Mama Jujas Wochenbett goes nerdy: Überleben im Internet von heute

Mama Jujas Wochenbett goes nerdy

Da isser wieder. Der Update-Superheld. Und heute hat er Survival Tipps im Gepäck. Mit einer fast schon beängstigend treffenden Parabel… Kinder, Kinder – „Wie lautet das Passwort? Passwort zu kurz. Passwort muss mindestens drölf Zeichen haben, die Hälfte davon groß und mindestens ein Sonderzeichen, das seinen Namen tanzen kann enthalten.“ Hurtz!

__________________________________________________

Überleben im Internet von heute

Ich möchte euch eine Geschichte erzählen von einem Durchschnittspaar, das überall leben könnte. Nennen wir es Jane und John Doe. Die beiden sind seit längerem verheiratet und haben zwei kleine süße Kinder namens Alice und Bob. Jane betreibt zu ihrer eigenen Freude einen Blog, der ihr Leben und das ihrer Kinder begleitet und allerlei lustige Anekdoten erzählt.

Im Freundeskreis der beiden gibt es da noch Alan. Alan hieß früher Alina und hat es nicht leicht. Natürlich ist Alan super im Freundeskreis integriert und akzeptiert. Aber Alan erlebt auch immer wieder Anfeindungen im Internet. Alan war schon recht früh in seiner Kindheit von Computer fasziniert und das was man einen Nerd nennt. Informatikstudium mit Bestnoten. Deswegen weiß Alan auch wie man sich im Internet von heute schützen kann. Er hat es sich aus reinem Selbstzweck angeeignet, da seine Profile bei sozialen Netzwerken oder auch Mailanbietern bzw. Arbeitsportalen gehackt wurden und unflätige Dinge verbreitet worden sind. Auch gab es Bestellungen über hinterlegte Bankverbindungen oder er bekam seltsame Dinge zugeschickt, die er nie bestellt hatte.

Mama Jujas Wochenbett goes nerdy
Quelle: Pixabay

Neben John und Jane wohnt das Paar Eve und Mallory Sidious. Jane weiß es nicht, aber Eve ist total eifersüchtig auf Jane. Zum einen wegen ihrem scheinbar perfekten Familienleben, den Gartenparties im Sommer und natürlich wegen Janes Blog mit ihren vielen Klicks. Und dann bekommt Jane auch immer wieder Spielsachen zugeschickt zum Testen (über die sie dann Blogeinträge schreibt). Für umsonst! Und sie die arme Eve kommt kaum mit Mann und Kind über die Runden. Kein Urlaub, kein Auto, keinerlei Luxus. Seit Jahren. Da beschließt Eve Jane eins auszuwischen. Irgendwann muss sich ja die geheuchelte Freundschaft auszahlen, die sie ihr vorspielt.

Mit dem gewonnen Vertrauen und vorsichtig erfragten Informationen beginnt sie Janes eMail-Konto zu hacken. Das Passwort war zu schwach und ließ sich mit den erbeuteten Informationen leicht rekonstruieren. Ihr spielt dabei natürlich in die Karten, dass der Mailanbieter nur Passwörter mit 5-8 Stellen Länge erlaubt. Kaum im Mailkonto angekommen verschafft sie sich einen Überblick über die ganzen Onlinekonten von Jane. Schnell hat sie die Passwörter des Twitteraccounts, vom WordPress des Blogs, der Ahnentafel, diverser Onlineshops, dem Elternforum und anderen Plattformen gemopst in dem sie die „Passwort vergessen“ Option gewählt hat. Sie lacht sich dabei ins Fäustchen, dass Jane so doof war und überall ihre Mail-Adresse als Usernamen gewählt hat.

Ein Tag nach dem Diebstahl sitzt Jane aufgelöst im Wohnzimmer und weiß nicht weiter. Alle Online-Accounts weg, Bankdaten weg, Blog weg und das schlimmste: Auch private Bilder der Kinder, Schwangerschaftsbilder und ein paar Bilder, die ihr Mann von ihr in gewissen Momenten im Schlafzimmer aufgenommen hat. Alles weg. John hat keine zündende Idee auch wenn er doch täglich im Büro den Computer benutzt. Er beschließt Alan anzurufen und herzubitten. Vielleicht weiß er ja einen Ausweg.

Als Alan ankommt fällt ihm vor lauter Entgeisterung erst einmal die Kinnlade ins Untergeschoss. War es nicht er, der jahrelang gepredigt hatte, dass sie einen Passwort-Manager verwenden sollten?!

