0181 – Sicher in der digitalen Welt unterwegs

Sicher in der digitalen Welt unterwegs

Internetdienste können kaum noch anonym genutzt werden. Wir besitzen eine digitale Identität, die zum begehrten Angriffsziel für Kriminelle geworden ist. Die Identitätsdiebe gehen auf unsere Kosten auf Einkaufstour, veröffentlichen widerrechtlich unsere Daten oder verwenden sie für kriminelle Machenschaften, die uns zur Last gelegt werden können.

Der Vortrag zeigt auf, wie Sie Ihre digitale Identität, Ihre Passwörter und andere Daten vor Verlust oder Missbrauch schützen können.

Inhalte

Abgrenzung verwendeter Begriffe

Informationssicherheit umschreibt Ziele und Maßnahmen zum Schutz von technischen und nicht-technischen Systemen zur Informationsverarbeitung (im weiten Sinne). In der Regel stehen jedoch die technischen Einrichtungen im Vordergrund der Betrachtung.

Die Abkürzung „IT“ steht zumeist für „Informationstechnik“ oder auch „Informationstechnologie“, „ITK“, die Abkürzung für „Informations- und Kommunikationstechnik“, wird angesichts der Verschmelzung der IT mit Systemen der Telekommunikationstechnik (TK) zunehmend häufiger verwendet. Unter dem Blickwinkel der Sicherheit wird jedoch regelmäßig von „IT-Sicherheit“ gesprochen.

Die klassischen Schutzziele der IT-Sicherheit sind in erster Linie

  • Verfügbarkeit – Geräte und Daten sind vorhanden bzw. funktionsfähig
  • Integrität – Daten bilden reale Sachverhalte korrekt ab
  • Vertraulichkeit – Daten gelangen nur den dazu Befugten zur Kenntnis

Bisweilen werden auch die englischen Begriffe Confidentiality, Integrity und Availability (deutsch: Vertraulichkeit, Integrität, Verfügbarkeit) verwendet und als „C.I.A.-Prinzip“ bezeichnet.

Wichtige Daten müssen vor Verlust geschützt werden. Dazu werden diese in der Regel nach einem festgelegten System vervielfältigt, an verschiedenen Orten gelagert und regelmäßig aktualisiert. Dieses Vorgehen wird als Datensicherung (engl.: „backup“) bezeichnet.

Unter Datenschutz versteht man dagegen in erster Linie das aus dem allgemeinen Persönlichkeitsrecht gem. Art. 2 Grundgesetz abzuleitende Recht auf informationelle Selbstbestimmung, dem Schutz der personenbezogenen Daten. Die Charta der Grundrechte der Europäischen Union regelt hierzu in Art. 8 „Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten“.

Was sind Kennwörter … und was sind keine …?

Die Begriffe „Kennwort„, „Passwort“ (engl.: password), „Schlüssel“ (engl.: key) und zuweilen auch „PIN“ haben in der Regel die gleiche Bedeutung. Sie werden grundsätzlich zur Sicherung von Zugangssystemen verwendet. Zuweilen werden sie um die Eingabe und Erfassung biometrischer Merkmale, wie einen Fingerabdruck, einen Scan der Iris im Auge oder durch die Aufnahme der Stimme ergänzt. Kennwörter kommen bis auf wenige Ausnahmefälle nie alleine zum Einsatz. In der Regel muss zunächst, z. B. durch einen Benutzernamen, eine Identität angegeben werden, deren Echtheit durch die Eingabe des dazu gehörenden Kennwortes bewiesen wird.

Keine Kennwörter sind dagegen Begriffe, deren Kenntnis auf Erfahrung, Wissen oder Fähigkeiten beruht, wie

  • Steuerbefehle in Programmen
  • Adressen von Geräten, Webseiten
  • Suchbegriffe bei der Nutzung von Suchmaschinen
  • Kategorien, Schlagworte, #tags („hashtags“)
  • Identitäten, Benutzernamen

Zugangssysteme

Zugangssysteme funktionieren zumeist im Zusammenspiel mit einem Konto (engl.: „account“), das für Einzelne oder eine Gruppe von Nutzern eines Systems angelegt wird.

