Sichere Zugangsdaten – immer noch brisant und aktuell

Sichere Zugangsdaten? Immer ohne E-Mailadresse

„Milliarden gehackter Accounts“ …

… unter dieser oder ähnlicher Überschrift tauchten in den letzten Wochen viele Artikel sowohl in der Fachpresse als auch in den einschlägigen Revolverblättern auf. Doch da wir regelmäßig über Informationen über das Thema „sichere Zugangsdaten“ informieren, nahmen wir den allgemeinen Aufschrei zunächst einfach nur zur Kenntnis und verwiesen auf unsere Veröffentlichungen (siehe Editorial Januar 2019). Aber nachdem sich die allgemeinen Wogen des Betroffenheitsjournalismus geglättet haben und man wieder einfach so – ohne nennenswerte Konsequenzen – zur Tagesordnung überging, fanden wir, dass sich ein genauerer zweiter Blick auf diese Angelegenheit lohnt.

Was war passiert?

Nachdem zum  Jahreswechsel mehrere Listen mit mehreren Millionen Mail-Adressen und Passwörtern aufgetaucht waren, teilweise auch mit zugehörigen Infos, wo (welches Portal, welcher andere Zweck) diese Daten verwendet wurden, konnte man auf hilfreichen Portalen nachprüfen, ob eine bestimmte Mail-Adresse in den Listen auftaucht. Manchmal gab es sogar Hinweise, in welchem Kontext sie „gehackt“ wurden. Bei genauerer Betrachtung stellte sich heraus, dass es sich dabei mitnichten um wirklich neue Erkenntnisse handelte, denn viele dieser Listen waren bereits früher öffentlich zugänglich. Nur wenige besaßen also tatsächlich Neuigkeitswert.

Auf den zweiten Blick: offene Fragen.

Da stellt sich doch die Frage: alles nur „Bohei„? Oder: Wie frei zugänglich sind unsere persönlichen Daten wirklich? Und vor allem: welche Daten? Werfen wir doch einfach mal einen zweiten, kritischeren Blick auf diese Angelegenheit.

1. In welchem Kontext stehen öffentliche Mail-Adressen?

Zu Testzwecken habe ich eine Mailadresse beim HPI (Hasso-Plattner-Institut) überprüfen lassen, die ich beim Registrieren von Domains als Kontakt angegeben hatte. Und siehe da: sie tauchte tatsächlich in deren Verzeichnis als vermeintlich korrumpierte Mailadresse auf. Genauer gesagt stand sie im Kontext der Domain-Registrierung von .net-Domains. Das heisst, sie stammt aus dem öffentlich einsehbaren WHOIS für ebendiese .net-Domains. Also war das wohl eher kein Hack, sondern vielmehr das Ergebnis einer wahrscheinlich automatisierten Datenbankabfrage bei Verisign. Wohlgemerkt: diese Daten sind öffentlich einsehbar, deshalb werden sie gerne mit geeigneter Software zum Zwecke der Adressgewinnung für SPAM ausgelesen und in entsprechenden Datenbanken gespeichert. Das ist zwar auch nicht legal, denn hierbei handelt es sich um unzulässige Datensammlungen und es verstößt  gegen die Nutzungsbedingungen der WHOIS-Abfrage. Aber es ist definitiv meilenweit entfernt von einem echten „Hack“.

2. Ist eine öffentlich bekannte Mail-Adresse immer gefährdet?

Diese Frage kann man zunächst grundsätzlich mit einem klaren NEIN beantworten. Sie zieht lediglich unseriöse Parser, eine Art Leseprogramm, an, welche die Daten zu SPAM-Zwecken einsammelt. Gefährdet ist sie immer erst dann, wenn sie Bestandteil von Zugangsdaten ist. Leider setzen viele Portale Mail-Adressen anstelle von pseudonymisierten Benutzernamen als Zugangsdatum voraus. Dies dient in erster Linie der Bequemlichkeit sowohl der Anbieter als auch der Nutzer. Doch das ist hochgradig bedenklich. Denn dieses grob fahrlässige Verfahren verwenden vor allem jene Anbieter, deren Services sich an Privatpersonen wenden. Davon ist auch unsere Branche leider nicht ausgenommen, denn vor allem die Discounter für Domain-, Hosting- und ähnliche Internetdienste stechen bei diesem  „Unsicherheit by Design“ hervor. Das schlimme daran ist, dass sie es besser könnten, nämlich das von der DSGVO verlangte Konzept „Sicherheit by Design“ umsetzen.

