Selbstschutz · 2014. 2. 10. · wort-Managern der Security-Programmsuiten von Herstellern wie...

Das Internet-Ich einer jedenPerson erstreckt sich über

diverse Nutzerkonten. Dazu ge-hören Mail-Accounts und Mit-gliedschaften in sozialen Netz-werken ebenso wie Zugänge zuOnline-Banking- und Webshop-Sites. Für viele Menschen habeneinige dieser Konten bereits eine

nahezu existenzielle Bedeutung:Es geht um das monetäre Habund Gut, aber auch um sozialesAnsehen und die eigene Ge-schichte in Text und Bildern, diemittlerweile zumindest teilweisenur noch in der Cloud lagert.

Gemessen daran mutet esfahrlässig an, dass der Zugang zu

nahezu allen Online-Dienstennach wie vor lediglich mit dem anachronistischen Mecha-nismus der Eingabe einer Nut-zername-Passwort-Kombinationgeschützt ist. Diese Sicherheits-barriere kann viele Schwachstel-len aufweisen. Fälle aus der jüngeren Vergangenheit zeigen,

dass einige Anbieter gespeicher-te User-Passwörter nicht gutgenug vor fremdem Zugriffschützen. Immer wieder kursie-ren ganze Klartext-Passwortda-tenbanken in Untergrundforen.Außerdem sind bisweilen Login-Prozesse auf Web-Frontends un-zureichend gegen Angriffe wieBrute-Force-Attacken geschützt.

Die größte Gefahr dürfte abervon den Nutzern selbst ausge-hen. Aus Bequemlichkeit oderUnwissen missachten sie wichti-ge Regeln, die den Schutz ihrerOnline-Accounts deutlich er -höhen würden. Eine aktuelleStudie des US-UnternehmensCSID etwa ergab, dass 61 Pro-zent der Befragten für jeden On-line-Dienst dasselbe Passwortgewählt haben. Der deutscheBranchenverband Bitkom ermit-telte mit einer repräsentativenUmfrage, dass 41 Prozent derdeutschen Web-Nutzer aus Be-quemlichkeit noch nie ihre Pass-wörter gewechselt haben.

Mindestens die Hälfte allerWebnutzer befolgt also nichteinmal die Grundregeln für wirk-samen Identitätsschutz. Dabei istes weder sonderlich aufwendignoch unbequem, die Sicherheitdes Online-Ichs deutlich zu erhö-hen. Wir möchten Sie mit diesemArtikel dazu ermuntern, Ihre Accounts und Daten angemes-sen gegen fremden Zugriff zuschützen. Als Beispiele dieneninsbesondere die wohl meist -genutzten Plattformen von Goo-gle und Facebook.

Kopfsache PasswortGutes Passwort-Managementfängt mit sicheren Passwörternan [1]. Ein Passwort sollte min-destens zehn Zeichen lang undkompliziert genug sein. Ziel ist,dass Dritte es auch dann nichterraten können, wenn sie den In-haber des Accounts kennen. Ei-gentlich ist das eine Binse, dochwann immer mal wieder ein Poolgeknackter Zugänge auftaucht,finden sich „123456“ und „pass-word“ unter den Top Ten derverwendeten Passwörter.

Je mehr Dienste-Accountsman verwaltet, desto größer istdie Versuchung, für mehrereKonten dieselben Zugangsdatenzu verwenden, damit man sichweniger merken muss. Hier lauert die größte Gefahr: Wirdetwa Ihr Amazon-Konto erfolg-reich gehackt, sollte der Angrei-fer von dessen Name-Passwort-

136 c’t 2012, Heft 24

Praxis | Digitale Identität schützen

Jo Bager, Holger Bleich

SelbstschutzPasswortklau verhindern, Accounts retten

Bleibt der Facebook-Zugang verschlossen oder fällt er in fremde Hände, ist guter Rat teuer: Wie kriegt man seinen Account zurück? Wir zeigen, welche Verfahren Online-Dienste vorsehen, um Nutzern den Zugriff wiederzugeben. Besser ist es, das Missbrauchsrisiko von vornherein zu minimieren. Dabei helfen Strategien, Tools und zusätzliche Sicherungsmechanismen der Anbieter.

ct.2412.136-141 25.10.12 17:00 Seite 136

© Copyright by Heise Zeitschriften VerlagPersönliches PDF für Walter Holitzky aus 5582 Sankt Michael Im Lungau

Kombination keinesfalls auf IhrFacebook- oder Google-Kontoschließen können. Deshalb gilt:Verwenden Sie für jeden Diensteine andere User-ID und ein an-deres Passwort. Damit schottenSie die Identitäten ein wenigvoneinander ab und sorgendafür, dass Sie über mehrereDienste hinweg nicht allzu leichtaufgespürt werden können.

