„Milliarden gehackter Accounts“ …
… unter dieser oder ähnlicher Überschrift tauchten in den letzten Wochen viele Artikel sowohl in der Fachpresse als auch in den einschlägigen Revolverblättern auf. Doch da wir regelmäßig über Informationen über das Thema „sichere Zugangsdaten“ informieren, nahmen wir den allgemeinen Aufschrei zunächst einfach nur zur Kenntnis und verwiesen auf unsere Veröffentlichungen (siehe Editorial Januar 2019). Aber nachdem sich die allgemeinen Wogen des Betroffenheitsjournalismus geglättet haben und man wieder einfach so – ohne nennenswerte Konsequenzen – zur Tagesordnung überging, fanden wir, dass sich ein genauerer zweiter Blick auf diese Angelegenheit lohnt.
Was war passiert?
Nachdem zum Jahreswechsel mehrere Listen mit mehreren Millionen Mail-Adressen und Passwörtern aufgetaucht waren, teilweise auch mit zugehörigen Infos, wo (welches Portal, welcher andere Zweck) diese Daten verwendet wurden, konnte man auf hilfreichen Portalen nachprüfen, ob eine bestimmte Mail-Adresse in den Listen auftaucht. Manchmal gab es sogar Hinweise, in welchem Kontext sie „gehackt“ wurden. Bei genauerer Betrachtung stellte sich heraus, dass es sich dabei mitnichten um wirklich neue Erkenntnisse handelte, denn viele dieser Listen waren bereits früher öffentlich zugänglich. Nur wenige besaßen also tatsächlich Neuigkeitswert.
Auf den zweiten Blick: offene Fragen.
Da stellt sich doch die Frage: alles nur „Bohei„? Oder: Wie frei zugänglich sind unsere persönlichen Daten wirklich? Und vor allem: welche Daten? Werfen wir doch einfach mal einen zweiten, kritischeren Blick auf diese Angelegenheit.
1. In welchem Kontext stehen öffentliche Mail-Adressen?
Zu Testzwecken habe ich eine Mailadresse beim HPI (Hasso-Plattner-Institut) überprüfen lassen, die ich beim Registrieren von Domains als Kontakt angegeben hatte. Und siehe da: sie tauchte tatsächlich in deren Verzeichnis als vermeintlich korrumpierte Mailadresse auf. Genauer gesagt stand sie im Kontext der Domain-Registrierung von .net-Domains. Das heisst, sie stammt aus dem öffentlich einsehbaren WHOIS für ebendiese .net-Domains. Also war das wohl eher kein Hack, sondern vielmehr das Ergebnis einer wahrscheinlich automatisierten Datenbankabfrage bei Verisign. Wohlgemerkt: diese Daten sind öffentlich einsehbar, deshalb werden sie gerne mit geeigneter Software zum Zwecke der Adressgewinnung für SPAM ausgelesen und in entsprechenden Datenbanken gespeichert. Das ist zwar auch nicht legal, denn hierbei handelt es sich um unzulässige Datensammlungen und es verstößt gegen die Nutzungsbedingungen der WHOIS-Abfrage. Aber es ist definitiv meilenweit entfernt von einem echten „Hack“.
2. Ist eine öffentlich bekannte Mail-Adresse immer gefährdet?
Diese Frage kann man zunächst grundsätzlich mit einem klaren NEIN beantworten. Sie zieht lediglich unseriöse Parser, eine Art Leseprogramm, an, welche die Daten zu SPAM-Zwecken einsammelt. Gefährdet ist sie immer erst dann, wenn sie Bestandteil von Zugangsdaten ist. Leider setzen viele Portale Mail-Adressen anstelle von pseudonymisierten Benutzernamen als Zugangsdatum voraus. Dies dient in erster Linie der Bequemlichkeit sowohl der Anbieter als auch der Nutzer. Doch das ist hochgradig bedenklich. Denn dieses grob fahrlässige Verfahren verwenden vor allem jene Anbieter, deren Services sich an Privatpersonen wenden. Davon ist auch unsere Branche leider nicht ausgenommen, denn vor allem die Discounter für Domain-, Hosting- und ähnliche Internetdienste stechen bei diesem „Unsicherheit by Design“ hervor. Das schlimme daran ist, dass sie es besser könnten, nämlich das von der DSGVO verlangte Konzept „Sicherheit by Design“ umsetzen.