Der europäische Datenschutztag wird am 28. Januar 2019 zum zwölften Mal begangen. Leider ist das nicht unbedingt ein Anlass zum Feiern, denn es liegt immer noch eine ganze Menge im Argen.
Facebook ist oft ein Negativbeispiel: Laut einer Studie des Pew Research Center haben 74 Prozent der amerikanischen Facebook-User keine Ahnung, wie die „Werbepräferenzen“ von Facebook ihr Verhalten und ihre Vorlieben im Web verfolgen. Aber sie machen sich Sorgen und gut die Hälfte ist mit der Tatsache, dass so viele Informationen gesammelt werden, unglücklich.
In den USA droht Facebook eine Rekordstrafe durch die Aufsichtsbehörde Federal Trade Commission (FTC), weil Versprechen zum Datenschutz nicht eingehalten wurden. In Deutschland sind die Sorgen um den Datenschutz noch ausgeprägter als in den USA. Die aktuelle Datenpanne im Bundestag nahmen einige Politiker zum Anlass, sich von Facebook und anderen sozialen Netzwerken abzumelden. Die Stadtverwaltung von Neustadt in Mittelhessen hat Facebook komplett abgeschaltet.
Facebook ist nur die Spitze des Eisbergs
Facebook ist aber nicht der Alleinschuldige. Wer Facebook nutzt, tut dies freiwillig und es ist möglich, wenn auch sehr schwer, den Datenschutz dort sicherzustellen.
Aber auch andere Player wie Google sammeln sehr viele Daten über ihre Nutzer. Auch wenn Sie nicht vor dem Computer sitzen, liefert Ihr Handy ständig Daten über Ihren Standort.
Wenn Sie viel Wert auf Ihre Privatsphäre legen und sich nicht bei Facebook anmelden und Google meiden, können Sie sich also sicher fühlen? Nutzen Sie stattdessen eine Suchmaschine wie DuckDuckGo, die ausdrücklich keine Daten sammeln will.
Selbst diese Datenabstinenz hilft nicht viel, wenn Sie ein Hotel buchen, eine Kreditkarte benutzen oder jemals ein Online-Konto erstellt haben. Erst vor wenigen Tagen haben die Sicherheitsforscher von Troy Research 773 Millionen E-Mail-Adressen und 21 Millionen Passwörter in einem einzigen Datensatz namens „Collection 1“ aufgespürt. Diese Liste ist wohl zwei bis drei Jahre alt und stammt aus einer Vielzahl gehackter Sites.
Die Liste der Datenlecks ist lang: Dropbox wurde 2016 kompromittiert, LinkedIn 2012 und diese Reihe ließe sich endlos weiterschreiben. Auch die größten Web-Sites sind nicht davor gefeit. Mail-Adressen mit der Endung .de sind zwar weniger gefährdet als solche mit .com, aber keineswegs immun. Bereiten Sie sich also auf das Unvermeidliche vor.
Natürlich werden jetzt die Rufe laut: „Ändern Sie Ihre Passwörter“. Es sollte aber eher der Singular sein „Ändern Sie Ihr Passwort“. Wenn Sie dasselbe Passwort für verschiedene Accounts nutzen, wächst das Risiko durch Datenlecks erheblich. Kurz gesagt: Die Wiederverwendung von Passwörtern ist eine Einladung für Kriminelle.
Tipps für Passwörter zum EU-Datenschutztag 2019
E-Mail-Accounts sind in fast allen Fällen der Schlüssel zur Anmeldung auf Websites. So ist hier ein besonderer Schutz gefragt. Wenn Sie Ihre E-Mail-Adresse auf der Website „Have I been Pawned“ https://haveibeenpwned.com/ wiederfinden und so feststellen, dass Sie gehackt wurden, sollten Sie einige Maßnahmen ergreifen.
Hier sind einige Tipps, wie Sie Ihre Services schützen können, selbst wenn Ihr Passwort geknackt wurde.
- Schalten Sie Zweifaktor-Authentifizierung ein für die Sachen, die Sie häufig nutzen (Apple ID, Twitter, Gmail, Facebook, Office 365). So ist sichergestellt, dass jemand, der Ihr Passwort gestohlen hat, nicht ohne einen zweiten Faktor Zugriff auf den Service hat. In der Regel wird dabei ein einmaliges Passwort erzeugt, dass Sie auf einem anderen E-Mail-Account oder Ihrem Handy erhalten. Achten Sie aber darauf, auf welcher Webseite Sie diese Informationen eingeben, da oft Phishing-Sites vortäuschen, legitime Webseiten zu sein.
- Nutzen Sie Offline Authentifizierungs-Codes wie Microsoft Authentificator oder Google Authentificator. SMS Passcodes sollten Sie nur als letzten Ausweg nutzen, weil diese problembehaftet sind.
- Verwenden Sie einen Password Manager und speichern Sie dort alle Ihre Passwörter. Verwenden Sie nicht dasselbe Passwort für unterschiedliche Passwörter, selbst wenn Sie diese leicht abwandeln. Speichern Sie den Recovery Code an einem sicheren Ort zu Hause ab. 99,9 Prozent aller Attacken kommen über das Internet und nicht aus Ihrer Wohnung. Nutzen Sie den Passwort Manager auf unterschiedlichen Geräten. Wenn eines verloren geht oder ausfällt, haben Sie dann immer noch Zugriff auf den Passwort Manager.
- Wenn Sie Ihre eigene Mail-Infrastruktur benutzen oder einen Service benutzen, der Ihnen dies erlaubt: Legen Sie Alias-Adressen für den Notfall an, so dass die Hacker bei einem Datenleck nicht alle Informationen besitzen und es ihnen erschwert wird, Daten zu korrelieren. Niemand schafft es, Adressen wie Ichbestellpizza@mydomain.de mit helloikea@mydomain.com mit Ihren Hauptinformationen in Verbindung zu bringen, wenn Sie Aliase anlegen und die Gründe dafür aufschreiben. Alle Mails wandern in dieselbe Inbox, aber Sie können dann feststellen, wer Ihre Daten verkauft hat, wenn Sie plötzlich auf ein einzelnes Konto verstärkt Spam und Phishing-Mails erhalten.
- Sind Sie ein kommerzieller Anwender oder ein Unternehmen und verwenden zahlreiche E-Mail-Konten und Services? Oder benötigen Sie mehr Schutz, weil Sie unternehmenskritische Daten nutzen? Dann sollten Sie den Authentifizierungsstatus U2F in Betracht ziehen. U2F ist ein Industriestandard für eine allgemein anwendbare Zwei-Faktor-Authentisierung, basierend auf einer adaptierten Challenge-Response-Authentifizierung. Der Authentifizierungsschlüssel hat die Form eines USB-Sticks. Selbst wenn sich ein Angreifer Ihre Zugangsdaten besorgt, besitzt er doch nicht den Stick und hat damit keinen Zugriff auf den Services. Es gibt auch drahtlose Schlüssel, die Near Field Communication (NFC) oder Radio Frequency Identification (RFID) nutzen. Diese können Sie zusammen mit Ihrem Smartphone verwenden.
Kategorien