Ein sicheres Passwort enthältjeweils mindestens einen Groß-buchstaben und eine Zahl, idea-lerweise auch ein Sonderzeichen,um Angriffe von automatischenPasswortknackern zu erschwe-ren. Doch wie merkt man sichsolche komplizierten Gebilde,zumal man nicht selten für Dut-zende Dienste Passwörter benö-tigt? Am sichersten ist es, sichausreichend komplizierte Pass-wörter im Kopf zu merken, stattsie elektronisch zu speichern.

Mit einem einfachen Trick gehtdas, ohne dass Sie zum Gedächt-niskünstler mutieren müssen. AlsBasis verwenden Sie ein ausrei-chend langes Grundpasswort,das Sie für jeden Dienst variieren.Damit Sie sich das Grundpass-wort gut merken können, leitenSie es zum Beispiel aus einemSatz ab, einer Textzeile eines Mu-sikstücks oder einem Gedicht.

Nimmt man zum Beispiel „DieGedanken sind frei, wer kann sieerraten?“, dann ergibt sich ausden Anfangsbuchstaben undden Satzzeichen das Grundpass-wort DGsf,wkse? Dieses Grund-passwort variiert man bei jederRegistrierung; etwa indem manden ersten Buchstaben der Do-main des Dienstes sowie dieLänge der Second-Level-Domainvoranstellt. So lässt sich für jedenDienst ein individuelles, hin -reichend kompliziertes Passworterzeugen, das man als Passwort-besitzer trotzdem leicht rekon-struieren kann. Für google.comergäbe sich etwa g6DGsf,wkse?.Sie sollten das hier vorgestellteSystem in Ihrer Praxis natürlichetwas abwandeln.

Identitäts-TresoreWer sich seine Passwörter par-tout nicht alle merken möchte,kann auf Passwort-Manager-Tools zurückgreifen. Eine ein-fachte Variante davon bietenmittlerweile fast alle Web-Browser an. Sofern jeweils vomNutzer bestätigt, merkt sich etwaMozillas Firefox die eingegebe-nen Passwörter in Verbindung

mit den Websites und fülltLogin-Seiten bei allen folgendenBesuchen selbst aus. Die Pass-wörter speichert der Browser al-lerdings per Voreinstellung imKlartext. Sie sind für jeden Nutzerdes Browser-Profils einsehbar.

Diese Methode ist folglichalles andere als sicher. Erst wennSie in den Sicherheitseinstellun-gen den Passwortbestand miteinem Masterpasswort versehen,verschlüsselt Firefox die Daten-bank und schützt sie damit zu-verlässig vor fremdem Zugriff.Ähnlich verhält es sich in ande-ren Browsern und auch in Pass-wort-Managern der Security-Programmsuiten von Herstellernwie Norton, McAfee oder Kas-persky.

Ein über viele Jahre gereiftesund bislang noch nie kompro-mittiertes Tool zum Passwort-Management ist die beliebteOpen-Source-Software Keepass.Das Programm besteht aus zweiKomponenten, nämlich demNutzer-Frontend sowie den si-cher verschlüsselten Passwort-Datenbanken. Der Clou ist dabeidas universelle Datenbank- Format, das von jeder Keepass-Variante bearbeitet werdenkann, gleich ob unter Windows,Mac OS, Android oder iOS. Daskostenlose Programm lässt sichunter Windows auch für die Nut-zung vom USB-Stick einrichten.

Um von allen Geräten undOrten auf den aktuellen Standder Passwörter zugreifen zu kön-nen, ist es sinnvoll, die Keepass-Passwortdatenbank in einemCloud-Speicher synchron zu hal-ten, etwa bei Dropbox. Die ver-schlüsselte Datei lässt sich dannprima in die mobilen Versionenvon Keepass einbinden, unter

iOS etwa mit der App MiniKee-Pass. Von Cloud-Passwort-Spei-chern wie Lastpass, bei denendie Verschlüsselung nicht einOpen-Source-Tool, sondern dienicht offengelegte Software ei -nes Start-up-Unternehmens über -nimmt, raten wir grundsätzlichab.

SchwachpunktWiederherstellung

Das beste Passwort-Manage-ment hebelt allerdings aus, werin die Password-Recovery-Falletappt. Etliche Dienste bieteneine Hintertür für den Fall, dassman sein Passwort vergessenhat. Dann muss man eine privateFrage beantworten, deren Ant-wort man beim Dienst vorab hin-terlegt hat.

