Also sehr frisch betroffener kann ich nur sagen: Es kann jeden erwischen. Ich weiß, einige werden nun müde lächelnd abwinken. 😁
Ich bin, quasi seit es das Internet öffentlich gibt online unterwegs. Ich bin also groß geworden mit den möglichen Online Gefahren und insofern kann ich sagen, dass ich in über 30 Jahren nie gehackt worden oder irgendeinem Onlinebetrug aufgesessen bin. Doch im Februar 2023 war es dann soweit. Der absolute Supergau.
Das Problem ist hier einfach, dass sich die Zeiten verändert haben und die Angriffe raffinierter und gezielter erfolgen. Das eine ist die Technik die heute zum Einsatz kommt. Das gilt für die Hacker aber insbesondere für unsere Seite (wir rennen alle mit Computern in der Tasche rum und sind stets irgendwo online). Das andere ist der menschliche Faktor. Man muss schlichtweg schon sehr diszipliniert, jede Sekunde hellwach, stets top informiert und geradezu paranoid sein, um sowas zu vermeiden und selbst dann gibt es sicher noch Möglichkeiten die sich nicht in unserem Einflussbereich befinden.
Der erste Fehler - was die menschliche Schwäche betrifft - ist das Mindset: MIR kann das nicht passieren.
Wer so denkt, wiegt sich oft in einer falschen Sicherheit und wird dann auch auch meist härter bestraft.
Besser ist davon auszugehen, dass es passieren wird und im VORFELD zu prüfen, wie es um die Sicherheit des eigenen Systems und der eigenen Daten steht, wenn es dann doch zum Bruch kommt.
Ich bin übrigens nicht 100% sicher, wie es bei mir zu dem Hack kam, weil ich danach keine Analyse gemacht habe, was ich hätte lieber tun sollen. Aber wenn du auf einen Schlag alle deine Kanäle verlierst (und damit Jahre an Arbeit), dann hast du erstmal andere Sorgen. Doch ich würde sagen, dass ich entweder bei einer Seite etwas runtergeladen habe, die ich als offiziell eingestuft habe (Google Anzeige Falle) oder es war eine Datei mit einem Programm das ich von einem sehr guten Freund erhalten habe, dass er sich aber selbst runtergeladen und damit nicht auf regulären Weg beschafft hat.
Wenn man nun so argumentiert wie manche hier die "kein Mitleid mit den gehackten Idioten" haben, dann wird das natürlich darauf reduziert, dass da jemand zu blöd war. Man hätte ja - wie in meinem Fall - eine solche Seite nochmal eingehender checken können (Whois Infos checken) und man hätte den Freund ja mal genauer befragen können. Doch man übersieht den wesentlichen Punkt. Im Nachhinein ist alles immer völlig klar. Glasklar! Aber in der Situation verhält es sich dann doch etwas anders.
Das sieht man dann auch wieder bei LTT. Es ist normal das größere Youtuber Anfragen bekommen und zwar nicht nur ein Handvoll sondern hunderte pro Woche. Das geht nun mal alles online und darüber wird halt Geld verdient. Da sitzen meist nicht mehr die eigentlichen Youtuber selbst sondern Angestellte dran die auch nicht blöde sind und um die üblichen gefahren wissen. Man darf bei LTT auch annehmen, dass man sich gerade bei einem der größten Tech Kanäle der Gefahren schon bewusst ist.
Doch das ganze geht schneller als man denkt. Zum Beispiel kann man mit einem relativ einfachen aber ziemlich unbekannten Trick die Endung einer Datei umdrehen so das du eine ganz andere Endung siehst. Das einzige was dann noch Aufschluss geben könnte, ist die Größe der Datei. Größe ist wichtig, weil man damit den Virenscanner täuschen kann.
Das Problem bei LTT war meiner Ansicht im Endeffekt das selbe wie bei mir. Ich konnte mir bei meiner langjährigen Erfahrung und Bilanz einfach nicht vorstellen, dass es dazu kommen kann und GERADE das wurde mir zum Verhängnis.