Passwortmanager sind Programme, die benutzt werden können um Passwörter zu generieren und verwalten. Dabei werden Usernamen, Passwörter und Zusatzinformationen zusammen in einer Datei gespeichert, die vom Passwortmanager verschlüsselt wird. Die Passwörter (und Usernamen) kann man dann in die Zwischenablage kopieren. Und die werden nach einer bestimmten Zeit (normal konfigurierbar) automatisch auch wieder aus der Zwischenablage gelöscht. Es gibt auch Lösungen bei denen die Datei in der Clound gespeichert wird. Es gibt teilweise auch zusätzliche Funktionen über Plugins.  Aus meiner Sicht am besten schneidet hier Keepass ab bzw. KeepassX zusammen mit der iOS App MiniKeepass.  Weiteres findet sich auch bei digitalcourage.de im Adventskalender.

Beide?! Und überall andere Usernamen. Und pro Account ein separates Passwort (er hatte auch erklärt, dass das kein Problem sei, weil sie sich nur das Master-Passwort für den Passwort-Manager merken müssten). Und er hatte Zwei-Faktor Authentifizierung gepredigt. Immer wieder. Sie würden es ja schon von der Bankkarte kennen.

Zwei-Faktor-Authentifizierung beschreibt eine Technik bei der die Authentifizierung mittels zweier Faktoren geschieht. Normalerweise wird hier die Kombination aus Passwort (was man weiss) und was man besitzt (beispielweise ein 2FA-Dongle). Alternativ könnte Biometrie verwendet werden (meist der Fingerabdruck) was ich persönlich allerdings nicht gut finde. Zu leicht zu umgehen. Gleiches gilt für die Irisscanner .  Im Bereich der Dongles gibt es zwei Typen. Einmal die Hardware-Dongles wie beispielsweise die von YubicoHier muss eine Software installiert werden um den Dongle zu managen. Es gibt hier auch ein Plugin für Keepass (Zumindest für Linux). Alternativ können auch Softwaretokens verwendet werden. Wie beispielsweise die Google Authenticator App (Ich muss leider gestehen, dass aufgrund von fehlendem Android Gerät hier nicht mehr sagen kann. Ergänzungen gern per Kommentar). Dazu gibt es auch von Plattformen wie Steam oder Battle.Net eigene Authenticator Apps. Privat verwende ich einen Yubikey Neo von Yubico.

Aber er hatte scheinbar an eine Wand geredet. Immer wieder. Aber Jane war noch mal mit einem blauen Auge davon gekommen wie er feststellen konnte. Der Angreifer bzw. die Angreiferin (was Alan aber nicht wissen konnte) hatte vergessen das Passwort des Mailaccounts zu ändern. Bingo. Demnach da aussperren. Wieder alle Passwörter ändern. Und diesmal gab es kein Entkommen. Sowohl Jane als auch John erhörten Alans Bitten & Flehen und richteten einen Passwort-Manager ein und sicherten diesen mit Zwei-Faktor Authentifizierung ein. Wenigstens da war jetzt mal Ruhe dachte sich Alan. Natürlich durfte sich Alan anhören, dass sichere Softwareprodukte so oft umständlich zu bedienen sind und man dabei Fehler macht. Doch er konnte darauf nur erwidern, dass man den Herstellern der Software in der Masse Druck machen muss und in die Mangel nehmen, um eine bessere Bedienbarkeit zu erreichen.

Mama Jujas Wochenbett goes nerdy
Quelle: Pixabay

Während dieses Gesprächs checkte Alan Janes Blog und musste feststellen, dass sie – wie hätte es auch anders sein können – die letzten Updates noch nicht installiert hatte für ihr CMS. Er öffnete die Änderungshistorie der Updates und zeigte Jane die einzelnen Sicherheitslücken, die mittels der  Updates gestopft wurden. Jane konnte nicht fassen, dass sie das nicht erkannt hatte und nicht gepatcht hatte. Oder hatte sie es erkannt aber nur verdrängt, weil es die letzten zwei Male immer Komplikationen gab danach und ihr Blog nicht erreichbar war? Als sie die Episoden Alan erzählte hörte dieser auf und verwies sie wieder auf ihre Ansprüche als Nutzerin und dass sie Druck machen solle. Mehr Aufmerksamkeit für einfachere Updateprozesse. Im Log des Blogs entdeckte Alan dann noch zwei, drei Auffälligkeiten, die er behob und er beschloss Jane nichts weiter zu erzählen. Sie war im Augenblick geläutert genug. Stand sie doch zusammen mit Mann und Kindern kurz vor dem total Identity Theft inkl. Bankdaten, Kreditkartendaten, aller Online-Shoppingaccounts und vielem mehr.