Sofern die Einrichtung eines Kontos selbst angestoßen werden kann, wird dies in der Regel durch ein Steuerelement (Befehl, Menüpunkt, Schaltfläche, …) mit der Beschriftung „Registrieren“ angegeben.

Beim Registrieren werden auf jeden Fall die Anmeldedaten für das Konto festgelegt; diese bestehen grundsätzlich aus

  • einem Benutzernamen – zur Angabe einer Identität sowie
  • einem geheimen Kennwort (…, Passwort, …) – zum Beweis der Echtheit der Identität

Zunehmend häufiger muss die Echtheit der Identität durch Angabe oder Erfassung weiterer Merkmale bewiesen werden. Am häufigsten wird die Angabe eines neben dem Kennwort zweiten „Geheimnisses“ erwartet; in diesem Fall wird von der Zwei-Faktor-Authentisierung (2FA) gesprochen.

Regeln zur Bildung „guter“ Kennwörter

Je komplexer (mehr Zeichen, Groß-/Kleinbuchstaben, Sonderzeichen, Zahlen, keine Eigennamen) Kennwörter gewählt werden, umso länger dauert der Versuch von Böswilligen, durch Ausprobieren ein Kennwort herauszufinden. Aber Kennwörter sollen auch gut zu merken, leicht einzugeben sein und Sie sollten für jeden Dienst ein eigenes Kennwort verwenden. Das stellt eine gehörige Herausforderung dar, die von Vielen wahrscheinlich auch als unzumutbar wahrgenommen wird.

Das Problem ist trotzdem, wenn auch mit einem gewissen organisatorischen Aufwand, lösbar. Gehen Sie von Folgendem aus:

  • Sie dürfen (eher sollten) Kennwörter aufschreiben, müssen sie aber sicher verwahren (noch besser: gut dokumentieren)
  • Spezielle Softwaresysteme und Dienste können Sie bei der Verwaltung von Zugangsdaten (Benutzerkennungen und Kennwörtern) und bei der Anmeldung bei Diensten unterstützen. (siehe dazu weiter unten „Kennwort- / Identitätsverwaltung“).
  • Sie müssen Kennwörter nicht regelmäßig ändern
  • Nicht jeder Dienst hat gleich hohe Sicherheitsanforderungen
  • Sie können die Sicherheit von Kennwörtern bedarfsangemessen festlegen; teilweise werden Merkmale vorgegeben; üblich sind 8 – 12 Stellen mit Groß- / Kleinbuchstaben, Zahl, Sonderzeichen (meist 3 von 4 Merkmalen)

Da Kriminelle nutzen für digitale Einbruchversuche hoch leistungsfähige Computer und Software, mit denen erbeutete Kennwörter, aber auch literarische Werke in relativ kurzer Zeit durchsucht und bei der missbräuchlichen Anmeldung „durchprobiert“ werden können. Beachten Sie daher folgende Regeln:

  • Verwenden Sie keine Eigennamen, Spitz- / Kosenamen oder stehende Begriffe – egal in welcher Sprache
  • Erstellen Sie Kennwörter auf Basis von Phrasen, z. B.
    „Das ist die Phrase, die ich am 16.10. als Beispiel verwende“ -> DidP,dia16.aBv
  • Verwenden Sie keine bekannten Sprichworte, Zitate oder Werke, z. B.
    „Wer reitet so spät durch Nacht und Wind….“
  • Wählen Sie Episoden aus Ihrem Leben, die Sie niemals (z. B. in sozialen Netzwerken, vor Unbekannten usw. erzählt würden), z. B.
    „Die Tapete in meinem Kinderzimmer 58 hatte Zirkusmotive“ -> DTimK58hZ
  • Verwenden Sie Zeilen aus einem weniger bekannten Buch, das Sie auf jeden Fall behalten wollen, z.B. (im Buch auf Seite 5, in Zeile 1)
    „Baden-Württemberg ist meine Heimat;“  -> 05BaismeHe.01

