Marcel WaldvogelSep 8

Löst die e-ID die Probleme von Jugendschutz und Privatsphäre?

Heute gehen wir der Frage nach, ob eine e-ID unsere gesellschaftlichen Probleme im Internet lösen kann. Und wie wir zu einer besseren Lösung kommen.

Dieser Artikel ist eine Kurzfassung des dritten Teils meiner «e-ID explained»-Serie bei DNIP. Dieser Text soll einfach als kompakter Einstieg in die Materie dienen. Für Hintergründe und besseres Verständnis ist allerdings die Langversion bei DNIP zu empfehlen.

«e-ID explained»-Serie

In dieser Miniserie geht es um Hintergründe rund um elektronische Identitäten.

  • «Wieso und wie?»: Was sind die Entwicklungen zur elektronischen Identität?
  • «Wie funktioniert sie?»: Die Technik der Schweizer e-ID
  • «Jugendschutz und Anonymität»: Löst die Technik alle Probleme?

    • Viele Überlegungen aus diesem Artikel werden auch in meinem Interview im Echo der Zeit von letzter Woche aufgegriffen. Wer also eine 5-Minuten-Audio-Kurzfassung dieses Textes sucht: Voilà!

    Inhalt

    Toggle

    Das Internet ist nicht für Kinder

    Zumindest zu Beginn des Internet, als Architektur und Technik dafür geschaffen wurden, Kinder kein Thema. Aber es war noch vieles kein Thema damals, so auch wurden Sicherheit klein geschrieben und man hoffte, dass schon niemand irgendwas «Böses» tun wurde. Entsprechend war man auch überrascht und empört, als 1994 die erste Spam-Welle durchs Internet schwappte, in der eine Anwaltskanzlei ihre Dienste anpries.

    Aber auch die reale Welt ist nicht für Kinder gebaut: Dort gab es schon vor der Existenz von Kindern Bäume, von denen man herunterfallen kann; Teiche, in denen man ertrinken kann; Abhänge, die man herunterstürzen kann; wilde Säbelzahntiger, die uns gerne als Abendessen nach Hause bringen; Blitze, die uns treffen wollen; und, und, und.

    Wieso Altersverifikation?

    Altersverifikation stammt zwar aus dem Bereich des Jugendschutzes, wird aber auch für Zensur und ähnliche Massnahmen eingesetzt, um Erwachsenen von angeblich unpassenden Inhalten fernzuhalten.

    Dies ist jedoch oft mit Nebenwirkungen wie noch weitergehenderem Verlust der Anonymität im Internet verbunden.

    Altersverifikation ist kein Problem des Internets, auch am Kiosk haben wir das bei Alkohol oder Erotikheften. Dort findet die Alterskontrolle aber meist subtiler statt, insbesondere, wenn man schon etwas älter ist. Die Information zur Altersverifikation wird ebenfalls privatsphärefreundlicher gehandhabt, da der Verkäufer im Kiosk sich wohl schon wenige Minuten später nicht mehr an den Käufer bzw. die Käuferin erinnert.

    Hilft Technik?

    Wir Menschen sind versucht, schwierige oder unliebsame Probleme auszulagern. An andere Menschen oder eben an Technik. Doch gesellschaftliche Probleme lassen sich nur innerhalb der Gesellschaft lösen, unter Einbezug aller Betroffenen.

    Wenn nun Internetsperren ohne existierende Infrastruktur und funktionierende Abläufe eingeführt werden, wie gerade eben in Grossbritannien, dann führt das zu Chaos und weiteren Gefahren rund um Datenschutz oder sogar Identitätsdiebstahl und Cyberkriminalität.

    Eine bessere Lösung ist die e-ID mit ihren datenschutzfreundlichen Altersverifikationsfunktionen.

    Grundsätzlich sollte aber bei allen Internetsperren immer darauf geachtet werden, dass sie nicht zu massenhaften Umgehungen dieser Sperren Anreiz bieten und damit – Analog zur Prohibition in den USA – zur Erstarkung der organisierten Kriminalität führen.

    Ende der Online-Anonymität?

