Nein, ich mache sonst nicht in so sehr Alarmismus. Aber was das Datenleck bei großen Plattformen derzeit betrifft, kann ich ganz einfach mal nicht still bleiben. Da ist ziemlich viel passiert, und darüber müssen wir uns einfach mal unterhalten. Ich will ja nicht, dass da irgendwas unklar bleibt. Jedenfalls ist mir in den letzten Tagen einiges unter gekommen, was mir sagt: So lang die Plattformen ihren Scheiß nicht im Griff haben, kann man sie eigentlich nicht mehr nutzen. Preisfrage dabei: Wer macht dabei mit?
Von welchem Datenleck erzähle ich hier?
Beim eGovernment-Computing steht etwas dazu. Auch bei t3n lese ich etwas darüber. Und Günter Born ist auch dabei. Das ist nur eine ganz kleine Auswahl von Quellen, bei denen wir lesen können, was derzeit los ist. Hunderte Millionen von Datensätzen wurden abgegriffen und im Internet zum Kauf angeboten. Dazu gehören über 500 Millionen Nutzerdaten von Facebook und nochmal ungefähr so viele von LinkedIn. Das ist schon ein gewaltig großes Datenleck, was sich da breit macht. Die Datensätze bestehen dann vielleicht aus solchen Daten:
- Nutzername
- Passwort
- Email-Adresse
- Telefonnummer
- Kontakte
- etc.
Die Datensätze können freilich variieren. Angeblich soll es sich bei Facebook um veraltete Daten handeln. Aber weiß man das wirklich so genau? Wie gut die blaue Datenkrake den Datenschutz im Griff hat, sieht man daran, dass wohl auch die Daten von Gründer Mark Zuckerberg enthalten sein sollen. Jetzt darf man das weder ins Lächerliche ziehen, noch sollte man anfangen, in blinden Aktionismus zu verfallen. Es ist aber durchaus sinnvoll, seine Daten einmal zu überprüfen und ggf. zu aktualisieren.
Wie konnte es denn dazu kommen?
Bei LinkedIn kann es sein, dass per gezielten Hackerangriffen die Passwörter und Email-Adressen von Usern herausgefunden werden konnten. Ähnliches ist wohl auch bei Facebook passiert. Dass die Angreifer überhaupt so weit kommen konnten, kann eigentlich nur damit zusammenhängen, dass Anwender ihre Profile unzureichend abgesichert haben. Sprich: Unsichere Passwörter, die ggf. noch woanders im Internet verwendet werden, und keine Multi-Faktor-Authentifizierung.
Aber so ein Datenleck hat eigentlich auch immer ganz praktische Ursachen, die bei den Plattformen selbst zu suchen sind. Zu wenig Datenschutz für die Nutzerdaten, veraltete Technologien für die Datenspeicherung etc. Natürlich ist es auch immer denkbar, dass kriminelle Mitarbeiter die Daten verschachern. Letzten Endes kann man als Internetnutzer eigentlich niemandem trauen. Vor allem nicht Plattformen, bei denen immer wieder Sicherheitsprobleme bekannt werden.
Wie finde ich heraus, ob ich Opfer wurde?
Es gibt mehrere Webseiten, auf denen man überprüfen kann, ob die eigenen Daten in den Datensätzen aus dem Datenleck enthalten sind. Jetzt kann man über solche Seiten denken, was man will. Es ist allerdings so, dass „Have I been pwned“ durchaus vertrauenswürdig ist. In so ein Formular trage ich meine Email-Adresse oder Telefonnummer (mit Ländervorwahl) ein und lasse mal suchen:
Wird die Anzeige darunter dann grün, ist alles gut. Bei roter Anzeige sollte man sich Gedanken machen. Die Dienste, die dort genannt sind, müsst ihr überprüfen. Ändert das Passwort, am besten über „Passwort vergessen“. Ob ihr damit allerdings dann bei Facebook und / oder LinkedIn und Konsorten wieder sicher seid, kann euch niemand sagen. Es ist daher sogar zu überlegen, ob ihr nicht auf all diese Dienste verzichten könnt oder wollt.
Was ist mit MySpace?
Ja, ihr werdet lachen, es tauchen angeblich in den Datensätzen auch Login-Daten zu MySpace auf. Woher auch immer das Datenleck die Daten bezogen hat, sie sind nicht immer auf dem aktuellen Stand. Ich wurde zum Beispiel bezüglich einer Email-Adresse von GMX, die ich seit Jahren nirgends mehr genutzt hatte und dann endlich los wurde, gewarnt, ich mög doch mal meine GMX-Daten bei MySpace überprüfen. Dort hatte ich aber gar keinen Account mehr.
Seid also vorsichtig, handelt mit Bedacht und macht euch vor allem nicht verrückt. Schaut einfach mal nach, ob ihr tätig werden müsst. Im Falle von MySpace kann man getrost sagen, dass das keine Sau mehr braucht. Oder kennt ihr irgendwen, der dort irgendwas macht? Was wollt ihr dann also mit einem Account dort? So ein Datenleck ist also auch immer wieder dafür gut, die eigenen Aktivitäten zu hinterfragen.
„Brauchen“ wir die Plattformen?
Bei so einem Datenleck kommt vielleicht jemand auch auf die Idee, sich zu fragen: Was will ich denn überhaupt in den sozialen Netzwerken? Was soll ich mit Instagram, Facebook, LinkedIn, XING, Pinterest, Twitter und all dem Kram? Und was soll ich mit all diesen Messengern anfangen? Die Mutter aller Fragen, die bei so einem Datenleck gestellt werden darf, ist doch am Ende: Brauche ich diese Plattformen?
Genau das sollte man sich tatsächlich fragen. Jedenfalls sollte niemand so blauäugig sein und denken, dass man zwingend auf diese Plattformen angewiesen ist. Vor allem nicht, wenn sie nicht sorgsam mit den Daten der Nutzer umgehen. Ich meine, man bringt schon viel Vertrauen mit, wenn man den Plattformen die Daten in die Hände legt. Wenn die damit aber Quatsch machen und diese herum gereicht werden, obwohl man alle Vorkehrungen getroffen hat, kann man den Plattformen dann halt nicht trauen.
Richtet euch die Multi-Faktor-Authentifizierung ein
Ja, Multi-Faktor-Authentifizierung kann tatsächlich sehr viel mehr Sicherheit geben. Bedenkt aber, dass es keine absolute Sicherheit geben kann. Aber vermutlich kommt ihr dann nicht gleich wieder im nächsten Datenleck vor. Hier richtet ihr die Multi-Faktor-Authentifizierung ein:
Passiert es dann wieder, dass ein Datenleck auftaucht und ihr dabei seid, solltet ihr vielleicht darüber nachdenken, ob ihr die jeweilige Plattform weiter nutzen wollt. Die Frage kann niemand außer ihr selbst beantworten. Vielleicht ist ein bisschen Detox gar nicht so schlecht. Und erzählt mir nicht, dass ihr dann mit niemandem mehr in Kontakt bleiben könnt. Wie habt ihr das denn „früher“ gemacht? Eben!