{"id":333,"date":"2014-01-23T06:45:02","date_gmt":"2014-01-23T05:45:02","guid":{"rendered":"https:\/\/www.krombusch.de\/?p=333"},"modified":"2021-11-01T12:36:53","modified_gmt":"2021-11-01T11:36:53","slug":"satt-vom-datensalat","status":"publish","type":"post","link":"https:\/\/www.krombusch.de\/?p=333","title":{"rendered":"Datensalat(t)"},"content":{"rendered":"

\"Tagesklau<\/a>Pr\u00fcfung der eigenen E-Mail-Adresse(n) beim BSI gegen die Hackingliste<\/p>\n

Sie haben einen guten Zeitpunkt f\u00fcr die Ver\u00f6ffentlichung gew\u00e4hlt. Mittags, mitten in der Wochenmitte, mit gen\u00fcgend Vorlaufzeit f\u00fcr Schlussredaktionen und Tagesschau. In letzterer dann die \u00fcblichen verd\u00e4chtigen Portale, t-online bis web.de, bunte Allzweckwaffen aus Werbebannern und Passwortfeldern. Ja, dabei es kriecht hoch, das schlechte Gewissen einer ganzen Generation, welche (harter Schnitt im Beitrag) passiviert in einem undurchdringlichen Netzwerk-Urwald aus Gummikabeln, welche sich an den Synapsen unaufh\u00f6rlich Datenblitze entgegenschleudern.<\/p>\n


\nZum Gl\u00fcck l\u00e4sst man abschlie\u00dfend den Beitrag vom Sicherheitsexperten des Heise-Verlags auf den Boden zur\u00fcck adeln. Die Erkl\u00e4rbaren von WDR und Co. halten wohl noch Winterschlaf.
\nEigentlich ein perfekter Beitrag, einfach aufgebaut, gute Bilder, Selbsterkennungseffekt. Doch was ist dann das Problem? Genau: Die aktuelle thematische \u00dcbers\u00e4ttigung. Noch mehr Nachtisch auf dem Nachttisch. Den ganzen Tag schon dieser Spionat. Voller Bauch studiert nicht mehr.<\/p>\n

Naja, lieber Datenklaus, wir sind der Aussp\u00e4hmeldungen eben \u00fcberdr\u00fcssig, ja m\u00fcde geworden. Interessiert keinen mehr. M\u00fcde? Ach komm! Obwohl mittlerweile 12 Millionen Besucher ihre E-Mail-Adresse gegen die BSI-Blacklist haben checken lassen haben? Andererseits: Wenn wir davon ausgehen, dass jeder Bundesb\u00fcrger mindestens 12 mal so viele E-Mail-Adressen wie Smartphones besitzt, relativiert sich auch diese Zahl. Aber kann ja noch werden.<\/p>\n

Dabei wurde von c\u2019t-Schmidt im Tagesschau-Beitrag implizit und vollkommen richtig gesagt: Es geht nicht prim\u00e4r darum, dass irgendwer B\u00f6ses irgendwelche private Post mitlesen kann. Sondern darum, dass die eigene E-Mail-Adresse zum einzig eindeutige Merkmal eines jeden Menschen geworden ist. Zum einzig Eindeutigen? Also bitte, Gegenbeweis: Nennen Sie ohne Nachzuschauen Ihre Sozialversicherungsnummer. Ohne Nachzudenken die Zahl auf dem ihrem (nicht mehr neuem) Personalausweis (Wo liegt der jetzt schon wieder?). Die\/der\/mein SEPA? \u00c4\u00e4\u00e4hh \u2026 zu sp\u00e4t, ein richtiger Lucky Luke zieht schneller.<\/p>\n