Leider bieten viele Diensteihren Nutzern keine Freiheitenbei den Wiederherstellungs -fragen. Vorgefertigte Fragen à la„Wie lautet der MädchennameIhrer Mutter?“ oder „Wie heißtdie Straße, in der Sie aufgewach-sen sind?“ sind nicht besondersoriginell. Die Informationen sindfür Menschen, die den Nutzerkennen, leicht zu erraten. Alleanderen können mit ein wenigSocial Engineering daran gelan-gen.

Man sollte also, falls möglich,andere Wege wählen, um einenAccount notfalls reaktivieren zukönnen, wenn man sein Pass-wort vergessen hat: etwa dasWiederherstellen per Handy.Falls man gezwungen wird, eineAntwort auf eine Frage zumPasswort-Zurücksetzen anzuge-ben, sollte man eine Antwortwählen, die nicht der Frage ent-spricht. Auch hier kann die Pass-

wort-Merk-Strategie zum Ein-satz kommen, die wir bereits er-läutert haben. Sie sollten auchin diesem Fall darauf achten,dass Sie keinesfalls bei zweiDiensten dasselbe Passwort be-ziehungsweise dieselbe Ant-wort hinterlegen.

Handy-KopplungNur selten geben Unternehmenihren Kunden überhaupt die Op-tion, ihr Konto besser gegenfremden Zugriff abzusichern alsmit einer User/Passwort-Kombi-nation. Ausgerechnet die viel ge-scholtenen großen US-Internet-Firmen sind diesbezüglich Vor-reiter. Für Privatnutzer habeneBay und der zum Konzern ge-hörende Bezahldienst PayPalden Anfang damit gemacht, zu-sätzliche Optionen zur Account-Sicherung anzubieten. Beide Un-ternehmen bieten für rund20ˇEuro einen handlichen PIN-Generator namens „Sicherheits-schlüssel“ an, der auf Knopfdrucksechsstellige Codes ausgibt. Istdie Sicherheitsschlüssel-Optionim Account aktiviert, muss derNutzer bei jedem Einloggenneben dem Passwort auch einenso generierten Code eingeben.

PayPal schickt einen solchenCode auch kostenfrei als SMS andie hinterlegte Handynummer.Mit dieser Kopplung des Ac-counts an eine SIM-Karte ziehtPayPal eine sinnvolle Sicher-heitsschicht ein, die aber nur op-tional ist. Wer den Codeschutzumgehen will, etwa weil Handyoder Gerät verloren gegangensind, muss zwei Sicherheitsfra-gen beantworten.

Google-Nutzer haben seit An-fang 2011 über die Sicherheits-einstellungen in der Kontenver-waltung die Möglichkeit, sich fürdas kostenfreie „Bestätigen inzwei Schritten“ anzumelden.Ähnlich wie bei PayPal bekom-men sie dann nach jedem Loginmit ihrem Passwort noch einensechsstelligen Code als SMS andie hinterlegte Rufnummer ge-schickt, den sie zusätzlich zur An-meldung eintippen müssen.

137


c’t 2012, Heft 24

Internet

Cloud

liest

liest

schreibt

liest

liest

(z.B. Dropbox)

PC

Tablet

Notebook

iPhone

VerschlüsselteKeepass-

Datenbank

Die verschlüsselte Passwort -datenbank in der Cloud, etwa bei Dropbox, wird amheimischen PC gepflegt undkann von jedem Ort und Gerätaus eingesehen werden.

ct.2412.136-141 25.10.12 17:00 Seite 137


Um das Verfahren bequemerzu machen, kann der Nutzer fest-legen, dass Google 30 Tage langauf eine erneute Code-Abfrageverzichtet. Für mobile Zugriffeauf Google-Dienste sowie Proto-kolle wie IMAP oder ActiveSyncgilt die Code-Authentifizierungnicht. Stattdessen hat der Nutzerhier die Möglichkeit, über dieEinstellung „Autorisieren vonAnwendungen & Websites“ so-genannte „anwendungsspezifi-sche Passwörter“ generieren zulassen, die nur für ein Gerät undeine Anwendung dauerhaft gel-ten. Davon sollten Sie unbedingtGebrauch machen.

