Eine halbe Woche lang gab es Datenklau in jeder Nachrichtensendung, dann verschwand die “Staatskrise” im Kinderzimmer. Trotzdem müssen wir daraus lernen:
Nutzer und Datenklau
Dieser Kommentar in der Rheinischen Post vom 07.01.2019 war für mich einer der wichtigsten in dieser Angelegenheit.

Der Datenklau in Kurzfassung

Die Informationen: Die Privatsphäre von etwa 1000 Politikern und Medien-Promis wurde ausgespäht und illegal veröffentlicht. Was gestohlen und veröffentlicht wurde, kann kriminell missbraucht werden: Private Adressen, Handynummern, Chats, Familienmitglieder, Rechnungen, Briefe, Ausweis-Kopien, Kontoverbindungen, Passwörter, Impfpässe etc. Lauter “Dokumente”, die man nicht ans schwarze Brett pinnen würde. Das nennt man “Doxing”.

Die Normalität: Ähnliche Vorfälle gibt es mehrfach jeden Monat. Seit ein paar Monaten sammle ich sie: Auch Ihre Privatsphäre ist bedroht: Datenleck-Sammlung. Der Unterschied zwischen diesmal Tausend und sonst Millionen Betroffenen ist der Faktor 1000. Der Unterschied ist die Anzahl der Betroffenen, nicht die Qualität der Bedrohung.

Seltene Chance: Politiker und Medien-Promis sind “wichtiger” als Millionen normale Menschen, weil sie medial am längeren Hebel sitzen und andere Maßnahmen anstoßen können. Diese “Lautsprecher-Funktion” könnte andere Internet-Nutzer aufrütteln, ihre Datensicherheit in die eigene Hand zu nehmen.

Große Peinlichkeit: Von den üblichen Verdächtigen (amerikanischer, chinesischer oder russischer Geheimdienst) waren es keiner, sondern ein Schüler aus Hessen. Dieser Datenklau war wohl nicht so schwierig. Er wäre vermeidbar gewesen. Umso peinlicher für “den Staat” und die Betroffenen. Umso lauter der Aufschrei.

Keine Nachhaltigkeit: Jeder kann sich darauf verlassen: Nach einiger Zeit wird eine neue Sau durchs Dorf getrieben, die von diesem Datenklau ablenkt. In diesem Fall war die Aufregung schon nach einer halben Woche vorbei, der Täter war ja gefasst. Man diskutiert nicht über zukünftige Sicherheit, sondern darüber, ob und welche Informationen in dieser halben Woche hätten fließen sollen. Nachhaltig? Haben die das Problem verstanden?

Nutzerdaten sind das Ziel beim Datenklau

Konkreter Angriff gegen abstrakte Verteidigung

Der Schutz der Identität, der vertraulichen Informationen und des Besitzes hat versagt. Der Cracker konnte Schutz-Maßnahmen aufbohren. War der Schutz zu schwach? Waren er lückenhaft?
Datenklau bedroht Privatsphäre

Hat die flächendeckende abstrakte Verteidigung überhaupt eine Chance gegen punktuelle konkrete Angriffe? Die Antwort ist ganz einfach: NEIN. Angreifer finden genügend Ansätze für immer neues Bohren, Verteidiger erkennen das Loch und verschließen es. Eine Spirale ohne Chance. Wenn es flächendeckende Sicherheit überhaupt gäbe, müsste man neben jeden Internet-Nutzer einen Internet-“Bodyguard” stellen. Das wäre weder akzeptabel noch finanzierbar.

Gegen konkrete Angriffe hilft keine abstrakte Verteidigung. Verteidigung muss konkret in die Situation des Nutzers passen, das kann nur der Angegriffene selbst leisten.

Nutzerfehler ermöglichen den Datenklau

Die Berichte nennen mehr oder weniger deutlich Fehler seitens der Nutzer. Aus meinen eigenen Beobachtungen z.B. in Seminaren kann ich das bestätigen:

  • Passwörter sind zu schwach, sie können gecrackt werden; persönliche Daten liegen dann offen. Man kann man das Problem vermeiden, ohne Gedächtniskünstler zu sein – nur mit dem richtigen Denkansatz.
  • Soziale Netzwerke (Facebook & Co.) verleiten dazu, persönliche Informationen freiwillig zu veröffentlichen, weil man ja auch “sozial” und “vernetzt” sein will. Muss das sein?
  • WhatsApp als weit verbreiteter Messenger forscht Daten aus allen gespeicherten Kontakten des Nutzers aus. Die meisten Nutzer kennen diese Gefährdung von Daten Dritter nicht, weil sie die AGB nicht lesen / verstehen. Und wenige kennen die Risiken, ignorieren sie aber. Es gibt sichere Altwernativen, man muss nur “offen” dafür sein.
  • Cloud-Dienste bieten Speicherkapazität im Internet für Adressen, Kalender, Fotos, Videos und Dokumente an. Daten dort sind prinzipiell gefährdet, weil Zugangsschutz und Verschlüsselung als unsicher bewertet werden. Die Cloud ist problemlos vermeidbar.
  • Sicherheitsvorschriften von Unternehmen und Institutionen werden aus Bequemlichkeit gern umgangen. Z.B. werden handelsübliche Smartphones benutzt, obwohl speziell geschützte dienstliche Smartphones (mit eingeschränkten Funktionen) vorgeschrieben sind. Dieses Fehlverhalten zeugt von Dummheit und sträflichem Leichtsinn.

Die Schwachstelle beim Schutz gegen Datenklau ist eindeutig der Nutzer. Weil er es nicht besser weiß und/oder weil er Risiken unterschätzt und/oder bewusst ignoriert und/oder weil Sicherheit weniger bequem ist. Schutzmaßnahmen sind mit vertretbarem Aufwand machbar. Die Nutzer müssen aber die Risiken kennen, und sie müssen bereit sein, sich damit zu beschäftigen. Die Nutzer bilden die Schwachstelle, weil ihnen das Problembewusstsein fehlt.

Es gibt keine Hinweise darauf, dass Politiker “bessere Internetnutzer” sind als Privatleute. Im “Neuland” und in der Diskussion zur Digitalisierung hat sich die “politische Klasse” nicht besonders hervorgetan. Ich habe eher den Eindruck, dass sie desinteressiert ist und/oder beratungsresistent und/oder lobbyabhängig.

Die Tagesschau zitiert den Chaos Computer Club (CCC) “Die Attacke zeigt, was passiert, wenn sich jemand wirklich dahinter klemmt und versucht, systematisch Unsicherheiten und Schlampigkeit auszunutzen, die wir alle im Alltag mit unseren Geräten und Informationen betreiben”.

Der Kabarettist Frank Markus Barwasser (alias Erwin Pelzig) hat es auf den Punkt gebracht:

“Auch in der digitalen Welt wird Blödheit ganz analog bestraft”

.
Wir müssen aus diesem Vorfall lernen. Wir haben die Chance, die aktuelle Aufmerksamkeit zu nutzen. Bitte lesen Sie den folgenden Beitrag.

Internet-Wissen gegen Datenklau

  1. Datenklau – die peinliche Chance
  2. Internet-Wissen – so muss es vermittelt werden

Kontakt

Bitte schreiben Sie einen Kommentar (am Ende des Artikels).
Sie möchten bei neuen Artikeln eine unverbindliche Info?
Sie haben Fragen, Wünsche oder Vorschläge? Bitte hier.


Print Friendly, PDF & Email

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.