    Wir erleben eine schleichende Erosion von Privatsphäre, nicht nur online. Firmen verdienen daran, uns genau zu kennen und uns unnötige oder teurere Produkte zu verkaufen, als wir eigentlich bräuchten. Oder die Daten einfach an den Meistbietenden zu verscherbeln, ohne zu wissen, was die genau damit machen; auch wenn es für die Betroffenen dann möglicherweise um Leib und Leben geht.

    Privatsphäre und Anonymität sind wichtige Komponenten für eine Gesellschaft, ganz besonders eine Demokratie. Denn sie sind essenzielle Bausteine für Meinungsfreiheit, Schutz vor Diskriminierung, einseitige Ausnutzung von Machtpositionen, Reduktion von Cyberkriminalität, aber auch grundlegende Eigenschaften für Diskretion und psychische Gesundheit.

    Besondere Bedeutung kommt Anonymität bei der Ausübung von Grundrechten in der Demokratie zu, beispielsweise bei der friedlichen Äusserung seiner Meinung an einer Demonstration oder an der Urne.

    Aus diesen Gründen ist es wichtig, dass wir online und offline – also in der realen Welt – ein grosses Mass an Privatsphäre und Anonymität besitzen. Auch der Gesetzgeber hat das erkannt und Stimmgeheimnisse, Berufsgeheimnisse und Datenschutzgesetze geschaffen, um nur einige zu nennen. Auch wenn Staatsanwälte das manchmal lieber anders sehen.

    Ist Technik die Lösung?

    Jeder Mensch ist individuell, damit ist jede fixe (Alters-)Grenze immer irgendwie falsch.

    Aber wir als Spezies haben aus Generationen von Erlebnissen mit Säbelzahntigern gelernt: Wir führen unsere Nachkommen langsam und gut begleitet in die gefährliche Welt «da draussen» ein.

    Das sollten wir auch mit der digitalen Welt tun. Alles andere wäre unverantwortlich. Anzunehmen, dass Technik alleine unsere gesellschaftlichen und Erziehungs-Probleme lösen könnte, ist illusorisch.

    Jugendschutz daheim

    Jugendschutz muss also vom Elternhaus ausgehen. Auch hier müssen langsame, gut begleitete Schritte in die digitale Welt «da draussen» gegangen werden. Immer mit der Möglichkeit, dass Kinder – im unvermeidlichen Fehlerfall, denn sie sind menschlich – etwas erleben, wofür sie noch nicht ganz bereit sind.

    Genau für diese Fälle sollte es – wie auch in der realen Welt – die Möglichkeit geben, über das Ereignis zu reden, Trost zu finden und Lehren daraus zu ziehen.

    Dazu brauchen wir Medienkompetenz, sowohl für die Eltern als auch den Nachwuchs. Und Begleitung.

    Wenn technische Filter, dann sollten sie auf dem Handy des Nachwuchses installiert sein und Transparenz bieten.

    Fazit

    Wir können das Heranwachsen unserer Kinder nicht an irgendwelche Technik delegieren, auch wenn die Kinder zwischendurch nerven. Denn zum Heranwachsen eines Menschen braucht es ganz viel Menschlichkeit.

    Falls es trotzdem einer technischen Lösung bedarf, sollte sie bevorzugt auf dem Gerät des Kindes installiert werden.

    Wenn aber trotzdem internationale Bestrebungen zur Altersverifikation nicht zu verhindern sind, dann sollten sie wenigstens datenschutzfreundlich umgesetzt werden, wie die Lösung mit der e-ID.

    Auch unabhängig von der Altersverifikation ist die e-ID sinnvoll, sei es für digitale Behördengänge oder zur Vermeidung von Identitätsdiebstahl und Cyberkriminalität.

    Aktuelles zu IT-Sicherheit und Privatsphäre

    #Datenschutz #Demokratie #eID #InformatikUndGesellschaft #Jugendschutz

    Marcel WaldvogelSep 5

    E-ID: Kollidiert Altersverifikation mit dem Recht auf Anonymität?

    Die e-ID ist aktuell auch im rund um Altersverifikation in Diskussion. In einem Interview mit Radio SRF versuchte ich, einige Punkte zu klären.

    In einem Interview mit Tobias Gasser durfte ich die Zusammenhänge zwischen Jugendschutz und Anonymität im Internet erklären. Und dass beide wichtig seien, aber auch im Konflikt zueinander stehen.