Wichtig sind auf jeden Fall ein gewissen Maß an Organisation und Disziplin. Dazu wird empfohlen:

  • Erstellen Sie ein Konzept, schreiben es auf, legen es gut und sicher ab und halten sich strikt daran
  • Dokumentieren Sie Ihre Kennwörter zusammen mit anderen Zugangsdaten (Identitäten, Verträge, …) bei persönlichen Unterlagen (z. B., bei Banken, Versicherungen, Verträgen, Zeugnissen …)
  • Verwahren Sie sie nach der 3-2-1 – Regel, d. h.
    • Drei Ausfertigungen, auf
    • Zwei Medien (z. B., Ausdruck, Fotografie und/oder digital)
    • Davon eine außerhalb der Wohnung / des Büros
  • Aktualisieren Sie die Unterlagen bei Veränderungen
  • Denken Sie an Unfälle, Krankheit, Abwesenheit von zu Hause / vom Büro, … digitalen Nachlass

Wurden meine Kennwörter bereits missbräuchlich verwendet?

Unter dem folgenden Link können Sie überprüfen, ob Ihr Kennwort bereits durch eine Sicherheitslücke oder einen Angriff von Kriminellen erbeutet wurde. Seien Sie trotzdem misstrauisch. Wenn Ihr Kennwort nicht als in der Datenbank hinterlegt (engl.: pawned) angezeigt wird, kann es trotzdem bereits missbräuchlich verwendet werden.

Die Bedeutung von Identitäten

Kennwörter werden so gut wie nie alleine, sondern fast immer in Zusammenhang mit einer Benutzerkennung zur Registrierung bzw. Anmeldung bei einem Konto (engl. account) verwendet. Ein offengelegtes Kennwort ist für Böswillige nutzlos, sofern nicht erkennbar ist, bei welchem Konto es verwendet wird.

Für Kriminelle sind daher nicht allein die Kennwörter, sondern auch das Wissen um die Konten und die dazu gehörenden Benutzerkennungen von Interesse. Als Benutzerkennung kommen bei Onlinekonten fast nur noch E-Mail-Adressen oder Mobiltelefonnummern zum Einsatz. Neben den E-Mail-Adressen sind auch die Mobiltelefonnummern (mit Landesvorwahl) weltweit einmalig und in der Regel genau einem Menschen zugeordnet. Für die Onlinedienste sind Vor- und Zuname, sowie die Postanschrift nicht hinreichend genau und damit nebensächlich. E-Mail-Adressen oder Mobiltelefonnummern sind unsere digitale Identität und per „Identitätsdiebstahl“ erbeutete Daten werden von Kriminellen genutzt, um „im Namen“ der rechtmäßigen Inhaber z.B.,

  • Einkäufe zu tätigen,
  • Straftaten zu begehen,
  • Rufschädigung zu betreiben,
  • Hass-Propaganda oder Fake-News zu verbreiten … und vieles mehr.

Sie sollten daher mit Ihren digitalen Identitäten ähnlich sorgsam und zurückhaltend umgehen, wie mit Ihren Kennwörtern und folgende Empfehlungen beachten:

  • seien Sie zurückhaltend mit der Weitergabe von Daten zu Ihrer Erreichbarkeit
  • geben Sie grundsätzlich keine (existierende) Mobil-Telefonnummer weiter (häufig kann auch eine Festnetznummer angegeben werden)
  • verwenden Sie digitale Alias- oder temporäre Identitäten; das ist nicht nur legal, sondern dringend zu empfehlen

In der Linkliste finden Sie im Abschnitt „Kommunikationsdienste“ vertrauenswürdige Anbieter von E-Mail-Diensten. Diese wurden teilweise von der Stiftung Warentest als „sehr gut“ eingestuft, bieten ihre Leistungen zu sehr fairen Bedingungen und preisgünstig an.

Wurde meine Identität bereits missbräuchlich verwendet?

Unter den folgenden Links können Sie überprüfen, ob Ihre Identitäten (E-Mail-Adressen, teils auch Rufnummern) bereits durch eine Sicherheitslücke oder einen Angriff von Kriminellen erbeutet wurde. Seien Sie trotzdem misstrauisch. Wenn Ihre Identität nicht als in der Datenbank hinterlegt (engl.: pawned) angezeigt wird, kann sie trotzdem bereits missbräuchlich verwendet werden.

Have I been pawned zeigt das Ergebnis sofort an, die Dienste des Hasso-Plattner-Instituts Potsdam (HPI) und Universität Bonn senden die Ergebnisse an die angegebene E-Mail-Adresse. Beim Firefox Monitor kann eine Benachrichtigung für den Fall, dass die Identität in einer illegalen Kennwort-Datenbank auftaucht, hinterlegt werden. Der Dienst BreachAlarm bietet zusätzlich kostenpflichtige Dienste an.

Kennwort- / Identitätsverwaltung

Kennwortmanager dienen der Verwaltung von allen Zugangsdaten, einschließlich Adressen. Sie erledigen auf Wunsch den automatischen Eintrag der vorhandenen oder übernehmen automatisch neu eingegebene Anmeldedaten

Vor allem die Online-Dienste stellen angesichts der hohen Zahl gespeicherter Zugangsdaten ein attraktives Ziel für Kriminelle dar. Es werden bei den Diensten leider immer wieder Sicherheitslücken festgestellt. Inwiefern es tatsächlich zu erfolgreichen Angriffen und einer Offenlegungen von Zugangsdaten kommt, ist schwer nachweisbar. Zugangsdaten mit sehr hohem Schutzbedarf (z. B. für Zahlungsabwicklung oder Kommunikationsdienste) sollten daher eher lokal, an sicherer Stelle gespeichert werden.

Verschlüsselte Speicherung in Onlinespeichern

Nie wieder Kennworte eingeben? – Die Bedeutung von Passkeys

Die Anforderungen an die Sicherheit von Kennwörtern (hohes Maß an Komplexität und Länge) steigen in dem Maße, wie Kriminellen oder staatlichen Akteuren hoch leistungsfähige Computersysteme zur Verfügung stehen, um – vereinfacht gesagt, durch „ausprobieren“ – Kennwörter offenzulegen. Kennwort- und Identitätsverwaltungen erlauben zwar den Einsatz vieler unterschiedlicher Identitäten und komplexer Kennworte, erfordern jedoch Koordinationsaufwand und sind zuweilen unbequem.

Passkeys können die Nachteile der Authentifizierung mit Kennwörtern bei Onlinediensten teilweise ausgleichen, erfordern jedoch auch Verständnis über ihre Arbeitsweise und einen gewissen Koordinierungsaufwand.

Ein Passkey-Verfahren muss von einem Onlinedienst für eine festgelegte Internetadresse angeboten werden.

Auf dem Computer (PC, Laptop, Mobilgerät, …) der Nutzer des Onlinedienstes wird ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, gebildet. Diese dienen jedoch nicht der Verschlüsselung von z.B. von Texten oder anderen Daten. Vielmehr soll mit diesen Schlüsseln die eindeutige Herkunft von Daten von einem bestimmten System nachgewiesen werden.

Der Onlinedienst sendet bei der Anmeldung eines Nutzers eine (beliebige) Zeichenfolge an den lokalen Computer.  Die Zeichenfolge wird dort mit dem privaten Schlüssel signiert und an den Onlinedienst gesendet. Dort war zuvor der öffentlicher Schlüssel hinterlegt worden, mit dem die zurückgesandte, digitale signierte Zeichenfolge nun dahingehend überprüft werden kann, ob sie tatsächlich vom Computer des rechtmäßigen Nutzers stammt. Sofern dies der Fall ist, wird der Zugang zum Onlinedienst freigegeben.

Zur Nutzung eines Onlinedienstes muss kein statisches Kennwort, das ausgespäht werden könnte, vereinbart und bei der Anmeldung übertragen werden. Bei jedem Anmeldevorgang wird vom Onlinedienst eine andere Zeichenfolge an den lokalen Computer gesendet, der die Zeichenfolge verschlüsselt zurücksendet. Ein Ausspähen der Zeichenfolge ist für den Angreifer nutzlos, solange er nicht auf den privaten Schlüssel des Nutzercomputers zugreifen kann.

Der Passkey auf dem lokalen Computer muss natürlich sehr gut geschützt sein. D.h., lokal kommen durchaus wieder die klassischen Methoden zur sicheren Anmeldung mit Kennworten oder PIN, evtl. zusammen mit einer biometrischen Identifizierung zum Einsatz.

Passkeys sind zweifellos sicherer als Kennwörter, da sie nicht anfällig für Phishing-Angriffe sind. Ihre Nutzung ist auch bequemer, da die Zugangsdaten nicht bei jeder Anmeldung eingegeben werden müssen. Sie sind schneller zu erzeugen und einzugeben, da sie automatisch erzeugt und übertragen  werden.

Nachteilig ist, dass Passkeys nur auf eigenen Geräten genutzt werden können. Bei Nutzung eines fremden Computers müsste zumindest ein eigenes Mobilgerät zur Verfügung stehen. Nicht unterschätzt werden sollte der Aufwand zum Anlegen von Datensicherungen. Fällt der eigene Computer aus, muss eine Anmeldung auf  traditionellem Wege, d.h., mit Benutzerkennung und Kennwort, möglich sein. Diese müssen bekannt sein oder in Identitäts- und Kennwortmanagern dokumentiert sein.

Passkeys werden derzeit vor allem von den Unternehmen und Diensten Amazon, Apple, eBay, Google oder Paypal sowie weiteren Dienstleistern angeboten. Deren Zahl steigt ständig. Auf absehbare Zeit werden Passkeys aber nicht die Anmeldung mit Benutzerkennung und Kennwort vollständig ersetzen.

Weitere Hinweise:

  • Passkeys für Dienste von Google
  • Passkeys für das Apple iPhone unter iOS 16 / iPadOS 16 und höher (und weitere Apple OS)
  • Übersicht der Dienste, die eine Authentifizierung über Passkeys anbieten
  • Wie funktionieren Passkeys – Youtube-Video
  • Wie funktionieren digitale Signaturen? – Youtube-Video

Managementdienste für digitale Identitäten

Deren Funktion wird unter verschiedenen Bezeichnungen beschrieben, Z.B.,

  • Single Sign On
  • Identity Provider
  • Identity Broker
  • „Manager digitaler Identitäten“

Zweck der Dienste ist zumeist

  • Nutzer legt beim Anbieter ein Konto mit Anmeldedaten an
  • Dienst übernimmt die Verwaltung und die Anmeldung von / bei verschiedenen Anbietern von Diensten

Aus Sicht der Nutzer ist ein Höchstmaß an Sicherheit und Vertrauen erforderlich. Es gibt bereits einige Anbieter von „Managern digitaler Identitäten“, jedoch können deren Dienste nicht übergreifend von jedem Anbieter von Internetdiensten genutzt werden. Die Akzeptanz ist sowohl bei Onlinediensten, als auch bei Internetnutzern nicht sonderlich hoch.

Beispiele (Nennung ohne Bevorzugung eines Anbieters)