Gefeierter Sicherheits Blödsinn

1. Februar 2021

Warum der »Data Privacy Day« so wie der »Change Your Password Day« humbug ist.

In diesem Artikel möchte ich erläutern warum die anscheinend gut gemeinten Pseudo-Feiertage für Datenschutz und Sicherheit bloß Humbug sind und keinen Mehrwert haben oder gar was verändern.

Data Privacy Day

Wie jedes Jahr seit 2007 wird am 28. Jan. der Europäische Datenschutztag ausgerufen und von vielen Tech.-Firmen inklusive den obligaten Gossen aus dem Sillicon Velley. Da wird dann groß beschworen, dass der Datenschutz der User einem besonders am Herzen liege und was da nicht alles getan würde. Doch genau die selben Firmen saugen jegliche Informationen die sie vom User erhalten können gern ab und speichern diese nicht nur sondern werten diese gezielt aus. Das wird wiederum gerne mit der Analyse vom Geschäftsmodell so wie dem Kunden eine besseres Produkt bieten zu können begründet. Doch dem ist gar nicht der Fall, denn diese ausgewerteten und aufbereiteten Daten kann man weiter monetär ausschlachten und sie dabei einer Zweit- oder gar Drittverwertung verwenden.

Nichts zu verbergen

Jetzt werden die obligaten, einige wenige Personen reflexartig einwenden, dass sie nichts zu verbergen hätten. Gut warum habe ich ihre PIN Codes zu ihre Bankkarten noch nicht um mir den Gehalt für diesen Artikel selber zu nehmen? Dann kommt meistens der Gegeneinwand, es seine ja nur Metadaten. Nun aus diesen lässt sich der Tages und Lebensablauf einer Person gut lesen und sogar voraussagen. Die USA haben anhand der Metadaten den anscheinend gut versteckten Osama Bin-Laden aufgespürt. Mit der Hilfe von der Künstlichen Intelligenz (KI) lassen sich sehr viel versprechende Modelle auf ganze Bevölkerungsgruppen schließen. Dadurch kann man diese wieder manipulieren da man von ihnen digitale Zwillinge hat, an denen man ihr verhalten simuliert.

Von diesen Datenmodellen und Voraussagen ist nicht bloß die Werbewirtschaft interessiert sondern auch die Politik und Behörden. Wie weit die dazu berechtigt sind ist fast noch nicht geregelt und welche evtl. falsche Schlüsse mit weitreichenden Folgen das haben kann wurde schon des öfteren in Sciencefiction beschrieben, nur das es im jetzt ist.

Es ist also scheinheilig von der Digitalwirtschaft den Datenschutz hoch leben zu lassen wenn man ihn selber ignoriert oder mit lösungsorientiertem Fingerpointing auf die Konkurrenz sich selber abfeiert.

Change Your Password Day

Ach in diesem Jahr am 1. Feb. wird aus allen Ecken hervor beschworen, dass man sein Passwort ändern solle. Doch was nützt das wirklich wenn man das Passwort zwar ändert aber in ein weitere Schwaches. Bestimmt hast du schon davon gehört, dass ein Passwort aus mindestens acht (8) Zeichen bestehen soll und davon noch Groß- so wie Kleinbuchstaben und Zahlen garniert mit Sonderzeichen. OK so weit die Theorie doch dann nutzt man das selbe Passwort für alles mögliche weil man sich nur das merken kann. Da muss nur einmal das Passwort geknackt werden und wenn man noch zum Email Zugang hat, hat man Zugang auf dein ganzes digitales Leben.

Passwörter können z.B. durch Bruteforce Attacken geknackt werden und dabei lässt man Maschinell durch mehrfaches ausprobieren ganze geleakte Listen von Diensten durchlaufen. Wie lange oder besser gesagt schnell das geht zeigt die folgende gezeigte Grafik. Es lässt sich generell sagen, je länger und komplexer ein Passwort um so schwieriger für den Angreifer.

Passwort Sicherheit anhand ihrer Länge & Komplexität

Passwort Manager

Sichere Passwörter sind aber noch kein Schutz vor Phishing oder Keylogger Attacken. Trotzdem sollte man ein einzigartiges und langes zufälliges Passwort für jeden Dienst und App haben. Das kann man am besten mit einem Passwort-Manager generieren, verwalten, abrufen und verschlüsselt speichern. Dazu merkt man sich nur noch das Sichere Passwort vom Manager. Es gibt unzählige auf dem Markt aber für Einsteiger empfehle ich Bitwarden da diese einfach zu Bedienen ist und den nötigen Schutz bietet. Das generierte Passwort muss zufällig sein und min. 32 Zeichen lang und ja auch Klein- & Großbuchstaben, Zahlen so wie Sonderzeichen, das für jeden Dienst einzeln und neu.

Doch auch da macht es sich die Industrie zu einfach und spielt mit einem solchen “Gedenktag” auch nur den Ball zurück an deren Kunden. Wenn ich einen Dienst anbiete sollte ich, nein muss ich mich selber dazu verpflichten, die Passwörter sicher und nicht im Klartext zu speichern. Auch werden Mechanismen zur Erkennung von unerlaubten Zugriffen zu wenig verwendet. Dies lässt sich einfach über die Seite Have I Been Powned mit der eigenen Email oder Passwort (wird unkenntlich gehasht übertragen und nicht gespeichert) überprüfen.

Fazit

Solche Feiertage sind nichts weiter als Digitale Folklore und tragen nicht zu Lösung bei. Es sind hauptsächlich eine riesige Werbeveranstaltung in der sich die Tech.-Konzerne sich im besten Licht präsentieren wollen. Egal ob die ein Apfel als Logo oder Fenster im Betriebssystem haben. Am Ende des Tages ist man für seine Passwörter selber verantwortlich und man kann deren Schutz mit einem Passwortmanager und einer Zwei Faktor-Authentifizierung (2FA) erhöhen.

Gebt auf eures digitales Ich, euren Schutz dafür und euch selber acht! Denn gut Gemeint ist meistens das Gegenteil von gut gemacht.