Aber Alan hatte ihnen bewusst gemacht, dass sie als Nutzer der Dienste bzw. Plattformen eine gewisse Macht haben und ihre Ansprüche auch immer wieder vortragen müssen. Am besten in gebündelter Form beispielsweise einer Usergruppe (oder einem Hashtag bei Twitter). Alan hatte auch erwähnt, dass man sich Sammelklagen anschließen könnte. Aber er hatte auch gesagt, dass es dafür schon Gruppen gibt, die knapp bei Kasse, versuchen die Nutzerrechte auf gesetzlicher Ebene besser durchzusetzen und auch auf bessere juristische Beine stellen wollen und dass sie dafür auch gern spenden dürften.  Beispiele wären der EFF, die Digitale Gesellschaft, Netzpolitik.org oder auch der Chaos Computer Club in Deutschland  oder auch noyb (none of your business), ein sehr interessantes Projekt welches aktuell im Aufbau und in der crowdfunding Phase ist (bis Ende Januar), und die edri auf europäischer Ebene

Ich hoffe ich konnte mit dieser kleinen Geschichte sensibilisieren und aufzeigen warum es wichtig ist sicher im Netz sicher zu bewegen. Passwort-Manager, Updates und Zwei-Faktor Authentifizierung sind wichtig. Man muss nicht paranoid sein oder werden, um sich halbwegs sicher im Netz bewegen zu können. Aber jede( r) muss etwas dafür tun. Und jede( r) sollte sich für bessere Verbraucherschutzgesetze und stärkere Netzpolitik einsetzen. Denn nur in der Masse sind wir stark. Ich möchte als letztes hier noch an ACTA erinnern, welches durch gezielte Proteste verhindert wurde.

Als letztes möchte ich euch noch zwei weitere Dinge mitgeben. Zum einen diesen Artikel, ebenfalls aus dem Adventskalender von Digitalcourage. Ich persönlich bin letztes Jahr ebenfalls mit meinem Account zu Mailbox.org gewechselt. Gründe? Deutscher Anbieter, seriös, Möglichkeit auf vollverschlüsseltes Postfach und Exchange Push (ihr bekommt die Mails aufs Smartphone gepushed anstatt sie auf dem Mailserver pollen zu müssen was Standard ist – spart auch Datenvolumen).
Zum anderen noch etwas zu Browsern. Versucht auf Plugins weitestgehend zu verzichten. Verwendet bestenfalls Brave (zwar noch Beta aber gut lauffähig mit Schwerpunkt Sicherheit und Privatsphäre). Alternativ Chrome. Auf jeden Fall einen Browser der aktiv gepatcht wird. Und das 3-Browser-Konzept, welches hier erklärt wird (würde jetzt den Rahmen hier sprengen)

Last but not least ein GROßES Danke an @pinguintiger, der mich darauf aufmerksam gemacht hat, dass Tipps und Links fehlen.

 

#fightforyourdigitalrights

#netzpolitik

 

 

Thomas schreibt auf Twitter unter @koppts und diskutiert gerne über den Alltag, Unsinn, Bücher, Eishockey und harte handgemachte Musik.

__________________________________________________

Ja, Ihr Lieben, und jetzt nicht in Panik verfallen bitte. Panik hat noch keinem geholfen. Also… äh… ich muss weg! Ähm… Kinder küssen oder so… Macht das auch: Kinder küssen und dann ganz fix mal über Passwörter nachdenken! (Oh, und wenn Ihr dann schon am Rechner sitzt: Der Update-Superheld freut sich über ein Feedback bei Twitter!)

Eure Julia

PS.: Please note the comment below!

Du magst vielleicht auch

1 Kommentar

  1. An dieser Stelle möchte ich auch gern auf das Projekt von Max Schrems, einem österreichischen Anwalt, hinweiswen. Das Ding befindet sich bei noyb.eu (none of your business – noyb) und diese NGO will mittels Crowdfunding eine Gruppe bilden (u.a. mit Anwälten), die digital Nutzerrechte im Internet – soweit gesetzlich abgesichert – durchsetzen will. Notfalls auch vor Gericht. Der Bisher größte Sieg gelang Max Schrems vor dem EuGH als er Safe Harbor (das Abkommen zum Datenaustausch zwischen EU und USA) aufgrund von fehlendem Datenschutz seitens der Vereinigten Staaten kippen konnte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.