    Aus dem Interview wurde zwangsläufig nur ein kleiner Ausschnitt gesendet. Die gesamten Überlegungen gibt es demnächst als dritten Teil der «e-ID explained»-Serie bei DNIP.ch.

    Das Interview wurde wie folgt gesendet:

    «e-ID explained»-Serie

    In der Miniserie bei DNIP.ch geht es um Hintergründe rund um elektronische Identitäten. Dort finden sich auch

  • «Wieso und wie?» Was sind die Entwicklungen zur elektronischen Identität?
  • «Wie funktioniert sie?» Die Technik der Schweizer E-ID
  • Löst die Technik alle Probleme?

    • Aktuelles zu IT-Sicherheit und Privatsphäre

    #Anonymität #eID #InformatikUndGesellschaft #ITSicherheit #Privatsphäre

    Daniel GuagninOct 1, 2024
    Beim Informatik Festival der Gesellschaft für Informatik e.V. ging es um Digitale Souveränität. Die Fachgruppe #InformatikUndGesellschaft hat sich dabei dem Thema digitale Mündigkeit befasst.
    Danke @mareikelisker und Oliver Vettermann (@magnus_cerebrum) für die spannende Analyse der Überforderung des Subjekts in verschiedenen Kontexten der Hashtag#Responsibilisierung (Hashtag#IT-Sicherheit, Datenschutz, "Digitale Souveränität").
    Marcel WaldvogelJun 12, 2024

    Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung.

    Das Buch des Känguru-Chronisten Kling ist 2017 erschienen und wird als «satirische Dystopie und Gesellschaftskritik» angepriesen. Abgesehen von ganz abgefahrenen Werken ist es für mich nicht nur eine der lustigsten Dystopien, sie ist auch erstaunlich real.

    Inhalt

    Toggle

    • «Easter Egg»
    • Themen
    • Empfehlung
    • Oh, Podcasts!
    • Aktuelles zu IT-Sicherheit

    «Easter Egg»

    Gleich im Vorspann taucht schon die abgebildete Textpassage auf, sorgsam versteckt zwischen gerne übersprungenen Informationen wie ISBN und Urheberrechtsvermerk. Sie zeigen schon an, dass dies ein Buch ist, das auf die Leser:innen zugeht und sie in ihren Bann zieht.

    Ausschnitt aus dem bei „normalen Büchern“ langweiligen Vorspann, der sonst so spannende Dinge wie ISBN, Publikationsdaten und Urheberrecht enthält und gerne überblättert wird.

    Themen

    Ohne zu viel über den Inhalt verraten zu wollen, versuche ich einige der angeschnittenen, prophezeiten und vor allem unterhaltsam-realistisch erklärten Themen zu benennen, die das Buch ausmachen:

    • Datenschutz, Datenausbeutung
    • Künstliche Intelligenz und Superintelligenzen
    • Soziale Netzwerke und Trolle
    • Capture-Effekt bei digitalen Märkten
    • Social Scoring
    • Erbliche Privilegien
    • Wahlkampf und Wahlen
    • Philosophie

    Diese Informationen sind alle eingebettet in eine leichte, unterhaltsame und packende Geschichte.

    Empfehlung

    Wer die Hintergründe der obigen Themen verstehen will, hinter ihre Kulissen blicken will und auch (eine mögliche) Auswirkung auf unsere Gesellschaft sehen möchte, dem ist dieses an Aktualität kaum zu übertreffende Buch wärmstens ans Herz gelegt.

    Auch (oder ganz besonders) sieben Jahre nach seiner Erstveröffentlichung.

    Also nichts wie hin zum nächsten Buchladen (oder zu einem Kollegen oder einer Freundin, die es schon gelesen hat) und dort nach dem Buch fragen. Und es genüsslich lesen und dabei die Gegenwart etwas besser verstehen lernen.

    Oh, Podcasts!

