Peter Gyger online

"Gring ache u seckle" (Quelle: A. Weyermann)

NAVIGATION - SEARCH

Panik! Melani meldet 21000 gehackte Zugangsdaten

Der Auslöser für diesen Post war die Meldung von Melanie, die am 29. August in meinem RSS Reader eintraff. "Melanie" hatte Kenntnis erhalten, dass 21000 Zugangsdaten (Benutzernamen / Passwort) aufgeflogen sind. Quelle der Daten sei nicht bekannt. Daher soll man seine Daten auf einer Website der Schweizer Regierung prüfen. Bei negativem Ergebnis die Daten ändern, sowie die dort aufgelisteten (allgemein) bekannten Tipps berücksichtigen.

Kurz und gut: "Blödsinn". Wer mit den selben Anmeldedaten bei Brack / Amazon und Facebook sich anmeldet, hat seine Pflicht zur Eigenverantwortung nicht wahrgenommen und verdient die Strafe. Strafe ist ja immer auch eine Aufmunterung, nachzudenken und zu lernen. Leider muss man nicht zuerst einen Führerschein machen, bevor man in das Internet geht. Und die Aufforderung des Helfenden bereits daran scheitert, etwas in der "Adresszeile" einzugeben dann wird es Zeit in die Schule zu gehen. "Unwissend" zu sein, kann man korrigieren.

Meine Aussage ist nicht, dass der Umgang mit den Computer und Technologien simpel ist. Letzthin war ein guter Freund von mir - ein langjähriger und permanent lernender Developer - bei seinem Vater,  um auf dem IPhone WhatsApp und Twitter in Betrieb zu nehmen. Wie wir das alle kennen, gibt es da Details und Feinheiten die gerade die nicht in der Apple Welt lebenden erst verstehen müssen. So ging ein Samstag herum, bevor der Kampf gegen die Tücken der Technik gewonnen war.

Gerade für die ältere Generation war das Leben kein Zucker schlecken. D.h. diese Menschen sind an harte Arbeit gewohnt. Daher erstaunt es mich, dass ich wiederholt von Personen auf dieser Altersgruppe Aussagen wie "ich bin zu alt dafür" oder "Ich will das nicht mehr lernen" höre. Erst Recht, wenn die Person die Vorzüge kennt und profitieren will. "Foifer und s Weggli" häts ni gä und wird's ni gä - Punkt. Oder wie wir in der Primarschule - zu Recht - oft zu hören bekamen: "Du kannst schon  aber Du willst nicht".  Zurück auf die aktuelle Meldung von Melani gebracht, betrifft es nur die Anwender die effektiv die gleichen Anmeldedaten für mehrere Dienste verwenden. Und wer so handelt, ist bequem und nimmt die Eigenverantwortung in gröbster Weise nicht wahr. Vergleichbar mit jenen verkehrsteilnehmern (aka Idioten), die mit dem Blick auf das mobile Gerät auf die Strasse latschen. Absichtlich nota bene...!

Last but not least: nie werde ich irgendwo bzw. bei irgendwem meine Zugangsdaten prüfen. Der Staat - OK die Gemeinde oder in der Region in gewissem Umfang ausgenommen - ist nicht Dein Freund. Sie wollen Daten, damit sie den Bürger kontrollieren können. Stichwort: Big Data.

Die Daten werden aus einem der unzähligen Webshops stammen. Diese werden quasi wöchentlich "gehackt", quasi im im Vorbeigehen. Im Ernst, wenn vom deutschen Bundestag bis hin zur NSA oder Firmen wie Sony 2x und Yahoo 3x die Kundendaten geraubt werden, ist da noch jemand erstaunt das die eigenen Anmeldedaten betroffen sein könnten? Also sollte der Konsument sich ein paar Minuten Zeit nehmen und sich ein Konzept sowie Checklisten anlegen.

