel seit 2019 nicht mehr verwendet worden“, und ja, es hätte deaktiviert werden sollen, aber niemand außer den Forschern hatte es jemals benutzt. Nach dem Vorfall wurde auch ein Bug-Bounty-Programm gestartet, eine Initiative, die Forscher wie Carroll und Curry finanziell belohnt, die Sicherheitslücken identifizieren und diese dann mit dem Unternehmen selbst teilen.
Aber dieser McDonald’s-Fall ist nur der jüngste in einer Reihe ähnlicher Vorfälle.
Zum Beispiel war einer der auffälligsten Fälle der des US-Innenministeriums, wo 2023 nach einer internen Untersuchung festgestellt wurde, dass das am häufigsten verwendete Passwort in den Büros „Password-1234“ war, was es ermöglichte, die Konten von 14.000 Mitarbeitern in nur 90 Minuten zu kompromittieren.
Oder der demonstrative Akt vor einigen Jahren, der es Hackern ermöglichte, in nur 10 Minuten in einen Öltanker einzudringen, der in der Adria navigierte, weil dieser seine Systeme mit dem Passwort „1234“ schützte.
Die „Liste könnte fortgesetzt werden, aber diese wenigen Beispiele reichen aus, um zu bekräftigen, dass es trotz aller Cybersicherheitskampagnen“ weltweit immer noch viel Unwissenheit und Nachlässigkeit im Umgang mit dem Netzwerk gibt. Und die Verantwortung liegt letztendlich immer beim menschlichen Faktor, der grundlegende Schutzprinzipien oft aus Nachlässigkeit unterschätzt.
In den in diesem Artikel aufgeführten Fällen sprechen wir „von der ersten Sicherheitsregel“: ein effektives Passwort wählen und es häufig ändern. Diese Regel nicht zu befolgen, zeigt nicht nur Nachlässigkeit, sondern auch ein geringes, wenn nicht extrem geringes Bewusstsein für Netzwerkrisiken, also eine digitale Haltung, die den heutigen Zeiten sicherlich nicht angemessen ist.
Heute müssen Verteidigungstechniken nicht nur durch Technologie, sondern auch durch die Entwicklung einer echten Cybersicherheitskultur erfolgen, die zu einem integralen Bestandteil unseres privaten und beruflichen Lebens werden muss.
Kurz gesagt, eine angemessene digitale Haltung sollte zunehmend ein fester Bestandteil jedes Einzelnen werden, der von klein auf erworben wird.
Deshalb wäre es wichtig, dies in Schulen zu lehren, und vielleicht werden wir „das in nicht allzu ferner Zukunft erreichen. In der Zwischenzeit, da wir es uns nicht mehr leisten können, hinter der sich so schnell entwickelnden Technologie zurückzubleiben,“ ist es notwendig, exzellente Schulungswege zu verfolgen, die kontinuierlich an die neuesten kriminellen Entwicklungen angepasst werden und praktische Übungen sowie personalisierte Schulungen umfassen.
Angesichts der Tatsache, dass der menschliche Faktor der anfälligste bleibt, bleibt Training, die richtige Art von Training, der einzige Weg, uns zu schützen, sowohl im privaten als auch im beruflichen Leben.