    Gerade frisch [2024-06-14] hereingekommen: Es gibt eine Podcast-Kurzserie mit sechs Episoden zum Thema «Science Fiction trifft auf Realität», die sich jeweils einem Thema aus QualityLand annehmen:

    • Drohnen, Killerroboter und Cyberangriffe
    • Entwicklungen der Arbeitswelt
    • Digitale Überwachung
    • Social Scoring
    • KI
    • Fake News und Desinformation

    Aktuelles zu IT-Sicherheit

    • «Voting Village»-Transkript2024-06-14

      Letzten August fand an der Hackerkonferenz DEFCON eine Veranstaltung der Election Integrity Foundation statt. Sie fasste mit einem hochkarätigen Podium wesentliche Kritikpunkte rund um eVoting zusammen.

    • «QualityLand» sagt die Gegenwart voraus und erklärt sie2024-06-12

      Ich habe vor Kurzem das Buch «QualityLand» von Marc-Uwe Kling von 2017 in meinem Büchergestell gefunden. Und war erstaunt, wie akkurat es die Gegenwart erklärt. Eine Leseempfehlung. Das Buch des Känguru-Chronisten Kling ist 2017 erschienen und wird als «satirische Dystopie und Gesellschaftskritik» angepriesen. Abgesehen von ganz abgefahrenen Werken ist es für mich nicht nur eine … Weiterlesen: «QualityLand» sagt die Gegenwart voraus und erklärt sie

    • 50 Jahre «unentdeckbare Sicherheitslücke»2024-06-10

      Vor 50 Jahren erfand Ken Thompson die «unentdeckbare Sicherheitslücke». Vor gut 40 Jahren präsentierte er sie als Vortrag unter dem Titel «Reflections on Trusting Trust» anlässlich der Verleihung des Turing-Awards, des «Nobelpreises der Informatik». Hier ein kleiner Überblick, was es damit auf sich hat. Ausführlich im Artikel von Patrick Seemann.

    • Stimmbeteiligung erhöhen ohne eVoting2024-05-27

      Eines der Argumente für eVoting ist die Erhöhung der Stimmbeteiligung. Stimmbeteiligung—nur für sich alleine gesehen—ist keine ausreichende Metrik für die Beurteilung der Funktionsfähigkeit einer Demokratie, trotzdem spielt sie eine wichtige Rolle. Die «Vote électronique», wie eVoting in der Schweiz offiziell heisst, bringt aber auch neue Risiken, wie die Gefahr von Intransparenz und gezielter Abstimmungsmanipulation sowie … Weiterlesen: Stimmbeteiligung erhöhen ohne eVoting

    • 🧑‍🏫 «eVoting: Rettung der Demokratie oder Todesstoss?»2024-05-26

      Die Demokratie ist unter Beschuss, neuerdings auch durch Fake News, Trollfabriken und KI. «Vote éléctronique», so heisst die elektronische Abstimmung im Bundesjargon, ist angetreten, um die Demokratie zu retten. Am Mittwochabend geht Marcel Waldvogel der Frage nach, wie eVoting eigentlich funktioniert und welche Auswirkungen es auf unsere Gesellschaft haben könnte. Und wieso er glaubt, dass … Weiterlesen: 🧑‍🏫 «eVoting: Rettung der Demokratie oder Todesstoss?»

    • Mutmassungen über «Jia Tan»: Spuren eines Hackers2024-05-19

      Ich habe versucht, dem mutmasslich grössten Hack der Geschichte etwas auf den Grund zu gehen. Daraus ist eine spannende Spurensuche geworden, die ich gerne mit euch teilen möchte.

    • Wie erkenne ich betrügerische Webseiten — am Beispiel einer aktuellen Spamwelle2024-04-24

      Aktuell laufen wieder Spamwellen durchs Land. Eine bot einen angeblichen Schweizer Bitcoin-ETF an, mit zuverlässiger Firma und offizieller Zulassung dahinter. Doch schon nach wenigen Klicks war klar: Da stimmt ganz vieles nicht.

    • Wie die Open-Source-Community an Ostern die (IT-)Welt rettete2024-04-02

      Huch, waren das spannende Ostern, aus IT-Sicht! Es wurde die potenziell schlimmste IT-Sicherheitskatastrophe durch puren Zufall noch rechtzeitig abgewendet. Ansonsten hätte ein Angreifer Millionen von Servern weltweit im Nu unter seine Kontrolle bringen können.

