Digital

19.03.2019


Sicher ist sicher


Der Fall des Abgeordneten Beekhuis zeigt: Sind private Daten erst einmal öffentlich, gibt es kein Zurück mehr. Grund genug, sich Zeit zu nehmen und die Sicherheit der Zugänge bei Facebook & Co. zu erhöhen.


Vor Internet-Accounts gehört  ein virtuelles Schloss - am besten ein zweifaches.  DPA-Foto: Pleul

Vor Internet-Accounts gehört ein virtuelles Schloss - am besten ein zweifaches. DPA-Foto: Pleul

 

Von Malte Kirchner

Wilhelmshaven - Dem SPD-Landtagsabgeordneten Jochen Beekhuis wurde offenbar ausgerechnet eine Funktion zum Datenschutz zum Verhängnis: Ende vergangenen Jahres wurde der Politiker zusammen mit anderen Abgeordneten und Prominenten Opfer eines Hackerangriffs.

Unzählige private Daten - von Rufnummern über Chatprotokolle und Bilder - wurden dabei erbeutet und auf einschlägigen Websites veröffentlicht.

Anhand der Beschaffenheit der immer noch im Netz stehenden privaten Daten des Politikers aus dem Landkreis Aurich lässt sich ersehen, dass der Täter, der die Chatprotokolle bei Facebook erbeutete, sich eine Funktion zunutze machte, die es erleichtert, die Daten auf einen Schlag herunterzuladen. Diese Funktion führte Facebook im Zuge der Datenschutzgrundverordnung (DSGVO) ein. Sie soll es eigentlich ermöglichen, mit seinen Daten leichter zu einem anderen Anbieter umzuziehen oder Einblick zu nehmen, was das soziale Netzwerk über einen speichert. Der frühere Weg, jeden einzelnen Chat aufzurufen, ist ungleich aufwendiger und hätte vermutlich abgeschreckt. Die SPD untersucht nach Bekanntwerden von Einzelheiten die Chatprotokolle, weil sich Beekhuis darin unter anderem abfällig über Genossen geäußert haben soll.

Der lokale Fall verdeutlicht jedoch einmal mehr, wie wichtig es ist, seine Zugänge im Internet bestmöglich abzusichern. Das betrifft keineswegs nur Personen des öffentlichen Lebens wie Beekhuis, sondern jeden einzelnen, weil es Straftäter auch auf Zugänge öffentlich unbekannter Personen absehen, um diese für ihre Zwecke zu missbrauchen. Dazu zählt das Anlegen falscher Identitäten, um andere zu betrügen, oder das Ausspähen von Daten, um den Besitzer damit zu erpressen.

Regel Nummer 1 ist dabei immer, ein sicheres Passwort zu wählen. Statistiken zeigen leider Jahr für Jahr auf, dass es sich viele Anwender immer noch leicht machen und Kennwörter wie „12345“ oder „passwort“ verwenden. Sind sie selbst nicht erfindungsreich, so sind es dann aber diejenigen, die Accounts kompromittieren. Gute Rezepte für Passwörter gibt es viele: Die Kennwörter sollten mindestens acht Zeichen lang sein und neben Klein- und Großbuchstaben auch eine Zahl und ein Sonderzeichen enthalten.

Die Passwörter sollten überdies in regelmäßigen Abständen erneuert werden, um vorzubeugen, dass bei Datendiebstählen auf Anbieterseite erbeutete Daten verwendet werden. Auf der Website „Have I been pwned?“ (haveibeenpwned.com) kann jeder anhand seiner E-Mail-Adresse leicht nachvollziehen, ob seine Daten schon einmal bei einem großen Datendiebstahl mit dabei waren.

Angesichts der Vielzahl der Zugänge, die selbst ein normaler Internetnutzer heutzutage unterhält, empfiehlt sich die Verwendung eines Passwortmanagers. Dieser kann auch die Eingabe erleichtern, indem er auf dem heimischen Rechner oder Smartphone die Daten direkt selbst einsetzt. Der Nutzer muss sich dann nur ein Master-Passwort merken. Je nach Gerät gibt es aber auch hier Möglichkeiten, sich den Zugang via Fingerabdruck oder Gesichtsscan zu vereinfachen. Populäre Lösungen sind KeePass, 1Password und LastPass.

Regel Nummer 2: Eine zusätzliche Sicherung. Immer mehr Dienste bieten die Zwei- Faktor-Authentifikation an. Dabei handelt es sich um ein Verfahren, bei dem der Nutzer nach Einloggen mit seinen Zugangsdaten ein weiteres Einmal-Passwort oder einen Zahlencode eingeben muss, das mit einem vertrauenswürdigen Gerät erzeugt oder diesem per SMS zugeschickt wird. Bei Facebook sieht das zum Beispiel so aus, dass der Zahlencode entweder in der Facebook-App auf dem eigenen Smartphone erzeugt oder durch Zusenden einer SMS an eine vorher festgelegte Mobilnummer empfangen wird.

Die Zwei-Faktor-Authentifikation (2FA) bedeutet für den Anwender natürlich einen zusätzlichen Zeitaufwand, den er zumindest bei seinen Geräten zuhause aber entschärfen kann, indem er diese als vertrauenswürdig einstuft. 2FA erschwert aber Dateneinbrechern deutlich das Handwerk. Sie müssen sich entweder das vertrauenswürdige Gerät aneignen oder ihr Opfer zusätzlich austricksen. Es gibt Fälle in den USA, in denen sich Datendiebe einer Zweit-SIM-Karte bemächtigten, indem sie beim Mobilfunkanbieter vorsprachen - der Aufwand ist gleichwohl so hoch, dass er schon eine Hürde darstellt.

Auch für 2FA gibt es Erleichterungen durch Apps: So kann zum Beispiel mit dem kostenloses Google Authenticator eine einzige App zum Erzeugen der temporären PIN-Nummern für diverse Dienste verwendet werden. Dafür braucht es lediglich einen QR-Code des Dienstes, der per Smartphone-Kamera vom Bildschirm abfotografiert wird. Auch viele Passwortmanager unterstützen mittlerweile das Erzeugen temporärer Passwörter.

Wer 2FA nutzt, muss allerdings darauf achten, dass er bei einem Wechsel des vertrauenswürdigen Gerätes oder der Handynummer dies auch entsprechend berücksichtigt - sonst kann es schnell passieren, dass man sich selbst aussperrt. Viele Dienste bieten zur Not Recoverypasswörter an oder Sicherheitsfragen. Doch darauf sollte man sich besser nicht verlassen und entsprechend vorsorgen.

Regel Nummer 3: Immer ausloggen! Wer sich bei Facebook & Co. einloggt, sollte gerade an öffentlichen Internet-Terminals oder offenen WLANs immer am Ende den Logout-Button anklicken. Einige Dienste bleiben selbst dann eingeloggt, wenn der Browser geschlossen und der Rechner neu gestartet wird. Dies ist ein Einfallstor für böswillige Zeitgenossen.

 

 

Dieser Artikel erschien zuerst in der "Wilhelmshavener Zeitung" von Dienstag, 19. März 2019. Erhältlich bei allen gängigen Verkaufsstellen und auch als epaper.