Nach der Sache, kann mir das so nicht mehr geschehen, weil ich nun davon ausgehe, dass es wieder geschehen wird. Ich habe quasi meine Sicherheitsburg neu aufgebaut. Statt nur einen Wassergraben und eine fette Mauer drumherum, habe ich im Inneren alles so verändert, dass man selbst wenn man dort hineingelangt nicht mehr wirklich großen Schaden anrichten kann.
___________
Hier für interessierte einige Tipps im Bezug auf Youtube:
- Keine Konten unter Verwendung einer eigenen E-Mail Adresse nutzen. Immer eine Google Adresse wählen. Denn Hacker werden das ansonsten für dich tun.
- Mindestens 3 Google Konten anlegen (1 Inhaber-, 1 Admin- und ein Adsense Konto)
- Das Inhaber Konto ins "Erweitere Sicherheitsprogramm" von Google schieben.
- Danach das Inhaber Konto von allen Geräten abmelden, Cookies löschen und bis zum Sicherheitsbruch vergessen.
- Nur das Admin Konto und das auch NUR für Youtube nutzen.
- Private Konten (wo man sich auch mal die App mit tonnenweise Werbung herunterlädt) getrennt einrichten und nutzen.
- Die Google E-Mail Adressen - der wichtigen Accounts - niemals irgendwo benutzen. Auch die Google Dienste wie Mail, Passwortmanager & Co. nicht.
- Passwort Manager mit Passwort Generator nutzen. Das Masterpasswort muss komplex und lang sein. Das Passwort an einem sicheren offline Ort aufbewahren.
- Passwort Manager haben ebenfalls Konten. Nutze nie das Konto mit dem Vollzugriff. Nutze ein Konto mit den notwendigsten Rechten das dann nur Zugriff auf Passwörter hat die du wirklich täglich brauchst.
- Passwörter müssen generell grundsätzlich lang sein und keiner offensichtlichen Logik folgen.
- Auch E-Mail Adressen könne wie Passwörter aufgebaut sein, wenn man sie nicht für die Kommunikation nutzt.
- 1 Passwort für eine Sache. Also keine Passwörter wiederverwenden.
- Meiden von Funktion wie "eingeloggt bleiben", "an das Gerät erinnern" usw. - Zumindest bei wichtigen Accounts.
- Nach der Arbeit am Kanal stets ausloggen. Die meisten Hacks werden so gelegt das du schläfst, im Wochenende oder Urlaub bist oder eben an Feiertagen wo man in der Regel anderweitig beschäftigt ist. Bei mir war es die Nacht von Samstag auf Sonntag.
- Am besten alle wichtigen Accounts wie Inhaber und Adsense Konto nur von einem separaten Gerät ausführen auf dem sonst nichts gemacht wird. Hier bietet sich alte Hardware an die man meist noch hat. Wichtig ist nur, dass Betriebssysteme aktuell sein sollten. In der Regel muss man da aber nicht dauernd sondern wenn überhaupt nur alle paar Monate dran.
- Alle wichtigen Kanäle zusätzliche E-Mail Adressen angeben, die dich auch erreichen und zwar immer. Die Konten dieser E-Mail Adressen müssen ebenfalls stark gesichert werden.
- Nutze einen Kanal wo dich deine Community stets erreichen kann. Ich nutze Discord. Ich hatte gefühlt Sekunden nach ersten Tesla Stream Meldungen aus der Community. Ich hatte das zwar auch selbst selbst mitbekommen, aber das war verdammt flott.
- Nutze immer und wo möglich Zwei-Faktor-Authentisierung. Zu bevorzugen sind IMMER Authentisierung Apps. Achte darauf das die App eine eigene Sicherheitsbarriere hat (die Google App ist dahingehend Müll)
Das selbe gilt im Grunde für alle wichtigen Accounts. Besondere Ziele sind: Dein Mobilfunk- und Internetanbieter. Deine E-Mail Anbieter. Deine Webhoster oder Serveranbieter.
______________
Was kann Google tun?