    • Endet die Zeit im Jahr 2038?2024-01-19

      Heute in 14 Jahren endet die Zeit, so wie sie noch viele Computer kennen. Vor allem Computer, die in anderen Geräten eingebaut sind (vom Backofen bis zur Heizungssteuerung) dürften davon betroffen sein.

    • Wie zählt ein Computer?2024-01-18

      Computer sind geprägt von Limiten: Maximale Textlängen, maximale Zahlengrössen. Nicht erstaunlich, wenn man ihre Vorfahren kennt, die Kästchenfelder und Milchbüchlein mit einer eigenen Spalte für jede Ziffer.

    • Spamwelle zu Weihnachten?2023-12-22

      Wenige Tage bevor alle Systemadministratoren sich zu ihren Familien in die verdienten Weihnachtsferien zurückziehen, lässt SEC Consult die Bombe platzen: Die Antispam-Massnahmen der weitverbreitesten Mailserver können ausgehebelt werden. Sogar die Vortragsreise dazu ist schon geplant. Nur: Der weitverbreiteste Mailserver weiss davon nichts, seine User sind ungeschützt.

    • «5 Minuten für mehr Datenschutz»: Tracking vermeiden2023-12-20

      «Überwachungskapitalismus» wird der Versuch vieler Webseiten auch genannt, uns dauernd zu überwachen und aus diesen persönlichen Daten Kapital zu schlagen. Trotz vieler Fortschritte helfen Gesetze da bisher nur Ansatzweise. «Eigenverantwortung» ist also wieder einmal angesagt…

    https://marcel-waldvogel.ch/2024/06/12/qualityland-sagt-die-gegenwart-voraus-und-erklaert-sie/

    #Datenschutz #Demokratie #InformatikUndGesellschaft #ITSicherheit #KünstlicheIntelligenz #Privatspäre

    Christine HennigApr 29, 2024

    🔊 Die Informatik 2024 findet vom 24.-26.9.2024 in Wiesbaden statt.

    Reicht Eure Beiträge für Workshops ein, z.B.:
    * Digitale Souveränität im Spannungsfeld von Informatik & Gesellschaft - Quo vadis? (Fachbereich IuG): https://fb-iug.gi.de/veranstaltung/iug2024
    * Hochschule der Zukunft: https://www.cs.uni-potsdam.de/hochschule2034/
    * Datascience Community Workshop: https://www.dsc-ub.de/GI-data-science-workshop-2024.php
    💪

    #GI
    #Informatik2024
    #InformatikFestival
    #IuG
    #InformatikUndGesellschaft
    #Hochschule
    #Souveränität
    #DigitaleSouveränität
    #DataScience

    Detail - FB IUG

    Christine HennigMar 15, 2024

    Der Fachbereich Informatik & Gesellschaft der GI lädt ein:

    IUG2024: Digitale Souveränität im Spannungsfeld von Informatik & Gesellschaft - Quo vadis?

    24.–26.09.2024 Hochschule RheinMain Wiesbaden im Rahmen des Informatik-Festivals
    https://fb-iug.gi.de/veranstaltung/iug2024

    Der Call for paper ist veröffentlicht:
    https://fb-iug.gi.de/fileadmin/FB/IUG/user_upload/2024_INFORMATIK-Flyer_v03.pdf

    #GI #Informatik #IuG #IUG2024 #InformatikUndGesellschaft #Gesellschaft #DigitaleSouveränität #Informatikfestival2024

    Detail - FB IUG

    Marcel WaldvogelSep 23, 2018

    Ist 1234 ein gutes Passwort?

    «Ist 1234 ein gutes Passwort? Oder soll ich doch lieber Mb2.r5oHf-0t wählen?» Diese Frage stellen sich viele täglich. Hier ein paar Erklärungen und Antworten. Auch, dass eigentlich 1234 gar nicht soo schlecht ist…

    Inhalt

    Toggle
    • Die Probe aufs Exempel
    • Wovor soll ein Passwort schützen?
    • Was macht ein gutes Passwort aus?
    • Was kann der Angreifer?
    • Was kann der Verteidiger?
    • Das schutzlose Passwort
    • Wenn ich aber das Passwort gar nicht weitergebe, dann bin ich doch sicher? Wieso brauche ich dann trotzdem ein langes Passwort?
    • Zusammenfassung
    • Weitere Informationen
    • Updates
    • Aktuelles zu Sicherheit

    Die Probe aufs Exempel

    An einem gemütlichen Abend fragte ich einige Bekannte, welche Passwörter sie denn ausprobieren würden, wenn sie mein Konto knacken wollten. Hier ein paar repräsentative Antworten:

    Uiuiui, das ist aber bei dir ja ganz besonders schwer, sicher nichts Einfaches.