Bei Facebook heißt die Handy-Account-Bindung „Anmeldebe-stätigung“ und ist in den Sicher-heitseinstellungen ebenfalls nuroptional verfügbar. Facebookmerkt sich bei jeder Anmeldungdas Gerät des Nutzers. Erfolgt dasLogin von einem „unbekanntenGerät“ aus, sendet die Plattformbei aktivierter Anmeldebestäti-gung einen Code per SMS, derbestätigt werden muss. Damitverhindert Facebook allerdingskeine missbräuchlichen Account-Zugriffe von gekaperten Geräten,etwa gestohlenen Handys.

Mobile GefahrMit der zunehmenden Verbrei-tung von Smartphones kommtden Geräten bei der Absiche-rung der Online-Identitäten oh-nehin immer mehr Bedeutungzu. Die beste Verriegelung amheimischen PC hilft nicht viel,wenn auf dem Handy Zugangs-daten für Facebook, Google und

Co. ungesichert in den Appsrumliegen. Dasselbe gilt für E-Mail-Zugänge: Wer sowohlPasswörter als auch die Mailsselbst ungeschützt auf demSmartphone verwaltet, um maleben unterwegs nachzusehen,handelt fahrlässig. Er baut sicheinen Single Point of Failure, dersämtliche sonstigen Schutzbe-mühungen zunichtemacht.

Es sollte also selbstverständlichsein, sein Smartphone oder Tab-let mit einem Zugangsschutz zuversehen. Unter Android 4 richtetman diesen in den Sicherheitsein-stellungen als Bildschirmsperreein. Zur Wahl stehen bei aktuellenGeräten Wischen, Muster, PINund Passwort, bei manchen aucheine Entsperrung per Gesichtser-kennung der aber alles andere alssicher ist. Auch vom Wischen istabzuraten, auch das Muster (eine gewischte Geste über neunPunkte) ist leicht abzuguckenoder gar an Fettspuren auf demDisplay abzulesen. Mehr Schutzbieten die PIN- und Passwort -abfragen. Bei Apple finden Sie dieCodesperre in den allgemeinenEinstellungen.

Wenn das Gerät dann weg ist,gibt es noch eine letzte Chance,die Daten vor fremdem Zugriffzu schützen – wenn man vorge-sorgt hat. Apples iPhones undiPads lassen sich aus der Ferne

löschen, wenn man in der iCloudangemeldet ist, Details unter [2].Bei Android ist das leider nicht soeinfach, weil das Betriebssystemselbst kein Fernlöschen vorsieht.HTC, Motorola und Samsunghaben das erkannt und ihre Be-dienoberflächen bei einigenSmartphones erweitert. Für dieanderen Geräte gibt es Appszum Nachrüsten [3].

Recovery-AdresseBetreiber von Online-Dienstenmöchten es sowohl ihren Nut-zern als auch sich selbst mög-lichst einfach machen. Dazu ge-hört es, zeitraubende und teureMedienbrüche wo immer mög-lich zu meiden. Anders ist esnicht zu erklären, dass kaum einService bestehende Möglichkei-ten nutzt, zumindest bei derErstanmeldung seine Nutzerzweifelsfrei zu authentifizieren.Möglich wäre dies etwa mit demPostIdent-Verfahren oder neuer-dings auch mit der genau dafürvorgesehenen eID-Funktion desneuen Personalausweises. Dochderlei Identitätskontrollen wür-den viele Interessenten abhal-ten, sich beim Dienst anzumel-den – was den wirtschaftlichenInteressen der Anbieter zuwider-läuft.

Stattdessen hat sich eine allesandere als solide Methode zurNutzervalidierung durchgesetzt:

der Bestätigungslink als Mail anden Nutzer. Wer sich damit vali-diert, hat gerade einmal bestä-tigt, dass er über ein Mail-Kontoverfügt, nicht aber, dass er derist, der er vorgibt zu sein. Für so-ziale Netzwerke etwa, wo jaPseudonymität durchaus zumProgramm gehört, mag dieseMethode genügen. Bei Mail-Kon-ten oder etwa dem Blog-Servicevon Google sollte eine erweiter-te Erstidentifizierung allerdingsBestandteil des Anmeldeprozes-ses sein – ist sie aber nicht.

Die bei der Erstanmeldung an-gegebene Bezugs-Mail-Adressedient in der Regel nicht nur dazu,die Account-Eröffnung zu bestä-tigen. Ihr kommt später die Auf-gabe zu, als Fallnetz zu dienen,etwa falls der Nutzer sein Pass-wort vergessen hat. Dann näm-lich kann er sich an eben dieseAdresse entweder ein neuesPasswort oder einen kurz gülti-gen Link schicken lassen, beidem er sein Passwort neu setzendarf. Auch das angegebene Mail-Konto muss deshalb als SinglePoint of Failure bezeichnet wer-den: Gerät es in die Hände Drit-ter, sind alle darauf verweisen-den Accounts in Gefahr.

