piwik no script img

Kommentar DatensicherheitPasswort 1-2-3-4

Tanja Tricarico
Kommentar von Tanja Tricarico

Datenschutz ist weder ein Orchideenthema noch eine Idee versponnener Nerds. Das Datenleak muss ein Weckruf sein.

Zugang safe – oder doch leicht erratbar? Foto: rawpixel/unsplash

E r ist gefasst – und auch noch geständig. Der Datensammler, der der Republik den neuesten Digitalskandal beschert hat, packt aus. So richtig kompliziert war es für ihn nicht, an die Informationen zu kommen. Ein bisschen IT-Verständnis und vor allem Zeit – das brachte der mutmaßliche Datendieb laut Bundeskriminalamt mit. Es reichte, um sich den Leichtsinn und die Ignoranz der Internetnutzer*innen zunutze zu machen.

Und nun? Polizei und Spezialist*innen müssen zugeben: Gegen Leute wie den jungen IT-Crack sind die Behörden nahezu machtlos. Was helfen Präventionspläne, Infobroschüren und Vorträge an Schulen, wenn die Nutzer*innen Schutzmaßnahmen nicht ernst genug nehmen? Wer beim E-Mail-Passwort wirklich noch auf die Kombination 1-2-3-4 setzt, dem ist nicht zu helfen.

Doch Politik und Behörden komplett aus der Verantwortung zu entlassen – das geht nicht. Beim nächsten Datenleck muss ein Notfallplan greifen. Die Informationskette zwischen dem Bundesamt für Sicherheit in der Informationstechnik, Innenministerium und den Internetspezialisten der Polizei muss halten, damit Nutzer*innen informiert werden. Nur so können sie rechtzeitig Passwörter ändern, ihren Virenschutz aktualisieren oder schlichtweg ihre Sicherheitseinstellungen in Chatprogrammen oder Messengerdiensten verschärfen. Auch mehr Geld müssen die Behörden gestellt bekommen. Ohne gutes Personal und Investitionen in die IT-Sicherheitsarchitektur, kann Datenschutz nur schwer greifen.

Doxing – also das Sammeln und unerlaubte Veröffentlichen persönlicher Daten im Netz – ist kein neues Phänomen. Oft merken die Opfer erst nach langer Zeit, dass ihre Informationen gestreut wurden. Der aktuelle Fall muss als Weckruf gelten, als Zeichen dafür, dass Datenschutz weder ein Orchideenthema ist noch eine Idee versponnener Nerds. Der nächste Datenskandal wird kommen. Keine Frage. Denn Menschen, wie den 20-jährigen Mann, der aus dem Kinderzimmer im Hause seiner Eltern Deutschland lehrte, wie leicht das Absaugen von Daten ist, gibt es genug.

taz lesen kann jede:r

Als Genossenschaft gehören wir unseren Leser:innen. Und unser Journalismus ist nicht nur 100 % konzernfrei, sondern auch kostenfrei zugänglich. Texte, die es nicht allen recht machen und Stimmen, die man woanders nicht hört – immer aus Überzeugung und hier auf taz.de ohne Paywall. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 40.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Tanja Tricarico
wochentaz
Schreibt seit 2016 für die taz. Themen: Außen- und Sicherheitspolitik, Entwicklungszusammenarbeit, früher auch Digitalisierung. Leitet derzeit das Politik-Team der wochentaz. Privat im Einsatz für www.geschichte-hat-zukunft.org
Mehr zum Thema

11 Kommentare

 / 
  • Was für ein dämlicher Kommentar, der schon wieder bequeme Ursachenumkehr betreibt:



    "Die User sind schuld!!!"

    Nein sind sie nicht. Das Problem liegt darin, dass immer mehr Daten gesammelt werden und dass die Politik das befördert statt es zu beschränken.