    Ich würde es mal mit deinem Geburtsdatum, den Namen deiner Lieben oder deren Geburtsdaten versuchen.

    Was lernen wir daraus?

  • Schon ein Eindruck von Sicherheit wirkt abschreckend. (Gilt nicht nur in der IT-Sicherheit.)
  • Je mehr jemand über dich weiss, desto einfacher ist es, deine schwachen (schlechten) Passwörter zu erraten.
  • Wähle nichts, was für jemand anderen erratbar ist.

    • Wovor soll ein Passwort schützen?

    Wenn Daten und weitere Ressourcen eines Systems vor Unbefugten geschützt werden sollen, sind Passwörter eines der Mittel, unbefugten Zugriff zu vermeiden. Das ist der Aspekt, der den Anwender auch direkt betrifft.

    Daneben muss natürlich auch das System selbst sicher sein, z.B. man soll nicht als Folge eines Programmierfehler Zugriff erhalten, ohne überhaupt je nach einem Passwort gefragt zu werden. Hier ist hauptsächlich der Systemverantwortliche gefordert.

    In vielen Systemen gibt es noch zusätzliche Barrieren vor oder hinter den oben genannten. Zu den bekanntesten zählt die Zwei-Faktor-Authentifizierung.

    Was macht ein gutes Passwort aus?

    Ein gutes Passwort soll vor allem eins: Unbefugte davor hindern, die Daten und Rechner dahinter zu missbrauchen. Ob das erfolgreich ist, hängt zuerst einmal von drei Faktoren: Dem Angreifer, dem Verteidiger und dem Passwort.

    Was kann der Angreifer?

    Ein Angreifer hat folgende Möglichkeiten, Passwortkandidaten zu bekommen:

  • Direkt vom User z.B. durch Shoulder Surfing[1]Shoulder Surfing: Jemandem (über die Schulter) beim Eingeben des Passworts zuschauen, Phishing oder durch Keylogger als Hardware oder Software.
  • Beim unverschlüsselten Übermitteln über einen Kanal, insbesondere eine unverschlüsselte HTTP-Verbindung (also ohne HTTPS) oder über eine unverschlüsselte Mail.
  • Von einem anderen Konto übernehmen, wenn
  • der User dasselbe Passwort (oder ein abgewandeltes) bei mehreren Onlinekonten verwendet und
  • das Passwort bei einem dieser Onlinekonten erbeutet wurde.

    • Am einfachsten ist es für den Angreifer, wenn das Passwort beim Diensteanbieter unverschlüsselt gespeichert ist. Dazu aber mehr weiter unten.

  • Erraten mit Lexikon und Regeln. Das Basis-Lexikon kann ein echtes Wörterbuch sein oder eine Liste von beliebten Passwörtern. Diese werden dann aber nicht nur direkt verwendet, sondern mit Ersetzungsregeln bearbeitet: l durch I oder 1 ersetzen; hinten ein 1 oder ! anhängen, Namen und Abkürzungen der Diensteanbieter ersetzen (blue oder bl im Passwort eines Bluewin-Kontos durch green oder gr ersetzen, wenn das Passwort bei einem Green.ch-Konto versucht werden soll).

    Wenn Ihnen jemand eine Ersetzungsregel empfohlen hat, dann kennen die Angreifer diese Regel schon lange. (Und auch die meisten Regeln, die Sie sich ein Mensch merken kann, sind schon computerisiert.)

  • Erraten ohne Anhaltspunkt („Brute Force“). Alle Zeichenkombinationen von aaaaaaaaaa über Mb2.r5oHf-0t bis ZZZZZZZZZ auszuprobieren ist um so schwieriger, je mehr verschiedene Zeichen darin vorkommen und je weniger Zeichen davon nach irgendwelchen Regeln erzeugt wurden.

