Promihack in Deutschland: Wie schützt man sich?

Die Veröffentlichung privater Daten von Promis und Politiker*innen in Deutschland hat viele aufgeschreckt. Auch wenn aktuell, am 5. Januar 2019, noch viele Details unbekannt sind, lohnt es sich sicher für alle, die das Internet nutzen, die eigenen Sicherheitsvorkehrungen zu überprüfen. Hier ein paar Tipps dazu. 

Von Balthasar Glättli 

Zuerst eine netzpolitische Vorbemerkung

in vielen Situationen ist es falsch, die Verantwortung im Cyberbereich an die einzelnen Nutzer*innen zu delegieren. Wenn Firmen und Geheimdienste all unsere Daten ausspionieren, dann ist die richtige Antwort nicht die, von allen zu verlangen, eine komplizierte Verschlüsselung zu nutzen und die eigenen Computer so zu sichern, dass nicht mal die NSA drauf zugreifen kann. Sondern die richtige Antwort ist ein stärkerer Datenschutz und eine rigorose Einschränkung der Geheimdienst-Kompetenzen. Wenn der Staat (für Staatstrojaner) Sicherheitslücken kauft und nutzt, statt sie schliessen zu lassen, schafft er bewusst zusätzlich Unsicherheit

Wenn es allerdings um Reaktionen auf die aktuellen Hacks geht, dann ist der Ruf nach einer staatlichen Cyberabwehr oder gar digitalen Gegenschlägen völlig verfehlt. Wir stellen ja auch nicht das Militär auf die Strasse, bloss weil viele Leute einen Ersatzschlüssel zur Wohnung unter ihre Briefkastentüre geklebt oder unter einem Stein versteckt haben und Dieben so den Zutritt zur eigenen Wohnung erleichtern! Für ein Minimum an eigener Sicherheit ist jede und jeder auch selbst verantwortlich, und der Umgang mit Passwörtern gehört hier an den Anfang. Das sehen übrigens auch meine beiden deutschen Grünen Kollegen und Netzpolitiker Konstantin von Notz und Malte Spitz ziemlich gleich.

Nun zur Sache: Ausführliche Tipps zur digitalen Selbstverteidigung hat die WOZ zusammen mit der Digitalen Gesellschaft 2018 bereits zum zweiten Mal zusammengestellt, wir haben darüber berichtet. Was genau in Deutschland geschehen ist, ist heute noch unklar. Es scheint so zu sein, dass viele der Daten aus unterschiedlichen – zum Teil auch (halb)öffentlichen – Quellen zusammengetragen wurden. Zumindest ein Teil der Daten wurde mit hoher Wahrscheinlichkeit aus Mail- oder Social-Media-Konten kopiert, deren Passwörter geknackt oder erraten worden sind. Mehr über den Hack erfährst Du zum Beispiel in diesem Bericht des Spiegels (Stand 4. Januar 2019) .

1. Prüfe, ob Dein Passwort gehackt wurde, ändere es notfalls

Durch Sicherheitslücken wurden in der Vergangenheit immer wieder hunderttausende von Passwörtern erbeutet, diese Listen sind teilweise sogar im Internet verbreitet worden. Entsprechend gibt es Angebote, bei denen man abfragen kann, ob die eigene Email oder der eigene Benutzernamen mit dem zugehörigen Passwort in solchen grossen Hacks offengelegt wurden.  Hier kannst Du dies abfragen:

Wenn Du hier einen oder mehrere Treffer hast, ändere nicht nur das Passwort bei den betroffenen Diensten/Webseiten, sondern ändere das Passwort auch überall sonst dort, wo Du das gleiche Passwort genutzt hast. Verwende nicht überall das gleich Passwort. Ebenfalls unsicher ist ein Passwort, das sich nur durch den Hinweis unterscheidet, auf welche Seite es sich bezieht, also zB. ein Passwort „dimssp“ (für das ist mein super sicheres passwort) ergänzt mit dem Websitenamen: dimsspwadobe.com, dimsspgmail.com, dimsspwbluewin.ch