Die Referenz-Mail-Adresse fürsPasswort-Recovery sollten Siefolglich ausschließlich für diesenZweck anlegen und verwalten.Der Local Part (vor dem @-Zei-chen) dieser Adresse sollte sichvon allen Ihren anderen Adres-sen deutlich unterscheiden undnicht zu erraten sein. Die Adresseselbst darf nicht öffentlich wer-den. Für ein solches Mail-Kontobietet sich ein Provider an, der –wie etwa bei Google beschrieben– einen erweiterten Zugangs-schutz via Kopplung ans Handygewährleistet. Weil die Adresse

138 c’t 2012, Heft 24


Mehr Sicherheit als der ein fache Passwortschutz bietet die Kopplung desAccounts ans Handy: Bei jeder An meldung bekommtder Nutzer einen Code per SMS zu geschickt, den er eingeben muss.

Bild

: Pay

Pal

Letzte Möglichkeit zurWiederherstellung des Pass -

worts: Google fragt eineMenge Informationen ab, an

die sich kaum ein Nutzererinnern dürfte.

ct.2412.136-141 25.10.12 17:00 Seite 138


meist auch zur Kommunikationder Anbieter mit Ihnen dient –beispielsweise zur Ankündigungvon AGB-Änderungen –, solltenSie die Mails mindestens wö-chentlich mit POP3 abholen.

RückeroberungIm Fall, dass Nutzer tatsächlichihr Passwort vergessen, werdensie von den Anbietern auf ver-schiedene Weise unterstützt. DerBenutzer-Milliardär Facebooketwa hat mit allen denkbarenScherereien um Benutzer-Ac-counts Erfahrungen und Stan-dardvorgehensweisen geschaf-fen, damit umzugehen. Allediese Verfahren sind in der Hilfeunter www.facebook.com/helperklärt, manchmal muss man al-lerdings etwas suchen. Die Hilfeist auch erreichbar, wenn mannicht eingeloggt ist oder wennman keinen Account hat.

Beim Klick auf den Link „Pass-wort vergessen“ am Anmelde-Screen erscheint eine Maske, aufder man mit Hilfe seines Face-book-Nutzernamens einen Reco-ver-Link an die Referenz-Mail-Adresse senden lassen kann. Istdie Recovery-Adresse vom Nut-zer nicht erreichbar, bietet auchFacebook die Validierung überAntworten auf die Sicherheitsfra-gen an. Misslingt dies ebenfalls,nutzt Facebook das soziale Netzdes Nutzers: Er wird aufgefor-dert, Facebook-Freunde anzuge-ben, die er „leicht per Telefon er-reichen kann“. Diese Freunde er-halten jeweils Mails mit indivi -duellen Codes. Der Nutzer sollnun die Freunde anrufen und siebitten, durch Eingabe der Codesseine Identität zu bestätigen.Klappt dies, setzt Facebook denAccount zurück und gibt ihn fürden Nutzer wieder frei.

Hilfe bei einem gekapertenAccount findet sich unter derAdresse https://www.facebook.com/hacked. Dort wird das Mit-glied aufgefordert, sein Konto zuidentifizieren. Dazu muss es diezum Account gehörende Mail-Adresse angeben, die Telefon-nummer, den Nutzernamen oderden Namen des Mitglieds sowieden eines Freundes. Mit Hilfedieser und weiterer Informatio-nen validiert Facebook dasrechtmäßige Ansinnen des Mit-glieds und verschafft ihm bei er-folgreicher Prüfung wieder Zu-griff auf seinen Account.

Auch für den Fall, dass sich je-mand mit einem Facebook-Ac-

count als jemand anderes aus-gibt, stellt das soziale Netzwerkein Formular bereit. Facebookfordert als Identitätsnachweisein „gescanntes oder digitalesBild eines amtlichen Ausweises(z.ˇB. Führerschein, Pass)“. DasBild muss farbig sein und denvollständigen Namen sowie dasGeburtsdatum enthalten. Wel-che Informationen Sie in einemsolchen Fall ausschwärzen soll-ten, wird im Textkasten aufSeite 140 erläutert.