    Meedia hat einen guten Kommentar dazu:



    meedia.de/2019/01/...er-sondern-taeter/

  • Die Geschichte mit dem 20-jährigen Hobbyhacker ist wirklich zu süß und wie für die Medien gemacht. Dass der Teeny völlig unbemerkt von der versammelten Netzpolizei Accounts von Politikern und Prominenten knacken konnte, mag glauben wer will - ich jedenfalls nicht. Diese Hacker-Kids sind wirklich sehr nützliche Idioten. Absolut Bundesverdienstkreuzverdächtig. Was die so erbeuten, wird im Hintergrund dankend abgegriffen und so braucht sich von den Autoritäten selbst keiner die Finger schmutzig hacken. Die fertigen Tools dafür werden vorher ganz zufällig an unwahrscheinlich geheimen und sichersten Orten im Netz zum total günstigen Download angeboten. Wird dann tatsächlich doch mal ein Datenklau von Betroffenen bemerkt, gibt's gekonnt gespielt blankes Entsetzen, einen Großeinsatz, der das ganze Land tagelang in Aufruhr versetzt und natürlich im Anschluss daran sofort reichlich frische Staatsknete für neuere, schnellere und angeblich auch deutlich bessere Überwachungsmaschinen - und dann heißt es: „Alles auf Anfang. Neuland die nächste.“

  • 8G
    81331 (Profil gelöscht)

    ...Passwort? Wieso? Ich habe nichts zu verbergen ; )

  • Zunehmend beliebter werden inzwischen akustische Passwörter, d. h., der Nutzer muß einen bestimmten Text sprechen, um sich einzuloggen.

    Auch da muß man nun an ganz anderer Stelle umlernen. Wenn ein normal aussehender Mensch plötzlich unsinniges Zeug vor sich hinbrabbelt, dann ist er nicht in jedem Fall auf dem Weg zu seinem Psychiater. Es kann auch sein, daß er sich gerade auf seinem Handy einloggt.

  • & Däh vom Fachmann - mailtütenfrisch

    “Komisch, dass keine Daten von AfD-MitgliederInnen geleakt



    wurden. Sollten just die den Datenschutz ernst nehmen? “

    Sach mit Dege mal so - “…Fragen - die nur einer hören will - der stören will!“

  • Zitat: „Er ist gefasst – und auch noch geständig.“

    Na so ein Glück! Nun kann sich der deutsche Michel getrost wieder schlafen legen, gel? Die Autoritäten haben ihre Pflicht getan. Sie haben ihn gehalten, den Dieb. Nun werden sie ihn, nun ja, vielleicht nicht gleich an den nächsten Baum hängen, aber doch ganz empfindlich abstrafen. Wo kämen wir denn schließlich hin, wenn jeder, der dank Praxis ein bisschen was versteht von irgendwas, den unbedarften Mächtigen ans Hosenbein pinkeln könnte!?

    Es gibt da nur noch ein Problem: Die Mächtigen wollen neuerdings gewählt werden. Und freiwillig wählen Menschen nur solche Führer, vor denen sie sich nicht gleich in die Hose machen müssen. Da trifft es sich doch ziemlich gut, dass heutzutage selbst der Mann bzw. die Frau ist.

    Statt des alten Schlachtrufs aller Autoritären („Haltet - und hängt - den Dieb!) schallt heute ein neuer durch die Republik: „Mauert euch ein!“ Denn Datenschutz geht neuerdings uns alle an. Nicht mehr die bezahlten, hofierten Autoritäten sollen uns schützen, sondern wir selbst sollen das tun. So, wie wir im Supermarkt unsere Waren selbst über den Scanner ziehen und unsere Päckchen selber beim Paketshop abholen sollen. Den Rechner nutzen wir ja schließlich auch.

    Seit Jahren wird vom mündigen Bürger verlangt, dass er 5.000 Jahre Arbeitsteilung rückgängig macht. Gute Menschen sollen heutzutage nicht nur ihre Daten selber sichern. Sie sollen auch sämtliche Waren auf Umweltverträglichkeit prüfen, die Energie- und die Verkehrswende vollziehen, ihre Häuser und Wohnungen einbruchssicher machen, Migranten aller Herren Länder assimilieren, ihre Kinder zu künftigen Nobelpreisträgern und ihre Nachbarn zu guten Demokraten ausbilden und auch sonst alles tun, was für die Profis nicht so einfach ist. Nur auf Bezahlung sollten sie nicht hoffen, die guten Staatsbürger. Es sei denn, sie bezahlt sich auch gleich noch selber. Nur: Wovon, wenn alle sparen wollen an ihnen – und für bezahlte Überstunden ohnehin die Zeit fehlt?

  • Ohne das Böse zu meinen, aber ungefähr 1/6 der Mitarbeiter in den Unternehmen bei denen ich für Projekte war, hätte ich wegen Sicherheitsverstößen rausgeworfen.

    Das geht schon damit los, dass die Leute ihre Passwörter aufschreiben und unter der Tastatur, der Schreibtischunterlage und ähnlichen Orten "verstecken."

