Es ist eine kleine Tradition, dass ich mit bei den Patentrezept-Videos mit einem Sicherheitstipp ins neue Jahr starte. 2018 mit Tipps zum Schutz vor Sicherheitslücken, 2017 mit der Frage, ob man denn gehackt worden sei. 2016 hatte sich dieser Brauch noch nicht etabliert. Da hiess das Video Lustgewinn beim Surfen und bot immerhin u.a. einen Tipp zu mehr Datensicherheit im Browser.
2019 hat es sich angeboten, die Tradition weiterzuführen. Denn es gab in der ersten Januarwoche den grossen Doxing-Fall, bei dem persönliche Informationen von Politiker und prominenten Internetnutzern in die Öffentlichkeit geraten sind.
Wir wissen, dass wir nicht viel wissen
Nun zeichnet sich dieser Fall dadurch aus, dass sehr viele Dinge nicht bekannt sind. Beispielsweise, woher die Daten eigentlich stammen, die über den Twitter-Account @_0rbit in Umlauf gebracht worden sind. Es wurden offenbar viele Quellen ausgewertet: Solche aus älteren Hacks und öffentlich zugängliche. Ausserdem sollen Methoden des Social Engineerings zum Einsatz gelangt sein.
Entsprechend ist der Erkenntnisgewinn relativ gering: Es kam keine bisher unbekannte Angriffsmethode zum Einsatz, gegen die man nun neue Verteidigungsmechanismen in Position bringen müsste. Bei Watson hiess es lapidar, @_0rbit sei ein Sammler, kein Hacker. Darum lehrt uns dieser Fall nichts darüber, was wir zum Schutz unserer persönlichen Daten und der Privatsphäre tun müssen – er ruft vielmehr in Erinnerung, dass wir Vorkerhungen treffen sollten.
Nun könnte man finden, dass das jeder wissen müsste, der in den letzten Jahren nicht unter einem Stein gelebt hat. Viele dubiose Gestalten sind im Netz unterwegs, um alles zu sammeln und zu horten, was in irgend einer Weise ge- und missbraucht werden könnte.
Und man kann den Eindruck bekommen, dass die Grenzen zwischen legaler Datensamelei und kriminellen Machenschaften fliessend sind. Klar, wenn man von einem Kryptotrojaner erpresst oder nach allen Regeln der Kunst gedoxt wird, dann ist die Sache eindeutig.
Wir Datensklaven
Doch hier habe ich gelesen, dass der Präsident des Kieler Instituts für Weltwirtschaft, Ökonom Dennis Snower, der Ansicht ist, dass selbst die freiwillige Preisgabe seiner Daten einem kriminellen Missbrauch gleichkomme:
Ein Sklave arbeitet und muss den ganzen Ertrag abgeben an seinen Besitzer. Dafür bekommt er genügend Nahrung und Unterkunft, um weiter diese Dienstleistungen abzuliefern. Wir generieren eine Unmenge an Daten, die nicht uns gehören, sondern den Netzwerken. Die grossen digitalen Netzwerke werden immens reich, so wie es die Sklavenbesitzer einst geworden sind.
Eine wahrscheinlich etwas plakative, aber sicherlich bedenkenswerte Position. Eine wichtige Massnahme zum Selbstschutz ist sicherlich die Frage, welche Daten man überhaupt ins Netz stellen möchte. Die diskutiere ich auch im Video.
So legen Sie Datendieben das Handwerk.
Natürlich hängt die Antwort von persönlichen Sensibilitäten ab. Nicht bei allen verläuft die Schmerzgrenze gleich. Ich bin in den letzten Jahren skeptischer und zuürckhaltender geworden. Ich würde niemals alle meine Fotos bei Google hochladen. Es gibt gute Alternativen zur Cloud. Und ich weise auch gerne nochmals darauf hin, dass die Cloud eben nur auf den ersten Blick alles komfortabler macht.
Tipps für die Datensicherheit
Die weiteren Empfehlungen, kurz zusammengefasst:
- Die Geräte und Daten müssen gut geschützt sein. Darum braucht es die Updates fürs System und die Software, die Firewall und bei Windows den eingebauten Virenschutz.
- Die Daten sollten nur verschlüsselt auf den mobilen Geräten abgelegt sein, dass sie sich nicht auslesen lassen, wenn das Gerät verloren geht oder gestohlen wird. Neue Smartphones und Laptops bieten eine Geräteverschlüsselung, doch bei Laptops mit Windows und Mac OS ist das mutmasslich nicht der Fall. Man hilft bei Windows mit Bitlocker oder mit Veracrypt nach, bei Mac OS mit File Vault.
- Mein Plädoyer für Passwortmanager ist hier im Blog nichts Neues. Ich mache kein Geheimnis daraus, dass ich seit Jahren Keepass nutze. Und hier habe ich die Autotype-Funktion vorgestellt.
- Die Zwei-Faktor-Authentifizierung ist keine reine Freude. Aber sie ist sinnvoll, daran besteht kein Zweifel. Bei twofactorauth.org findet man Dienste, die sie anbieten. Und natürlich bieten die Dienstleister, welche sie einsetzen, auch Anleitungen, wie man sie einschaltet und nutzt, namentlich Apple, Microsoft, Google, Facebook, Whatsapp, Dropbox, Amazon etc.
- Natürlich sollte man seine Passwörter nicht mehrfach verwenden. Und es ist auch nicht verkehrt, bei Datenbanken im Netz nachzuforschen, von welchen Leaks der Vergangenheit man persönlich betroffen war. Zum Beispiel via Firefox-Monitor oder haveibeenpwned.com.
- Und zur Browser-Absicherung gibt es Tipps im Beitrag Sehenden Auges ins Malware-Verderben.