KontaktverweigererGoogle

Wer wie Millionen Nutzer vonGMail über Kalender bis zum so-zialen Netzwerk Google+ dieganze Palette der Google-Diens-te nutzt, legt damit wichtigeTeile seiner Online-Identität indie Hände dieses einen Unter-nehmens. Leser berichteten uns,dass sie von einem Moment aufden nächsten arbeits- und kom-munikationsunfähig waren, alssie ihre Google-Zugangsdatenverloren hatten. Umgekehrt be-deutet das für den Konzern einegroße Verantwortung. Er solltealle Möglichkeiten nutzen, sei-nen Kunden etwa bei Verlust desPassworts beim Recovery zurSeite zu stehen. Das tut er im-merhin größtenteils.

Als Inhaber eines Google-Ac-counts sollten Sie die Optionenzur vielleicht einmal nötigenWiederherstellung ausschöpfen.Das bedeutet: Verlassen Sie sichnicht auf die ID/Passwort-Kombi-nation, sondern geben Sie in denSicherheitseinstellungen eine va -lide Recovery-Mail-Adresse so wieeine erreichbare Handy nummeran. Über diese beiden Kanäleschickt Ihnen Google im Bedarfs-fall Infos zur Wiederherstellung.Klappt beides nicht, baut der An-bieter auf die Sicherheitsfrage.Können Sie diese nicht beant-worten, haben Sie ein großesProblem, denn Google weigertsich, Kunden via Ausweiskopieoder Telefon zu identifizieren.Nicht einmal per PostIdent oderFace-To-Face-Validierung kön-nen Sie etwas ausrichten.

Stattdessen setzt der Anbieterauf die Abfrage vieler Informa-tionen, an die sich kaum ein Nut-zer noch erinnern dürfte. Somuss man auf den Tag genauangeben, wann man sein Kontoerstellt und wann man sich zu-letzt eingeloggt hat, an wen manbesonders häufig mit GMail ge-

139


c’t 2012, Heft 24

ct.2412.136-141 25.10.12 17:00 Seite 139


mailt hat und welche Google-Dienste man am häufigstennutzt. Bei Stichproben im Kolle-genkreis ergab das Recovery zurProbe nach Stunden des War-tens stets folgende Antwort-Mail: „Nach der AuswertungIhrer Antworten sind wir zu demSchluss gekommen, dass unsmomentan nicht ausreichend In-formationen zur Verfügung ste-hen, um Ihnen den Zugriff aufdieses Google-Konto zurückge-ben zu können.“ – Wer hier an-gelangt ist, hat all seine Datenbei Google wahrscheinlich fürimmer verloren.

Mobbing-GegenwehrEine besonders perfide Art desIdenditätsklaus ist die Imitation.Man kann im Web Personenenorm schädigen, wenn manihren Namen annimmt, sich inetwa wie sie verhält, ihnen aberAussagen unterschiebt, die sienicht tätigen würden (siehe Arti-kel auf S. 132). Ist der Ruf einerOnline-Identität durch derleiMobbing-Aktionen ruiniert, lässtsich das schwer wieder korrigie-

ren. Einige Reputation-Manage-ment-Unternehmen bieten an,auf die Suche nach rufschädi-genden Inhalten zu gehen unddiese aus dem Web zu entfer-nen. Sonderlich erfolgreich sindsolche meist kostspieligen Engagements nicht [4], deshalbsollte man zuerst versuchen,selbst wieder Herr über den ei-genen Ruf zu werden.

Geht es darum, die schädi-genden Inhalte verschwinden zulassen, ist der erste Ansprech-partner aus juristischer Sicht na-türlich der Verfasser dieser Pos-tings. Ist er bekannt, empfiehltsich zunächst einmal eine Auf-forderung per E-Mail mit derBitte um Löschung. Reagiert derEmpfänger darauf nicht, stehtein Gang zum versierten Rechts-anwalt an, der dann zuerst einekostenpflichtige Abmahnungver schicken kann. Folgt auch da-rauf keine Reaktion, bleibt nureine Gerichtsklage. Wichtigdabei ist allerdings, dass ge-richtsfest nachgewiesen werdenkann, welche Person hinter denAusgangspostings steckt. EinVerdacht alleine reicht nicht aus,

vielmehr braucht es handfesteTatsachen, etwa die Nennungdes Täters im Impressum derWebsite.

In den meisten Fällen wirdder Verfasser von Mobbing-Pos-tings jedoch nicht festzustellensein. Dann gilt es, sich an denBetreiber der Website odergleich an den Hoster zu wenden.Diese haften gemäß den Rege-lungen im Telemediengesetzes(TMG) dann für fremde Inhalte,wenn Sie davon Kenntnis haben.Im Fall der Identitätsimitationsind sie verpflichtet, einenrechtswidrigen Beitrag unver-züglich zu entfernen oder zusperren. Folglich sollte man eineNachricht mit einer ausführli-chen Schilderung des Sachver-halts an den Betreiber oder Hos-ter schicken und einen der bei-den unter Fristsetzung zu einerLöschung des Beitrags mit demrechtswidrigen Inhalt auffor-dern.