    Da wird das Büro verlassen und der PC nicht gesperrt, der Laptop im Café alleine gelassen oder es wird mal der User des Kollegen genutzt, da der mehr Rechte hat.

    Da scheitert es eben an absoluten Basics.

  • 'Passwort 1-2-3-4' - daß das unschlau ist, ist leicht gesagt, und natürlich richtig. Aber: -zig online Passwörter, natürlich alle hochkompliziert, keine echten Wörter, soll man anlegen, um dem Datenklau / der Datenklauerin zu entgehen... Ich sage ehrlich, daß das nicht machbar ist, wenn man schon etwas älter ist. Hat man sich 21 solcher Passwörter ausgedacht, muss man sich zusätzlich noch merken, welches Passwort wohin :-(



    Passwortmanager machen es zwar einfach - aber ich vertraue denen auch nur sehr bedingt. Bleibt aufschreiben (ja, ich weiss, meine Kollegin hatte sie auf der Unterseite der Tastatur). Was man also macht, man macht es falsch und wird hinterher als der Schuldige dastehen.



    So gesehen macht es sich dann die IT-Branche insgesamt zu einfach, die Verantwortung auf die Kunden abzuwälzen. Es müsste ein besseres System geben, sich für allerlei Log-ins zu authentifizieren, als 21 komplizierte und nicht merkfähige Passwörter. Fingerabdruck? Iris-scan? Digitaler Personalausweis? Hmmm...

    • @dodolino:

      Zu Ihrem letzten Absatz, die IT Industrie macht es sich da nicht zu einfach, es gibt bisher einfach kein absolut sicheres Verfahren. Man kann durch Kombination der Verfahren die Sicherheit erhöhen und den Aufwand den der Angreifer betreiben muss.

      Fingerabdruck, Gesichtserkennung und Iriserkennung sind vom Sicherheitsstandpunkt ein Alptraum, um die Nachzumachen, muss ich Ihnen nicht einmal persönlich begegnet sein. Ihren Fingerabdruck bastel ich Ihnen mit nem guten Foto, auf der Ihrer Innenhandfläche zu sehen ist, Victory Zeichen ist da super, Holzleim, Hautkleber und einem Laptop mit Laserdrucker und Plastikfolienpapier nach. Die Marketingabteilungen in Firmen machen unglaublich gerne Fotos und machen die öffentlich und zur Not muss man eben ein Glas, das Sie benutzt haben mitnehmen oder ähnliches.

      Bei Gesichtserkennung ist immer die Frage, wie gut die ist. Bei den Alten reichten hochauflösende Fotos aus, bei den Neuen helfen Ihnen 3-Drucker oder 3-D Masken, hier ist der Aufwand schon wesentlich höher und ob es zu 100% funktioniert ist nicht sicher.

      Iriserkennung ist ähnlich gelagert.

      Venenerkennung ist ein paar Ligen über den anderen Verfahren. Ebenfalls einzigartig bei Menschen, da legen Sie Ihre Hand oder den Handrücken auf eine Platte und via das sauerstoffreduzierte Blut in den Venen absorbiert Infrarotstrahlung mehr als das umgebende Gewebe und so können sie ein Bild erzeugen. Zurzeit wahrscheinlich nur unter Testbedingungen zu knacken.

      Was Sie aber immer beachten sollten bei Authentifizierung mit körperliche Merkmalen, die sind einzigartig und begleiten Sie ein Leben lang. Passwörter und grafische Zugangsbeschränkungen verwerfen sie einfach und können Neue anlegen. Wenn Ihr Fingerabdruck "gestohlen" wurde, ist das Verfahren für die Person tot.

    • @dodolino:

      "Passwortmanager machen es zwar einfach - aber ich vertraue denen auch nur sehr bedingt."



      Den bekannten, üblichen PW-Managern kann man weitgehend vertrauen. Allemal besser als irgendwelche anderen Methoden, v.a. weil man dann ohne Mühe 25-stellige, einmalige, zufällige PW nutzen kann und sie nicht eintippen muss.

      Das meiste Vertrauen verdient wohl KeePass (oder KeePassXC), weil Open Source und etabliert.

      • @sponor:

        an KeePass / KeePassXC kann man nichts aussetzen da sie die Daten nur lokal verschlüsselt speichern. Für eine erforderliche Synchronisation kann ein (auf allen Geräten verfügbaren) Cloud Dienst verwendet werden