Es gibt so E-Mails, die möchte man nicht lesen müssen. Ich zwar auch nicht, aber nun nutze ich die Chance einen Beitrag zu schreiben, der mir sowieso schon länger im Kopf herumschwirrte:

Zur Geschichte: Heute Morgen bekam ich eine Mail, dass ein Webshop, bei dem ich vor längerem eingekauft hatte, gehackt wurde. Das ist blöd, kann aber passieren. Als Kunde stärkt das natürlich nicht das Vertrauen. Als Anbieter muss da wohl (hoffentlich) ordentlich was los gewesen sein und so stelle ich mir das vor:

  1. Schadensfeststellung: Wie wurde eingebrochen? Was wurde gestohlen? Wie gefährlich war der Einbruch?
  2. Kunden?! Inwieweit muss man informieren? Was für Schäden und Forderungen sind zu erwarten?
  3. Dann sollte man sich für die Zukunft wappnen: Welche Sicherheitsfehler lagen vor? Lässt sich das für die Zukunft lösen? Muss etwas an der Infrastruktur geändert werden?

Der Webshop hat dann, meiner Meinung nach, etwas ganz richtig getan: Er hat seine Kunden offen informiert. So wusste ich, was für Informationen von mir gestohlen wurden: E-Mail-Adresse und Namen und mit dieser Kombination wird ein Paypal-Phishing Versuch durchgeführt. Dazu wird dann erklärt, was die Angreifer bereits bei anderen Kunden versucht haben und was bisher alles für die Sicherheit der Kunden getan wurde, außerdem der Hinweis die Passwörter zu ändern.

Leider konnte der Betreiber von dem Angriff erst durch Kunden erfahren, die diese Phishing E-Mails erhalten haben und hat dann darauf reagiert. Auch das ist eine Frage der Infrastruktur.

Was kann ich denn dagegen tun? 

 ... und damit zu meinem eigentlichen Ziel: Wie schütze ich mich und meine Daten im Internet richtig? Das A und O ist und bleibt ein Passwortmanager (wie 1Password) mit eigener Datenbank. Aus einem einfachen Grund: Dieser Manager speichert meine Passwörter in einer Datenbank, so dass ich

  • ... immer Überblick über meine gesamten Konten habe - und diese Anzahl nimmt einfach drastisch zu
  • ... für jeden Account ein eigenes, individuelles Passwort verwenden kann und somit kein Einbruch in mehrere Konten möglich ist
  • ... die Komplexität meiner Passwörter drastisch erhöhen kann, was einem Brute-Force Angriff jede Chance nimmt. Oder anders gesagt: Edward Snowden himself kann wunderbar erklären, wieso Margaretthatcheris100%SEXY ein tolles Passwort ist:

 Klar, könnte man alternativ ein Passwort oder mehrere Passwörter (nach Sicherheitslevel) verwenden und diese sich einfach selber merken, aber das ist dann einfach dumm. Weil für eine Sache braucht es nicht mal das Mooresche Gesetz: Der Mensch macht Fehler. (und ist vergesslich)

Doch mit Passwörtern an sich ist es noch nicht erledigt. Es lohnt sich (wirklich, wirklich) die Zwei-Wege-Authentifizierung bei so viel wie möglichen Diensten zu aktiveren. Dazu kann ein Ad-/Skripte-blocker die Verleitung vor Gefahren des Internets begrenzen und zu guter Letzt: Das Hirn einschalten. Ein paar Beispiele:

Beispiele gesammelt mit der Unterstützung von Marc und Daniel

Doch wer nicht richtig aufpasst, hat noch eine Gefahr: Wenn alle Rückleitungen der Konten auf ein und dasselbe führen, also mit dem man sich angemeldet hat, mit dem man das Passwort zurücksetzen kann, oder ähnliches ...

Am Ende des Tages müssen wir uns ein paar essenzielle Dinge bewusst machen:

  1. Das Internet wird in unserem Leben eine immer zentralere Rolle einnehmen.
  2. Damit wird es für Angreifer immer interessanter über diesen Weg an unser Geld, unsere Daten, oder unsere Identität zu kommen.
  3. Unsere Identität ist das heiligste, dass wir besitzen.
  4. Wir machen Fehler. Wir sollten uns also möglichst gut vor unseren eigenen Fehlern schützen.

 

Bild via Unsplash.com
Die im Beitrag gezeigten Werke sind geistiges Eigentum des jeweiligen Urhebers.

A Student from Karlsruhe, living in Osnabrück right now. 24 Years old and eager to take pictures and learn with each.