In einem Urteil hat der Bun-desgerichtshof im vergangenenJahr für solche Fälle ein rechtkompliziertes Verfahren einge-führt, das nun als Vorlage gilt [5].

Danach muss der Provider daseingehende Schreiben zunächstan den Verfasser der Nachrichtschicken und diesem die Mög-lichkeit zu einer Stellungnahmeeinräumen, die dann wieder anden Beschwerdeführer zur er-neuten Kommentierung geht.

Bei eindeutigen Rechtsverlet-zungen wie Beleidigungen oderGefährdung der Kreditwürdig-keit dürfte diese Prozedur je-doch kaum notwendig sein. Un-serer Beobachtung nach klapptdas in diesen Fällen schnell undunproblematisch, meist sogar imAusland. Geht es dagegen bei-spielsweise um falsche Tatsa-chenbehauptungen, so könnenauch schon einmal Wochen insLand gehen, bis der Providernach mehreren eingeholten Stel-lungnahmen zu einer Entschei-dung kommt.

Schwieriger wird das Verfah-ren in den Fällen, bei denen es„nur“ um Identitätsklau geht.Denn hier muss der Betroffeneim Zweifelsfall nachweisen, dassein Dritter in seinem Namen auf-getreten ist und dadurch Rechteverletzt werden. Zudem muss er

140 c’t 2012, Heft 24


Seit zwei Jahren wird in Deutsch-land der neue Personalausweisausgegeben, über dessen eID-Funktion man sich bei Internet-Diensten anmelden kann. Mitt-lerweile sind knapp 18ˇMillionendieser Ausweise in Umlauf. DerBund hat die Verbreitung desAusweises mit 24ˇMillionen Eurogefördert, wovon ein beträchtli-cher Teil in die Verteilung kos-tenloser oder subventionierterLesegeräte floss.

Schaut man jedoch in die offi-zielle Liste der Online-Anwen-dungen, die eID anbieten (aufwww.ccepa.de), so findet manunter „Internetdienste“ nur

zwölf Einträge, darunter kein so-ziales Netz, keinen der großenMarktplätze und keinen E-Mail-Provider für Endkunden. Die Im-plementierung der eID-Funktionkostet den Betreiber eines On-line-Dienstes Geld, und offenbarschätzen diese den Nutzen einersicheren Identitätskontrolle da -für nicht hoch genug ein.

Das ist sehr schade. Zwarkamen nach einer Sicherheitslü-cke in der Update-Funktion derAusweisApp und nach Überle-gungen, dass einfache Kartenle-ser ohne Tastatur keine absolu-te Sicherheit bieten, Zweifel ander eID-Funktion auf. Doch sie

ist in jedem Fall um ein Vielfa-ches sicherer als das altmodi-sche Gespann aus Benutzer -name und Passwort. Das solltenicht nur Behörden, Versiche-rungen und Banken den Auf-wand wert sein.

Kein KopierverbotNach dem Personalausweis fra-gen Online-Dienste derzeit nur,wenn es konkrete Schwierigkei-ten gibt, etwa ein vergessenesPasswort oder einen Konten-hack. Das zuständige Bundes -innenministerium (BMI) hatte2010 erklärt, dass das Versen-

den von Personalausweiskopienbis auf wenige Ausnahmen un-zulässig sei. Diese rigide Rechts-auffassung hat das Ministeriummittlerweile aufgeweicht.

Auf Nachfrage von c’t erklärteein Sprecher des Ministeriumsnun, dass es kein rechtliches Ko-pierverbot gebe. Eine Ausweis-kopie dürfe aber ausschließlichzu Identifikationszwecken ver-wendet werden und müsse da-nach unverzüglich vernichtetwerden. „Daten, die nicht zurIdentifizierung benötigt wer-den, können und sollen von denBetroffenen auf der Kopie ge-schwärzt werden. Dies gilt ins-besondere für die auf dem Aus-weis aufgedruckte Zugangs-und Seriennummer“, stellte dasBMI klar.