Eine Menge! Jeder Punkt oben von ZapZockt ist absolut richtig außer einer: 30 Tage Session sind schon der Weg zur Hölle. Es hat ein Grund warum Online Banken mittlerweile nur noch Minuten geben. Zum Arbeiten ist das natürlich Unsinn. Aber eine max. Session von 6 bis 12 Stunden ist ausreichend. Danach muss man sich eben wieder einloggen und zwar mit einer verpflichtenden Zwei-Faktor-Authentisierung. Es sollte die Möglichkeit geben die "eingeloggt" bleiben grundsätzlich Accountweit zu deaktivieren, so dass man wirklich auch nach X Zeit rausgeworfen wird. Leider ist diese Funktion immer aktiv, weil ja eben Google als Social Media und Datenkracke möglichst will das du eingeloggt bist und das ist eines der Kernprobleme.
Dazu muss endlich ein anständiges Rechtesystem eingeführt werden. Es gibt zwar Rollen und sogar zwei Rollen Systeme, aber die sind beide weder zeitgemäß noch ausreichend. Es reicht halt aktuell dafür aus, dass man man den Inhaber Account aus der Schusslinien bekommt. Aber ansonsten sind die totaler Müll da die Rollen feste und teilweise unsinnige Rechte haben.
Nehme ich die Brand Rollen habe ich den Vorteil, dass ich mehrere Inhaber Rechte vergeben kann. Bestehen die länger als 7 Tage kann ich die primäre Inhaberschaft durch einen zweiten Account (der eben bereits 7 Tage Rechte hat) übernehmen. So habe ich einige Kanäle direkt nach dem Hack wieder unter Kontrolle bekommen und konnte des Tesla Stream selbst abschalten und den Stream Schlüssel ändern.
Problem ist aber, dass in diesem Rollensystem die nächste Rolle mit weniger Rechten der Admin ist. Der kann aber echt viel. Der kann Videos löschen, streams starten und auch ansonsten alles mit dem Kanal tun. Auch Banner, Profibild und Namen ändern. Er kann halt den Kanal nicht löschen. Eine kleinere Rolle für Youtube Angelegenheiten gibt es nicht.
Dafür hat man die Youtube Rollen eingeführt. Um die zu nutzen muss man auf die Brand Rollen verzichten und damit auch auf die Übernahmemöglichkeit der Inhaberschaft wie oben beschrieben. Die Youtube Rollen kennen nur einen einzigen Inhaber. Der ist einmalig. Danach gibt es abgestufte Rollen von Admin bis hin zum Moderator. Leider sind die Rollen unsinnig. Die beste Rolle wäre eigentlich der Bearbeiter. Damit kann man alles tun was man so normalerweise so macht und auch alles sehen was man normalerweise sehen will. Man kann aber keine Videos löschen was ich persönlich klasse finde. Man lässt Videos die man löschen möchte einfach auf privat und alle paar Wochen macht man mal mit einem separaten Admin Zugang alles sauber. Man kann den Kanal natürlich auch nicht irgendwie bearbeiten. Eigentlich perfekt. ABER.... Man kann einen Stream starten. Youtube stuft das wie ein Video Upload. Das ist ein großer Fehler denn gerade Streams werden für Unfug genutzt. Zweites Problem. Neue Funktionen kennen die Rollen oftmals nicht. Nutzt du Beiträge als den Community Tab? Dann hast du Pech gehabt. Das geht nämlich nur über die Rechte der Brand Rollen und nicht über die Youtube Rollen. Das zeigt wie alt das System ist.
Es muss einfach ein Rollensystem her, in dem man den Benutzer Rechte einräumt. Wer ein Forum wie dieses hier schonmal von innen, also als Admin gesehen hat, weiß wie Rechtesysteme funktionieren müssten. Da gebe ich User XY (also Google Konto XY) Rechte fürs hochladen von langen Videos, Beiträge erstellen und Ansicht auf die primären Analyse Daten. Ende. Alles weitere macht man über andere Konten die man benutzt wie beim Onlinebanking. Einloggen, Durchführen, ausloggen.
Wer über Youtube streamt macht das meist über eine Streaming Software. Die bekommt dann eben kurzerhand ihren eigenen Google Zugang mit Rechte eben nur auf das Streamen bezogen, darf aber ansonst nichts.
Alles in allem muss Google einfach zum Gatekeeper also Torwächter werden und und damit etwas Bequemlichkeit nehmen. Dazu ein gutes Rechtesystem und der Spuk mit den "Tesla Hacks" wäre schon bald vorbei.