Wohin man auch schaut, überall wird immer wieder von Datenpannen erzählt. Das ist nichts anderes, als dass schützenswerte Daten in falsche Hände geraten sind. Diese Datenlecks sind wie die Pest. Denn am Ende sind ahnungslose Nutzer Gefahren ausgesetzt, die sie vielleicht gar nicht einschätzen können. Oder es ist den Nutzern egal. Beides ist eine Katastrophe. Mit einer Email-Adresse bin ich auch mit dabei, und ich habe wie bekloppt Passwörter geändert.
Was sind denn bitte Datenpannen?
Jetzt kann man viel mit Fachbegriffen um sich werfen. Am Ende ist es aber so, dass einem beliebigen Dienst Daten, die ihm anvertraut wurden, abhanden gekommen sind. Dabei zählen nicht nur Angriffe auf Unternehmen, bei denen dann Daten gestohlen wurden, zu den Datenpannen, sondern auch Datenabfluss durch Unachtsamkeit. Unzählige Anbieter im Internet mussten schon Datenpannen zugeben. Auch Anbieter von Email-Diensten sind immer wieder mit dabei.
Der Berliner Datenschutzbeauftragte informiert zum Thema. Und es spricht ja nichts dagegen, sich selbst ein Bild zu machen. Ich dachte ja auch, dass ich durch meine Strategie bei Benutzer-Accounts, die ich sonstwo habe, recht sicher bin. Aber dann habe ich bei „Have I Been Pwned“ geprüft und habe bei einer Email-Adresse das oben gezeigte Ergebnis erhalten. Gut, bei mir ging es um zwei Accounts in den Listen der Datenpannen, die es schon lang nicht mehr gibt. Aber die Mail-Adresse halt schon.
Ja, das Thema ist auch hier im Blog nichts neues. In der Vergangenheit hat es alle möglichen Anbieter schon getroffen. Gerade läuft wohl allem Anschein nach eine Kampagne gegen zwei große deutsche Email-Anbieter. Da das recht frisch ist, werde ich die Anbieter mal lieber nicht nennen. Wer weiß, vielleicht schießt man da ja auch mit Wortmeldungen eher ins Blaue hinein, und es gibt auch andere Erklärungen.
Das soll aber nicht darüber hinweg täuschen, dass es ein riesiges Problem mit Datenpannen gibt. Ich hatte mal einen Auftrag bei einem Unternehmen, bei der Migration der Email-Systeme zu unterstützen. Das Unternehmen wusste, dass aufgrund von Industriespionage Daten abgeflossen sind. Sie reagierten allerdings damals nur mit einem Schulterzucken. Freunde, das kann man doch nicht bringen. Oder sehe ich das falsch?
Ich habe nichts zu verbergen
Wenn ich das immer höre! „Ich habe nichts zu verbergen“ oder „Was wollen die schon bei mir finden“ und ähnliche Albernheiten. Wann lernt man es endlich, dass es nie darum geht, die Weihnachtsgrüße von Omma Traudel an die bucklige Verwandschaft zu lesen? Es geht immer nur darum, die Accounts, denen man habhaft werden konnte, für die eigentlichen Angriffe zu verwenden. Also müssen wir unsere Accounts deshalb schützen. Oder wollt ihr, dass man Angriffe zu euch zurückverfolgen kann?
Und erzählt mir nicht, dass das zu schwierig ist. Ich schreibe mal wieder auf, was ich mir so vorstelle. Denn bei mir funktioniert das seit Jahren gut. Wie gesagt, von mir gibt es nur zwei nicht mehr existente Accounts, die in den Listen auftauchen. Ich kann euch nur sowas hier vorschlagen, umsetzen müsst ihr das dann schon selbst:
- Sucht euch einen gut gehenden Passwort-Manager, der für euch praktikabel ist. Allgemein empfohlen werden KeePassXC oder Bitwarden. Und genau dort legt ihr EIN Passwort an, euer Master-Passwort. Das müsst ihr euch merken.
- Danach versorgt ihr eure Email-Postfächer mit neuen Passwörtern. Am besten macht ihr euch irgendeinen Text-Editor auf und wischt einfach mal auf der Tastatur rum. Das Ergebnis kopiert ihr in den Passwort-Manager zum Email-Account. Speichert aber nicht die Textdatei.
- Jetzt meldet ihr euch aus jedem Dienst, den ihr nutzt, einmal ab. Schließt dann App oder Browser. Völlig egal, was ihr nutzt.
- Startet dann wieder App oder Browser (Ich würde den Browser bevorzugen). Natürlich werdet ihr nach euren Anmeldedaten gefragt. Wählt hier einfach die Passwort-vergessen-Funktion und setzt damit das Passwort zurück. Gewöhnlich erhaltet ihr einen entsprechenden Link zur Bestätigung per Email.
- Wenn der Link angekommen ist (Schaut auch im Spam nach), öffnet ihr die Seite und könnt ein neues Passwort vergeben. Das macht ihr PRO DIENST analog zu Schritt 2. Euer Passwort-Manager sollte die Anmeldedaten dann immer übernehmen. Leert erst die Textdatei, wenn ihr überprüft habt, ob ihr euch anmelden könnt.
- Die Schritte 4 und 5 wiederholt ihr so lang, bis ihr durch alle eure Dienste durch seid. Mancher nutzt ja etliche soziale Netzwerke. All diese Passwörter solltet ihr zurücksetzen und nach Schritt 4 und 5 neu vergeben. Ihr müsst sie euch durch den Passwort-Manager nicht mal mehr merken.
- Richtet – wo es möglich ist – eine 2-Faktor-Authentifizierung ein. Bei Facebook steht das hier, bei LinkedIn geht das hier, der Kristian Köhntopp hat zu Mastodon hier etwas aufgeschrieben, bei Instagram steht es hier, sogar bei X / Twitter geht das hier.
Niemand muss beim Bekanntwerden von Datenpannen untätig sich seinem Schicksal ergeben. Wir können alle etwas dafür tun, dass diesen Spitzbuben das Leben etwas schwerer gemacht wird. Wir schützen damit unsere Daten und uns davor, dass sie anderweitig missbraucht werden. Aber wir sollten immer bedenken: Es gibt keine absolute Sicherheit. Aber wir können uns dem annähern. Und das sollten wir auch unbedingt tun.
Ich fürchte, den meisten ist das schon wieder zu viel Aufwand. Aber zumindest prüfen, ob man in einer Liste der Datenpannen auftaucht, sollte man eigentlich regelmäßig. Man denkt immer, dass nur andere betroffen wären und macht dabei unwissentlich Tür und Tor für Angreifer auf.
Bei den Fragen der Datenschutzschulungen denke ich auch oft, dass doch niemand so blöd sein kann … und trotzdem gibt´s genug Leute, die auf Links klicken und dubiose Anhänge öffnen. Gesunder Menschenverstand ist halt keine Selbstverständlichkeit.
Absolut richtig, Henning 👍
Lorenzo