Mangelnde Ausweiskontrollen

Auf der Vorder- und Rückseitedes neuen Personalausweisessollten Sie vor dem Kopierenmindestens die hier olivunterlegten Informationenschwärzen. Dasselbe gilt fürden maschinenlesbaren Teilauf älteren Ausweisen.

ct.2412.136-141 25.10.12 17:00 Seite 140


natürlich seine eigene Identitätnachweisen. Dazu sollte er eineAusweiskopie zusammen miteiner Schilderung des Falls anden Provider oder Betreiber derSeite schicken. Reagieren diesenicht, empfiehlt sich gerade inFällen mit erheblichem Bedro-hungspotenzial ein Gang zumAnwalt.

FazitVerwenden Sie verschiedene Zu-gangsdaten für jeden Ihrer On-line-Accounts. Wählen Sie aus-reichend komplizierte Passwör-ter zum Schutz Ihrer digitalenIdentitäten. Vermeiden Sie es, Si-cherheitsfragen „korrekt“ zu be-antworten. Halten Sie die Adres-se Ihres Recovery-Mail-Postfachsmöglichst unter der Decke.Schon mit diesen wenigen Re-geln lässt sich das Schutzniveauvon Online-Accounts erheblichsteigern. Der Nutzerkomfort lei-det darunter kaum. Einige Diens-te bieten außerdem Möglichkei-ten für mehr Sicherheit, als siedie bloße Eingabe von Nutzer/Passwort-Kombination gewähr-leistet. Diese Optionen solltenSie nutzen.

Der mobile Zugriff auf Mail,soziale Netze oder auch eBayund Amazon wird immer alltäg-licher. Smartphones und Tabletsgelten daher unter Sicherheits-experten längst als schwächsteGlieder, als Single Points of Fai -lure. Lassen Sie die Regeln, wel-che Sie am PC befolgen, nichtbei der mobilen Nutzung schlei-fen. Handys gehören zumindestunterwegs gegen fremden Zu-griff geschützt, außerdem solltensie bei Verlust ohne Zeitverzugferngelöscht werden können.

Google, Facebook, MSN undandere Dienste ermöglichen es,nahezu beliebig viele Daten inder Cloud zu speichern und imBrowser zu bearbeiten. Wird IhrZugang zu diesen Daten geka-pert, sind sie kompromittiertoder gar gelöscht. Wichtige, ge-heime Daten haben daher in derCloud nur etwas verloren, wennsie von Ihnen verschlüsselt sindund nur Sie Zugriff auf denSchlüssel haben. Wir haben zu-letzt in c’t 13/12 ausführlich be-schrieben, wie sich das bequembewerkstelligen lässt [6].

Selbst wer alle Sicherungs-möglichkeiten ausschöpft, ist vorAccount-Verlust und Identitäts-diebstahl nicht gänzlich gefeit.Daher gilt: Wichtige Daten soll-

ten Sie redundant speichern. La-gern Sie etwa Ihr Mail-Archiv aufdem IMAP-Server des Providers,schützt ein regelmäßiges Backupmit Tools wie IMAPsize vor demTotalverlust bei Konteneinbruch.Auch wichtige Fotos bei Picasaoder in der iCloud sollten Sie si-chern, genau wie wertvolle Do-kumente in Google Docs. DerleiVorsorge schützt davor, bei einerHacking-Kaskade, der mehrereAccounts zum Opfer fallen, die

digitale Identität komplett zuverlieren. (hob)

Literatur

[1]ˇRonald Eikenberg, FAQ Passwör-ter, Antworten auf die häufigstenFragen, c’t 22/12, S. 148

[2]ˇhttp://support.apple.com/kb/PH2701? viewlocale=de_DE&locale=de_DE

[3]ˇLutz Labs, Christian Wölbert,Fernzugriff, Sicherheits-Apps fürAndroid, c’t 16/11, S. 86

[4]ˇHolger Bleich, Joerg Heidrich,Reinwaschung, Wie man denguten Ruf im Internet schützt –und wie besser nicht, c’t 1/11,S. 112

[5]ˇ Holger Bleich, Bundesgerichtshofgibt Google zweimal Recht, Urtei-le zum Blog-Hosting und zur Bil-dersuche, c’t 24/11, S. 51

[6]ˇStephan Bäcker, Axel Vahldiek,Kontrolle ist besser, Daten aufOnline-Speichern schützen, c’t13/12, S. 88 c

141


c’t 2012, Heft 24

ct.2412.136-141 25.10.12 17:00 Seite 141


Selbstschutz · 2014. 2. 10. · wort-Managern der Security-Programmsuiten von Herstellern wie...

Documents

Transcript of Selbstschutz · 2014. 2. 10. · wort-Managern der Security-Programmsuiten von Herstellern wie...