    • Was kann der Verteidiger?

    Grundsätzlich unterscheidet sich ein Angreifer, der ein Passwort aus seiner Liste ausprobiert, erst einmal nicht von einem Benutzer, der sein Passwort falsch eingibt. Es gibt einige Merkmale, die es einfacher machen, diese kommen aber mit ihren eigenen Risiken.

    Damit bleibt dem Diensteanbieter, unserem Verteidiger gegen den Angriff, vor allem Eines: Den Angreifer verlangsamen. Eine Regel, wie sie bei Bancomatkarten üblich ist, dass die Karte gesperrt wird, sobald das Passwort drei Mal falsch eingegeben wird, ist im Internet fatal: Viele Konten wären dauernd gesperrt.

    Der Mittelweg: Wenn von einer bestimmten IP-Adresse aus mehrere falsche Versuche erfolgen, werden weitere Loginversuche von dieser Adresse aus für mehrere Minuten gesperrt.

    Aber schon alleine die Einschränkung, dass ein Passwortknackversuch über das Netzwerk gehen muss, verlangsamt einen Angreifer massiv. Damit sind meist nur noch wenige Dutzend bis ein paar Tausende Versuche pro Sekunde möglich. Das mag im Vergleich zu Lo und Leducs Versuch, alle 20 Sekunden eine neue „079“-Telefonnummer auszuprobieren, nach sehr viel anmuten, ist es aber nicht: Selbst wer „nur“ ein Passwort aus 8 zufälligen Kleinbuchstaben verwendet, hat bereits 268 Versuche vor sich, rund 200 Milliarden. Bei tausend Versuchen pro Sekunde dauert das schon über 6 Jahre. Ein neuntes Zeichen bringt das auf 172 Jahre, die Mischung von Gross- und Kleinbuchstaben auf rund 17’000 Jahre; wer sich dabei noch grosszügig aus den Sonderzeichen bedient, der bringt die Angriffszeit auf einige Jahrmillionen. Genug, um auch den hartnäckigsten Angreifer zur Verzweiflung zu treiben. Wo liegt also das Problem?

    Das schutzlose Passwort

    Das Problem ist insbesondere dann eines, wenn gar kein Verteidiger da ist, wenn also der Angreifer

  • schon das richtige Passwort kennt,
  • das Passwort nur mit wenigen Tausend Versuchen erraten kann oder
  • ein verschlüsseltes Passwort von einem anderen Diensteanbieter erschlichen werden konnte.

    • Wenn der Angreifer also das korrekte Passwort oder ein sehr ähnliches kennt, nützten Passwortchecks nichts. Auch ein Zwang zu langen Passwörtern oder Sonderzeichen in der Mitte macht keinen Unterschied. Deshalb:

    Regel #1: Passwort mit niemandem teilen. Auch nicht mit einem anderen Diensteanbieter.

    Regel #2: Dann braucht man keine weiteren Regeln.

    D.h., für jedes Konto ein unabhängiges Passwort erzeugen oder auf Passwörter verzichten:

    • Unabhängige Passwörter kann man sich nur wenige merken, ohne Rückgriff auf technische Mittel läuft da nichts. Deshalb ist ein Passwortmanager unverzichtbar. Wenn mit dem Browser oder Betriebssystem schon einer kommt, dann ist das häufig der beste Weg, weil man ihn so auch nutzt.
      Mein Passwortmanager hat in den letzten Jahren weit über 1000 Passwörter gesammelt. Da sind viele Zugangsdaten dabei, die man einmal angelegt hat und vielleicht nie wieder braucht, z.B. beim einmaligen Onlineshopping beim lokalen Schuh- oder Kleiderladen. Wahrscheinlich beschäftigt der keinen IT-Security-Experten. Wenn wir diesem Laden um die Ecke dasselbe Passwort verraten, mit welchem wir uns auch bei unserem Emailkonto anmelden[2]Warnung: Viele glauben, ihre Emails seien gar nicht wichtig und das Passwort dafür auch nicht. Das ist ein grober Fehlschluss. Mit Zugriff zum Emailkonto kann man über die „Passwort zurücksetzen“-Funktion vieler Anbieter die Kontrolle über diese weiteren Konten erlangen. Und auch die sogenannten „Sicherheitsfragen“ halten keinen dedizierten Angreifer auf. oder das wir bei der Arbeit verwenden, gefährden wir auch diese und weitere Daten.
    • Ohne Passwort kann man sich bei einigen wenigen Diensten mittels Benutzerzertifikat anmelden, beispielsweise mittels einer Smartcard oder speziellem USB-Stick. Der Ansatz ist sehr gut, allerdings für Otto Normalverbraucher aufgrund seiner fehlenden Verbreitung irrelevant.
    • „Anmelden mit Facebook, Google, …“ hilft ebenfalls, auf Passwörter zu verzichten. Diese Methode ist nicht sicherer als der Passwortmanager (im Gegenteil), untergräbt aber die Privatsphäre noch weiter. Deshalb empfehle ich dies nur im Ausnahmefall.