Die eigene E-Mail-Adresse ist ein wertvolles Unikat und hat deshalb den Nicknamen f\u00fcr die Anmeldung bei Webdiensten verdr\u00e4ngt. Webdienste a la Apple, Amazon und Ebay, denen man auch gerne die Kreditkarte anvertraut. Und sp\u00e4testens da klingeln nicht nur die Taler, sondern auch die Gl\u00f6ckchen: Ach ja, stimmt, immer dieselbe Kombination aus E-Mail\/Passwort. Weil ich (es) satt bin, dauernd den \u201eSchonWiederVergessen\u201c-Knopf zu klicken und meinen Bildschirmabstand, ja mich selbst, vor willk\u00fcrlichen Captchas zu erniedrigen. Und blo\u00df, weil ich, nein, mein schlechtes Gewissen, einmal, ja ein einziges Mal, ein leicht abgewandeltes Passwort benutzt hat, das sich nach 10 Minuten Herumirrens im Kurzzeitged\u00e4chtnis seinen Weg in die Freiheit erk\u00e4mpfen konnte. Ich habe es nie wieder gesehen.<\/p>\n

Nun empfiehlt die Regierung, erstmal seine E-Mail-Adresse(n) im eigens eingerichteten Formular auf Befall zu checken. \u00dcber https. Das ist sinnvoll. Denn rein optisch werden schon die Formular-Nachahmer in der Schlange stehen, die liebend gerne valide E-Mail-Adressen entgegen nehmen und diesen gefakte \u201eOh, deine Adresse ist nicht gut. Klickst du hier f\u00fcr auf .exe f\u00fcr Saubermachen …\u201c-Antworten schicken. Also ein guter Zeitpunkt, auch mal auch das https-Schloss im Browser zu klicken, ob das Zertifikat des BSI genauso valide ist wie die eigene Eingabe.<\/p>\n

Weiterhin wird empfohlen, bei positivem Befund zun\u00e4chst den eigenen Rechner mit einem aktuellen Virenscanner zu besch\u00e4ftigen (um dem Bot die CPU-Zyklen rauben?). Nein, auch das ist folge- und zugleich immer richtig, obgleich man einen aktuellen Virenscanner in vielen F\u00e4llen auch auf kompromittierten Systemen vorfinden d\u00fcrfte. Sprich: W\u00fcrden Virenscanner alle Viren verhindern, g\u00e4be keine Viren.<\/p>\n

Andererseits hat so eine Aktion auch einen beruhigenden psychologischen Aspekt, verhindert sie doch vorschnellen Aktivismus. Statt einem hektischen \u201eformat c:\\\u201c erstmal re-kapitulieren, ob man sein Passwort nicht vielleicht auch in einem offenen WLAN bei Starbucks oder im Mallorca-Hotel mitgelesen zum unverschl\u00fcsselten POP3-Abruf benutzt haben k\u00f6nnte. Oder ob dessen Hash nicht nach dem Diebstahl von Userdatenbanken aus (Kurzzeitged\u00e4chtnis): Apple, Adobe, Yahoo\u2026 errechnet haben k\u00f6nnte. Die Spur zum eigenen Rechner k\u00f6nnte ihre Richtung \u00e4ndern.
\n\u00dcberdies muss das blo\u00dfe Matching der Adresse keine Aussage \u00fcber das aktuelle Passwort sein, gesetzt den Fall, der User h\u00e4tte es sowieso schon gewechselt.<\/p>\n

Wie dem auch sein: Sch\u00f6n ist so ein Zustand nicht. Genauso unsch\u00f6n w\u00e4re es aber auch, die prophylaktische \u00c4nderung aller Passw\u00f6rter auf dem Rechner auszuf\u00fchren, wo sich potentielle Keylogger und \u2013grabber den Handshake geben. Hier k\u00f6nnte das BSI etwas deutlicher dazu raten, solche Aktionen auf einem unbelastetem Client auszuf\u00fchren. Eine Live-CD in das RAM zu schieben, Herr Schieb.<\/p>\n

Doch zur\u00fcck zur S\u00e4ttigung: Auch diesen langen Blogpost wird niemand vollst\u00e4ndig lesen. Zu viele Buchstaben, wirres Zeugs. Wo sind die Facts, woran soll ich mich orientieren, was soll ich machen, bevor die Zeilen aus dem Kurzzeitged\u00e4chtnis rutschen?<\/p>\n