2. Lege Dir eine Passwortstrategie fest und/oder nutze einen Passwortmanager

Gute Passwörter sind nicht solche, die für Menschen kompliziert sind, sondern solche, die für Computer schwierig zu erraten sind. Das tönt auf den ersten Blick komisch, ist es aber nicht. Eine Zeitlang war es zum Beispiel üblich, bei Passwörtern einfach Buchstaben durch Zahlen zu ersetzen, also zum Beispiel m31nP4ssw0rt statt meinPasswort. Dies ist nicht sicherer, weil Computer ohne Probleme Wörterbücher nicht nur mit dem Originalwort, sondern auch mit ersetzten Buchstaben durchtesten können. Stattdessen hilft es, ein Passwort zum Beispiel aus einem ganzen Satz resp. den ersten Buchstaben jedes Wortes zusammenzustellen. Den kann man sich als Mensch leicht merken, aber für Computer ist er sehr schwierig zu erraten. Wenn man noch Zahlwörter mit Zahlen ersetzt und die Satzzeichen hinzunimmt, hat man ein brauchbares und gleichzeitig relativ einfach merkbares Passwort:

Eine Schwalbe macht noch keinen Sommer, aber ein gutes Passwort ist ein guter Anfang.

würde nach dieser Methode zu

1SmnkS,a1gPiegA.

Allerdings kommt diese Methode auch an ein Limit, wenn wir bei dutzenden von Online-Diensten je ein eigenes Passwort kreieren müssen. Darum empfiehlt es sich, Passwortmanager einzusetzen. Die Electronic Frontier Foundation empfiehlt hier den auf verschiedenen Plattformen verfügbaren Open Source Passwortmanager KeyPassXC (verfügbar für Windows, MacOS und Linux). Hinweis: Dessen verschlüsselte Passwortdatenbanken können auch mit dem Android Passwortmanager Keepass2Android genutzt werden. Für iOS gibt es die App MiniKeePass.

3. Achtung bei Sicherheitsfragen zur Passwortwiederherstellung!

Viele Dienste ermöglichen es, auch Sicherheitsfragen festzulegen für die Passwortwiederherstellung. Achtung: wenn hier öffentliche Informationen genutzt werden, ist dies eine prächtige Hintertür für Hacker. Nicht nur der Mädchenname der Mutter sondern möglicherweise auch der Name des ersten Haustiers sind einfach herauszufinden. Es empfiehlt sich, hier nicht die reale Info einzugeben, sondern ebenfalls ein Passwort, das man sich zB. separat notiert und an einem sicheren Ort aufbewahrt.

4. Zwei-Faktor Authentizierung kann auch Nachteile haben, schwächt aber Deine Sicherheit auf keinen Fall

Bei der Zwei-Faktor Authentizierung (2FA) muss man sich nicht nur mit Benutzer*innen-Namen und Passwort sondern über einen zweiten Faktor, also zB. über einen Sicherheitscode in einer App oder via  SMS einloggen. Je nach Art des Hacker-Angriffs ist der vermeintliche Sicherheitsgewinn zwar nicht allzu hoch. Unsicherer wird man aber durch ein „zweites Passwort“ nie, im Gegenteil. Wichtig ist aber: wähle trotz Zwei-Faktor-Authentizierung ein starkes Passwort!

Eine Diskussion von Vor- aber auch Nachteilen von 2FA findest Du ebenfalls auf eff.org. Dort wird v.a. von der Nutzung von SMS als zweitem Faktor abgeraten. Dies, weil SMS weniger sicher sind als viele denken und weil damit die Anonymität nicht länger gewährleistet bleibt, weil man seine Mobiltelefon-Nummer angeben muss. Ein Nachteil ist natürlich, dass man das Mobiltelefon immer dabei haben muss, wenn der zweite Faktor via App oder SMS erzeugt wird.

Weitere Tipps

Dieser Beitrag wurde am 7. Januar mit einem Hinweis auf den Spiegel – Beitrag von Konstantin von Notz und Malte Spitz und eine Bemerkung zu Staatstrojanern ergänzt  

 

Teilen macht Freude: