Datensalat(t)

Tagesklau vom 21.01.2014Prüfung der eigenen E-Mail-Adresse(n) beim BSI gegen die Hackingliste

Sie haben einen guten Zeitpunkt für die Veröffentlichung gewählt. Mittags, mitten in der Wochenmitte, mit genügend Vorlaufzeit für Schlussredaktionen und Tagesschau. In letzterer dann die üblichen verdächtigen Portale, t-online bis web.de, bunte Allzweckwaffen aus Werbebannern und Passwortfeldern. Ja, dabei es kriecht hoch, das schlechte Gewissen einer ganzen Generation, welche (harter Schnitt im Beitrag) passiviert in einem undurchdringlichen Netzwerk-Urwald aus Gummikabeln, welche sich an den Synapsen unaufhörlich Datenblitze entgegenschleudern.


Zum Glück lässt man abschließend den Beitrag vom Sicherheitsexperten des Heise-Verlags auf den Boden zurück adeln. Die Erklärbaren von WDR und Co. halten wohl noch Winterschlaf.
Eigentlich ein perfekter Beitrag, einfach aufgebaut, gute Bilder, Selbsterkennungseffekt. Doch was ist dann das Problem? Genau: Die aktuelle thematische Übersättigung. Noch mehr Nachtisch auf dem Nachttisch. Den ganzen Tag schon dieser Spionat. Voller Bauch studiert nicht mehr.

Naja, lieber Datenklaus, wir sind der Ausspähmeldungen eben überdrüssig, ja müde geworden. Interessiert keinen mehr. Müde? Ach komm! Obwohl mittlerweile 12 Millionen Besucher ihre E-Mail-Adresse gegen die BSI-Blacklist haben checken lassen haben? Andererseits: Wenn wir davon ausgehen, dass jeder Bundesbürger mindestens 12 mal so viele E-Mail-Adressen wie Smartphones besitzt, relativiert sich auch diese Zahl. Aber kann ja noch werden.

Dabei wurde von c’t-Schmidt im Tagesschau-Beitrag implizit und vollkommen richtig gesagt: Es geht nicht primär darum, dass irgendwer Böses irgendwelche private Post mitlesen kann. Sondern darum, dass die eigene E-Mail-Adresse zum einzig eindeutige Merkmal eines jeden Menschen geworden ist. Zum einzig Eindeutigen? Also bitte, Gegenbeweis: Nennen Sie ohne Nachzuschauen Ihre Sozialversicherungsnummer. Ohne Nachzudenken die Zahl auf dem ihrem (nicht mehr neuem) Personalausweis (Wo liegt der jetzt schon wieder?). Die/der/mein SEPA? Ääähh … zu spät, ein richtiger Lucky Luke zieht schneller.

Die eigene E-Mail-Adresse ist ein wertvolles Unikat und hat deshalb den Nicknamen für die Anmeldung bei Webdiensten verdrängt. Webdienste a la Apple, Amazon und Ebay, denen man auch gerne die Kreditkarte anvertraut. Und spätestens da klingeln nicht nur die Taler, sondern auch die Glöckchen: Ach ja, stimmt, immer dieselbe Kombination aus E-Mail/Passwort. Weil ich (es) satt bin, dauernd den „SchonWiederVergessen“-Knopf zu klicken und meinen Bildschirmabstand, ja mich selbst, vor willkürlichen Captchas zu erniedrigen. Und bloß, weil ich, nein, mein schlechtes Gewissen, einmal, ja ein einziges Mal, ein leicht abgewandeltes Passwort benutzt hat, das sich nach 10 Minuten Herumirrens im Kurzzeitgedächtnis seinen Weg in die Freiheit erkämpfen konnte. Ich habe es nie wieder gesehen.

Nun empfiehlt die Regierung, erstmal seine E-Mail-Adresse(n) im eigens eingerichteten Formular auf Befall zu checken. Über https. Das ist sinnvoll. Denn rein optisch werden schon die Formular-Nachahmer in der Schlange stehen, die liebend gerne valide E-Mail-Adressen entgegen nehmen und diesen gefakte „Oh, deine Adresse ist nicht gut. Klickst du hier für auf .exe für Saubermachen …“-Antworten schicken. Also ein guter Zeitpunkt, auch mal auch das https-Schloss im Browser zu klicken, ob das Zertifikat des BSI genauso valide ist wie die eigene Eingabe.

Weiterhin wird empfohlen, bei positivem Befund zunächst den eigenen Rechner mit einem aktuellen Virenscanner zu beschäftigen (um dem Bot die CPU-Zyklen rauben?). Nein, auch das ist folge- und zugleich immer richtig, obgleich man einen aktuellen Virenscanner in vielen Fällen auch auf kompromittierten Systemen vorfinden dürfte. Sprich: Würden Virenscanner alle Viren verhindern, gäbe keine Viren.

Andererseits hat so eine Aktion auch einen beruhigenden psychologischen Aspekt, verhindert sie doch vorschnellen Aktivismus. Statt einem hektischen „format c:\“ erstmal re-kapitulieren, ob man sein Passwort nicht vielleicht auch in einem offenen WLAN bei Starbucks oder im Mallorca-Hotel mitgelesen zum unverschlüsselten POP3-Abruf benutzt haben könnte. Oder ob dessen Hash nicht nach dem Diebstahl von Userdatenbanken aus (Kurzzeitgedächtnis): Apple, Adobe, Yahoo… errechnet haben könnte. Die Spur zum eigenen Rechner könnte ihre Richtung ändern.
Überdies muss das bloße Matching der Adresse keine Aussage über das aktuelle Passwort sein, gesetzt den Fall, der User hätte es sowieso schon gewechselt.

Wie dem auch sein: Schön ist so ein Zustand nicht. Genauso unschön wäre es aber auch, die prophylaktische Änderung aller Passwörter auf dem Rechner auszuführen, wo sich potentielle Keylogger und –grabber den Handshake geben. Hier könnte das BSI etwas deutlicher dazu raten, solche Aktionen auf einem unbelastetem Client auszuführen. Eine Live-CD in das RAM zu schieben, Herr Schieb.

Doch zurück zur Sättigung: Auch diesen langen Blogpost wird niemand vollständig lesen. Zu viele Buchstaben, wirres Zeugs. Wo sind die Facts, woran soll ich mich orientieren, was soll ich machen, bevor die Zeilen aus dem Kurzzeitgedächtnis rutschen?

  • Für jeden Dienst ein anderes Passwort
  • Passwörter mit Generatoren erzeugen lassen
  • Alle Passwörter in Tools wie 1-Password, Minikeypass etc. zusammenfassen
  • Superfieseslangesschwers Master-Passwort für das Tool ausdenken. Auswendig lernen
  • Masterfile redundant speichern bzw. synchen (Dropbox und Co.)

Und wir lesen uns erst wieder, wenn das erste Krypto-Masterfile entschlüsselt wurde..:-(

[Update]
Frank Carius beschäftigt sich ebenfalls gewohnt ausführlich und in weit höherer technischer Kompetenz mit dem Thema. Allerdings geht er m.E. etwas zu harsch mit dem BSI ins Gericht, denn die müssen schließlich einen Spagat machen zwischen einfach benutzbar (damit es überhaupt wer macht) und sicher (damit hier nicht das nächste Loch entsteht). Die Lösung läuft aber in dieselbe Richtung: http://msxfaq.de/verschiedenes/passwordsafe.htm

[Update2]
Mittlerweile wirft auch heise.de dem BSI, wenn auch nicht technisches Versagen, so doch zumindest eine kurzsichtige Planung bzgl. der eigenen Infrastruktur vor, die dem Ansturm(?) augenscheinlich nicht gewachsen ist. Gut, kann man so sehen. Und sicherlich gibt es bessere Verfahren, die auch dem unbedarften Anwender noch zuzumutenr wären.
Den Abschnitt „auf Datenklau folgt Datenspende“, in der es um die Undurchsichtigkeit einer möglichen Weiterverarbeitung der eingebenen E-Mail-Adresse geht, würde ich so nicht unterschreiben. Letzlich konnte, kann und wird jeder Hans Wurst meine, seine oder sonst eine eigene oder fremde E-Mail-Adresse in ein Internet-Formular (seiner Wahl) eintippen können. Und wenn ich mir das für meine E-Mail-Adresse aussuchen dürfte: Dann lieber beim Sicherheitstest als beim Erotikfachhandel, lieber Hans Wurst. http://www.heise.de/newsticker/meldung/Kommentar-zum-BSI-Beim-Selbsttest-durchgefallen-2093958.html

[Update3]
Heute , am Tage des Herrn, holt auch der Deutschlandfunk den Knüppel aus den Sack, um damit auch auf selbigen draufzuhauen. http://www.deutschlandfunk.de/datendiebstahl-vor-allem-verwirrung.720.de.html?dram:article_id=275639 Zum Schmunzel ist, dass der Kommentator dem BSI in erster Linie die Verzögerung der ganzen Aktion vorwirft. Also den Zeitraum über Kenntnisnahme,  Auswertung, mögliche (Teil-)validierung, Abstimmung, interne Koordination, technischer Infrastrukturmaßnahmen, Programmierung,bis hin zur öffentlichen Informationspolitik. Denn für diesen aus wenigen Textzeilen bestehenden Vorwurf nahm er sich immerhin fünf Tage Zeit. Na gut, so ein Kommentar fürs Radio muss ja auch im Studio eingesprochen werden und das Dradio ist nicht gerade berühmt für einen rasanten Rededuktus.
Wie auch immer: Niemand scheint zu wissen, ob es sich bei den Datenbergen evt. nicht zum Großteil um ein prähistorisches Gebirge handelt und wie lange dieses schon vorher in Botnetzten oder für sonstige Aktivitäten ausgenutzt wurde. Monate? Jahre? Noch länger? Hier stellt sich die Frage, ob blinder Aktionismus in solchen Fällen das Mittel der Wahl ist.
Bedenklicher ist der Vorwurf des Deutschlandfunk, der Name „Sicherheitstest“ würde den Nutzer verwirren bzw. vollkommen falsche Erwartungen schüren, da auf der Website letztlich kein Sicherheitstest des eigenen Rechners ausgeführt wird. OhOhOh: Wir kennen hoffentlich alle diese Websiten, von denen uns PopUps wie solche anspringen: „Ihr Rechner ist möglichweise verseucht. Laden Sie deshalb durch [Hier Klicken] das kostenlose …“. Gut, dass die Website des BSI eben dazu nicht verführt. 90 % der Rechnerprobleme dürften in diesem Downloadkomplex ihren Ursprung haben.
Der letze Punkt betrifft eine Aussage, die in der Form meines Wissens nach nie gefallen ist: „Sicherheit, dass meine Daten nicht längst gestohlen wurden, bietet der Test nicht.“  Nöh, tut er nicht. Kann er auch gar nicht. Kann gar kein Test und wird nie einer können.
Er kann aber – und hier geht’s wieder in die richtige Richtung, lieber Deutschlandfunk, sensiblisieren, ein verstärktes Sicherheitsbewußtsein in der Öffentlichkeit, eine neue Sicherheitskultur im Internet öffentlich anstoßen bzw. einfordern. Hier kann man sicherlich noch nachbessern. Aber ist das nicht (auch) eure Aufgabe, lieber Deutschlandfunk?