Ich bin bei Vorträgen zum Thema Sicherheit oft danach gefragt worden, warum dieses sträfliche Verfahren eine Sicherheitslücke darstellt. Dabei ist die Antwort ganz einfach: weil damit völlig unnötigerweise ein Bestandteil der Zugangsdaten bereits quasi öffentlich sind. Das Beispiel der BB-ONE.net zeigt, dass es anders geht. Hier ist die Mail-Adresse NIRGENS Bestandteil der Zugangsdaten. Auch nicht beim Mail-Account, hier verwendet man immer eine Kombination aus Benutzerkennung UND sicheren Passwörtern, bestehend aus einer vielstelligen Kombination aus Buchstaben, Ziffern und Sonderzeichen. Das mag für viele etwas nervig sein, hat auch schon mal zu bösen Worten geführt. Aber dieses Verfahren sorgt für mehr Sicherheit.

3. Verwenden Sie ein Passwort für alle Zugänge?

Klar, dadurch muss man sich nicht so viel merken. Aber das ist natürlich grobe „Fahrlässigkeit hoch 3“, denn sichere Zugangsdaten sind immer und grundsätzlich einmalig. Wer also ein (vorzugsweise auch noch schlechtes) Passwort für mehrere oder alle Zugänge zu WebSites und Portalen verwendet, darf sich nicht wundern, wenn ihm viel Schlechtes widerfährt. Denn wer so etwas tut, zeigt in Sachen Sicherheit extreme Unsensibilität bis hin zur Ignoranz. Dann wird auch die eingangs angesprochene Problematik zur kritischen Sollbruchstelle. Was im Internet trotz hinreichender Warnungen weiterhin gang und gäbe ist, würde niemand in der realen Welt tun. Niemand wäre so dumm, einen einzigen Schüssel für die Haustür, die Wohnungstür, das Kfz, den Safe und weitere Schlösser zu verwenden. Obwohl – die moderne Smartphone-Technologie steuert ja schon in diese Richtung, aber grundsätzlich würden geistig Gesunde niemals auf diese Idee kommen. Warum also dann online?

Sichere Zugangsdaten – so machen Sie es richtig!

  1. Wenn der Portalanbieter die Verwendung einer Email-Adresse als Teil der Zugangsdaten vorschreibt: entweder diesen Portalanbieter meiden oder, wenn das nicht geht, eine speziell dafür angelegte Adresse verwenden. Das nennt man „Alias“. Bei BB-ONE.net können sich Kunden beispielsweise beliebig viele dieser Alias-Adressen anlegen.
  2.  Das Passwort muss ernstzunehmen sein. Länge, Zusammensetzung auch aus Sonderzeichen, Klein- Gross-Schreibung, Ziffern – so heissen die Standardkriterien für sichere Passwörter. Oder es wird ein Satz als Basis verwendet und einige Zeichen werden verändert. Es gibt genügend Ratgeber zum Thema „Sicheres Passwort“ – auch bei uns.
  3. Passwort-Manager verwenden. Es gibt mehrere, sogar kostenfreie Softwares, die eine Datenbank, Passwortgenerator mit eigenem Regelwerk zur Qualität und eigenen Passwortschutz mitbringen.

Sie sehen: sichere Zugangsdaten mit gutem Passwortschutz ist gar nicht so schwer. Und es tut überhaupt nicht weh…