Datenklau, nicht Hacking

Man wünscht sich in der Berichterstattung zum aktuellen Datenklau bei Prominenten und Politiktreibenden wirklich mehr Differenzierung. Natürlich ist es ein Drama, wenn ein 20-jähriges Skriptkid unbemerkt in Accounts eindringen kann, dort heraus Daten stiehlt und sie – lange Zeit unbeachtet – veröffentlicht. Die Frage ist: wozu braucht es jetzt mehr IT-Sicherheit, Cyberangriffabwehrzentren – und wieso nicht schlicht und ergreifend mehr Medienkompetenz?

Seit Jahren gibt es regelmäßige Umfragen zur Beliebtheit von Passwörtern. Die Ergebnisse sind jedesmal erschütternd:

Die Passwortliste des HPI:

2018:

  1. 123456
  2. 12345
  3. 123456789
  4. ficken
  5. 12345678
  6. hallo123
  7. hallo
  8. 123
  9. passwort
  10. master

2017:

  1. 123456
  2. 123456789
  3. 1234
  4. 12345
  5. 12345678
  6. hallo
  7. passwort
  8. 1234567
  9. 111111
  10. hallo123

2016:

  1. hallo
  2. passwort
  3. hallo123
  4. schalke04
  5. passwort1
  6. qwertz
  7. arschloch
  8. schatz
  9. hallo1
  10. ficken

Für 2015 und die Jahre davor sieht es sehr ähnlich aus. Jedes Jahr steht das auch in der ganz normalen Presseberichterstattung, auch meine Lokalzeitung berichtet regelmäßig darüber. Parallel dazu wird jedes Mal geraten, diese und ähnliche einfache Passwörter nicht zu benutzen, sondern mehr als 8 Zeichen, Buchstaben und Ziffern zu mischen ebenso wie Groß- und Kleinschreibung und wo möglich, auch Sonderzeichen.

Es gibt darüber hinaus regelmäßige Presseberichte über Passwortklau bei Unternehmen und im Fernsehen, in Filmen wird oft (mit einem Lacher) gezeigt, wie einfach oft Passwörter sind (Name des Hundes, des Kindes, der Ehefrau, 12345 etc.). Jeder kann es wissen, eigentlich weiß es auch jede*r. Und trotzdem – auch 2018 ist das beliebteste Passwort: 123456. Schon als ich Ende der 1990er-Jahre bei AOL gearbeitet habe, war das ein Thema in der Kundenbetreuung. Es ist schlicht erschütternd.

Das ist der Teil, den jede*r selbst beeinflussen kann. Aber: Menschen sind bequem und faul und sich ein komplexes Passwort zu merken – noch dazu für unterschiedliche Dienste unterschiedliche Passwörter – überfordert und erschreckt viele Menschen.

Meine Eltern hatten einen guten Bekannten, der nie sein Auto abschloss. Oft genug ließ er den Schlüssel auch stecken. Das mag damals, als er jung war, nicht sehr riskant gewesen sein – er sagte mal zu mir, dass ihm noch nie ein Auto gestohlen worden wäre und ich glaub, das war auch so, bis er starb. Mit der Zeit hat aber die Gesellschaft gelernt, dass man Autos in der Regel abschließt – und nicht in der Innenstadt auf einem öffentlichen Parkplatz mit dem Schlüssel im Zündschloss stehen lässt. Früher standen auch in Häusern die Türen auf. Das ist genauso absurd, wie als Passwort „123456“ zu benutzen.