    Gegen diesen Missbrauch eines bekannten Passwortes wird auch Zwei-Faktor-Authentisierung (2FA) als zusätzlicher Mechanismus eingesetzt. Er ist dort fast die einzige Methode, die Schutz bringt. Allerdings kann sie auch lästig sein. Da sind die Diensteanbieter gefragt, sie möglichst benutzerfreundlich umzusetzen.

    Wenn ich aber das Passwort gar nicht weitergebe, dann bin ich doch sicher? Wieso brauche ich dann trotzdem ein langes Passwort?

    Eigentlich ja. Leider kann der Diensteanbieter aber nicht wissen, ob Sie sich an die obigen Regeln halten. Deshalb versucht er das Ausprobieren von Passwörtern gegen eine Offline-Datenbank möglichst wenig erfolgreich zu machen. Leider helfen die meisten Passwortkriterien kaum weiter. Auch die Pflicht, das Passwort alle 3 Monate zu ändern, bringt kaum zusätzlichen Schutz, wenn man auf seine Passwörter aufpasst. (Und auch wenn man nicht auf seine Passwörter aufpasst, bringt es weniger als oft erwartet.)

    Zusammenfassung

    Aktuell sind die besten Möglichkeiten für einen Angreifer an Passwörter zu kommen, Phishing und das Herunterladen von ungenügend gesicherten Passwortdatenbanken von Dienstleistern. Gegen beides schützen komplizierte Passwörter nicht. Jeder Einzelne sollte also darauf achten, seine Passwörter mit niemandem zu teilen. Wirklich niemand! Dazu benötigt man einen Passwortmanager, der häufig schon im Betriebssystem oder Browser eingebaut ist. Komplizierte Passwörter dienen hauptsächlich dazu, Nutzer vor Schaden zu schützen, die sich nicht an die Regel halten. Aber sie geben trotzdem mehr Schutz.

    1234 ist also gar nicht so schlecht. Es darf aber – wie jedes andere Passwort auch – nur für ein Konto verwendet werden. Und ich bin sicher, da war jemand anders früher und Sie müssen sich ein neues aussuchen…

    Aber für wirklich kritische Ressourcen sollten Sie 12345 verwenden. Oder  00000000.

    Es sind aber auch die Dienste- und Shopanbieter gefragt, die

  • Ihre Daten und Passwörter gut schützen sollen,
  • bei vermuteten Angriffen kompetent reagieren sollen und dabei ehrlich kommunizieren sollen,
  • bei unübliche Aktivitäten und administrativen Aktionen zusätzliche Identifikation verlangen, die aber die Privatsphäre der Nutzer nicht tangieren sollte (also wenn möglich Vermeidung von „Sicherheitsfragen“ oder der Pflicht, eine Telefonnummer einzugeben) und
  • zusätzliche Schutzmassnahmen wie 2FA oder passwortlose Mechanismen einsetzen sollten.

    • Jeder kann seinen Beitrag dazu leisten, die Welt ein kleines bisschen sicherer zu gestalten. Gehen wir das gemeinsam an!

    Weitere Informationen

    Updates

    2018-09-29: Facebook-Accountpanne hinzugefügt.

    Aktuelles zu Sicherheit

    #1 #2 #Datenschutz #InformatikUndGesellschaft #Passwörter #Privatsphäre