 

Als Praktiker gehe mit dem Sachverhalt wie folgt vor. Ich setze auf folgende Eckpunkte:

  1. Bevor man sich anmeldet, Klarheit haben über A: wie man den Dienst beendet B: die Anmeldedaten zurück setzt.
  2. Zwecks Identifizierung wird bei der Anmeldung das Geburtsdatum verlangt. Nicht das richtige verwenden, sondern eines erfinden und nur dieses verwenden.:
  3. Das eingetragene Geburtsdatum kann als Indikator für das aktuelle Passwort verwendet werden. Passwörter müssen periodisch (Checkliste) geändert werden. Mit dem neuen Passwort setze ich auch ein neues Datum. 
  4. Passwortregeln:
  5. A: Sonderzeichen:  Nicht alle Dienste unterstützen die gleichen Sonderzeichen. D.h. man erstellt z.B. im Excel eine Tabelle mit den Sonderzeichen und den Diensten. Die Sonderzeichen die alle unterstützen verwendet man.
  6. B: Passwort Tresor: (z.B. Keepass oder Lastpass): Besser nicht verwenden. Stattdessen sich ein System ausdenken, mit Zahlen aus einem Fachgebiet das man gut kennt. Z.B. die Jahreszahlen der Entdeckung der Planeten. Oder dem Eintrittsdatum der Kantone in die Eidgenossenschaft.
  7. Keine Dienste wie Facebook für die Anmeldung verwenden. Für jeden Dienst ein eigenes Set an Anmeldedaten erstellen.
  8. Dort wo Geld und / oder Reputation auf dem Spiel steht, aber auch kritische strategische Elemente wie gemietete DNS Server, zusätzlich absichern. D.h. in die Entscheidung mit welchem Dienstleister man arbeiten will, die sicherheitsrelevanten Funktionen als Punkte (Minus / Plus) einfügen.
  9. Verschiedene Lebenssituationen wie "vom Internet abgeschnitten", "eigenes Handy nicht verfügbar", "schwer krank" oder das Ableben berücksichtigen. Wer soll / muss dann auf die Daten zugreifen können und wie kommt sie daran (Berechtigung)
  10. Aktuelle Handy Verträge ermöglichen heute zu vernünftigen Preisen eine Dual SIM. Wer sich bei der Sicherung des Zuganges über eine Zwei Weg Authentifizierung mit Handy absichert, sollte darüber nachdenken. Sowohl vom Nutzen als auch vom Risiko (wer kann auf die zweite SIM zugreifen?).
  11. Wählt einen Handyanbieter aus, der einen kompetenten Kundendienst hat. Dort kann man im Kundendossier vermerken lassen, dass die jede Transakation (z.B. die SIM Karte sei gestohlen und müsse gesperrt werden) nur über ein bestimmtes Passwort erfolgen darf. Naürlich muss der Kunde den Kundendienst unterstützen und Mitarbeiter benennen, die die Sicherheitsfrage nicht gestellt haben. Wir kennen das alle: "Man war und ist nicht gut, sondern man trainiert und lernt und wird so besser".

Nachfolgend eine Reihe (nicht wertend und nicht vollständig) von Technologien / Verfahren die man zum Schutz von Zugangsdaten vorfinden kann:

  • Zwei-Faktor-Authentifizierung (2FA) 
  • IP Range der Anmeldung (GeoLocalisation) beschränken.
  • Nach Möglichkeit nur verschlüsselte Protokolle (Mail: POP / IMAP / SMTPAUTH mit TLS / DNSSEC)
  • Logfile mit allen Anmeldungen und dazu Detailinformationen: IP, Datum / Zeit (mit Zeitzone) / Anmeldedaten. 
  • Verschiedene Passwörter - für jeden Client eigene Anmeldedaten. Diese können lokal im Schlüsselbund (MAC) oder Tresor (Windows) verwaltet werden
  • Authentifizierung mit USB-Stick (Dongle)
  • Eine Übersicht zu Techniken und Verfahren (Stichwort: SPF / DKIM / DMARC) liefert diese Website von MSXFAQ.DE

 Fazit

Das Internet ist nicht nur nicht sicher, es ist gefährlich. Misstrauen und Vorsicht sind Pflicht. So wenig wie möglich Dienste, Shops, etc. verwenden, dort dafür mit verschiedenen Benutzernamen / Passwörter ohne Passwortdienste wie Facebook arbeiten. Man kann durchaus Passworte altmodisch auf Papier notieren. Aber nur wenn man diszipliniert genug ist, dass Notizbuch wieder in die verschlossene Schublade oder Tresor zu legen. Man will ja nicht Gäste, Handwerker oder die Putzfrau in Versuchung führen...

 

 

Add comment

  Country flag

biuquote
  • Comment
  • Preview
Loading