Aber nicht nur jede*r Einzelne hat die Pflicht, gut auf seine eigenen Daten aufzupassen und sie bestmöglich zu schützen, wenn ersie nicht möchte, dass jemand Fremdes Zugriff darauf hat – und sei es nur aus Voyeurismus – diejenigen, die einen Zugang zu jedwedem Dienst anbieten, müssen die User vor ihrer Faulheit schützen – so wie es hier pseudowitzig dargestellt ist:

Und darüber hinaus weitere Maßnahmen wie Zeitstempel etc. Die Benutzungvon Passwortmanagern muss von klein auf geübt werden – überall in der Schule dort, wo ein PC eingesetzt wird und Daten gespeichert werden, müssen entsprechende Tools eingesetzt werden – damit zumindest der nachwachsenden Generation die Benutzung entsprechender komplizierter Passwörter oder PW-Tools zur Routine wird – so automatisiert, wie man heute sein Auto abschließt, wenn man ausgestiegen ist. Auch Autos schließen sich automatisch ab zwischenzeitlich – die Autohersteller haben da was verstanden.

Darauf können die Unternehmen verpflichtet werden – es muss einfach bleiben, daher ist der Einsatz von Sicherungsmaßnehmen, die nicht darauf beruhen, sich einen Satz wie „Ichkam1972indieGrundschuleplus4Jahrespäterwoandershin“ –>Ik1972idGp4Jswh“ anzustreben – Fingerabdrucksscanner und vergleichbare Tools, wie sie heute schon gang und gäbe sind, sollten Standard werden. Dazu braucht es Gesetze, eine EU, die das europaweit vorschreibt – und damit dann auch Maßstäbe setzt, die im Rest der Welt zu vergleichbaren Maßnahmen führen. Leistungsfähigere Computer werden zu leistungsfähigeren Hackertools führen – es wird ein dauerhafter Abwehrkampf werden,die derdie Einzelne kaum alleine führen kann. Daher braucht es sinnvolle Maßnahmen auf der Anbieterseite, die eine einfache Nutzung weiterhin ermöglichen – aber die bestmögliche Abwehr bieten. Ja, dafür kann es dann auch meinetwegen ein Siegel geben – und so kann der Benutzer auswählen, was er möchte: einen gesiegelten Dienst oder einen ungesiegelten, ungeprüften, wo man nicht weiß, was mit den Daten geschieht. Das gilt für alles – auch für Betriebssysteme. Das ist staatliche Aufgabe. Die schnell angegangen werden sollte – und dafür braucht’s kein neues Digitalminsiterium, sondern ein Innenministerium, dass den Profis zuhört.

Ein letztes Wort über den Hack, den Einbruch des 20-jährigen Mannes: ich kann ja durchaus verstehen, dass sich jemand ausprobiert. Dass jemand versucht, Passwörter zu knacken, sich in Accounts prominenter Personen einzuloggen, zu lesen, was derjenige so treibt. Neugier ist ein zutiefst menschlicher Antrieb und wer schaut nicht gerne mal durch’s Schlüsselloch? Verwerflich ist das allemal – wäre es dabei geblieben, hätte es keiner gemerkt.

Das andere ist die Veröffentlichung der gewonnen Daten. Das ist darauf gerichtet, die schon geschädigten Menschen, auch wenn sie nichts von ihrer Schädigung wissen, bloß zu stellen, zu erschrecken, zu ängstigen. Das war eine bewusste Wahl – zumal in Form des Adventskalenders.

Und: verwerflich wäre es nicht gewesen, wenn er schlicht eine Mail geschrieben hätte: „Liebe*r Robert Habeck etc., es war ziemlich einfach, in Deine Accounts einzudringen. Dein Passwort „BundesvorsitzenderNr#1″ war leider einfach zu erraten. Zumal du es öfter benutzt. Ich an Deiner Stelle würde es schnell ändern.“

Wie wenn man ein offenes Auto mit steckendem Schlüssel „findet“: man kann reinsitzen,sich umsehen, sich den „Spaß“ machen, es umzuparken – und denjenigen damit die Gefahr deutlich machen – oder andere darauf hinweisen, dass da ein Auto steht, mit dem jede*r rumfahren kann und es dann auch welche tun. Der Unterschied zwischen gutem und schlechtem Benehmen. Um es mal freundlich auszudrücken.

Kommentar verfassen