07.01.2019 (kfr)
4.3 von 5, (11 Bewertungen)

Diskussion um den Datenhack ist kindergartenhaft

*** Gastkommentar von Franz Neumeier, freier Autor ***

Franz NeumeierFranz NeumeierSolange Sicherheitsexperten von hochkomplexen Passwörtern und Zwei-Faktoren-Authentifizierung schwadronieren, zugleich aber eine Hotelkette Millionen von Passdaten ihrer Kunden unverschlüsselt speichern darf (wozu überhaupt speichern?), stimmt in unserem Verständnis für Datenschutz etwas ganz grundlegend nicht.

Wir sollten endlich damit aufhören uns einzubilden, dass man Daten vor Missbrauch schützen kann. Wirklich sicher sind nur Daten, die erst gar nicht erhoben und gespeichert werden.

Datensparsamkeit muss erste Priorität haben! Kürzlich wollte mich ein Hotel in Oslo nicht einchecken, wenn ich Ihnen meine Telefonnummer nicht gebe. Das ist haarsträubend, das darf nicht sein (ich habe dann eine Fantasie-Nummer angegeben).

Und dort, wo Speicherung zwingend nötig ist, nicht nur für die Bequemlichkeit oder zum wirtschaftlichen Nutzen von Privatunternehmen oder zur Ergötzung aktionistischer Politiker unter dem Vorwand der Terrorbekämpfung, müssen die Daten so schnell wie möglich wieder gelöscht werden. In der Zwischenzeit gilt es die gespeicherten Daten, mit einem möglichst hohen Aufwand zu schützen und zu verschlüsseln.

Investieren wir bitte Steuergelder zum Entwickeln von Verfahren (und in die zugehörige Infrastruktur), die beispielsweise eine Identitäts- oder Bonitätsprüfung auch ohne Übertragung von Passdaten und ähnlichem erlaubt – vielleicht sowas wie Einmal-Token? Das würde echte Datensicherheit bringen. So etwas scheitert bislang typischerweise daran, dass diejenigen, die solche Infrastruktur bereitstellen könnten, den Rachen nicht voll genug kriegen beim Bestreben, sich an der Technik dumm und dämlich zu verdienen.

Die Anforderungen an den Nutzer zu erhöhen, wird jedenfalls immer ins Leere gehen. Niemand kann und will sich 20 Passwörter von der Qualität §jDL$HxD>jf34p53 merken (schonmal versucht, so ein Passwort fehlerfrei am Handy einzutippen?). Auch eine Zwei-Faktoren-Authentifizierung kostet gerade bei den wichtigen (nämlich: ständig benutzten) Accounts so viel Zeit und Nerven, dass die meisten es ganz schnell wieder deaktivieren.

Mit diesem Hintergrund empfinde ich die Diskussion um die aktuellen Datenhacks in weiten Teilen als kindergartenhaft. Auch wenn Details dazu noch nicht öffentlich sind: Vermutlich stecken da noch nicht einmal aktive und gezielte Hacks dahinter, sondern nur das simple Zusammentragen von vorhandenen Informationen aus früheren Datenlecks aus allen möglichen Quellen wie jetzt die Passnummern bei Marriott. Das Fatale ist nicht ein einzelner Hack oder eine bedauerliche Schwachstelle bei einem einzelnen Unternehmen. Es ist ein grundlegender, systemischer Fehler.


Über den Autor

Franz Neumeier (50) war jahrelang Chefredakteur bei IT-Zeitschriften wie PC Professionell, Internet Professionell und Internet Magazin. Heute ist er als freier Autor und Fotojournalist mit Spezialisierung auf Kreuzfahrt-Themen tätig, bloggt sehr erfolgreich auf cruisetricks.de und engagiert sich im Vorstand des Bloggerclub e.V. für die Vertretung von Blogger-Interessen.

Kommentare (2)
16.01.2019 - jan

Es wäre seit Jahren möglich eine Yubi Key in den Personalausweis zu integrieren. (Yubi Key ist so eine Art TPM - d.h. die geheimen Schlüssel verlassen den Key nie - Kommunikation mit der Außenwelt i.d.R. per challenge response Verfahren.)
Physikalische Schnittstellen NFC und PSC. Google, Facebook stellen direkten Support für diese Form der Zweifaktor Authentifizierung bereit.
Was ware das cool!
Keine Passwörter - bzw. nur noch ein selbst bestimmtes und der Rest geht über das Kärtchen. Nicht der unnütze, überteuerter X509 Quatsch den die deutsche Kartenmafia seit Jahren auf den Persos. implementiert hat. Und der geheime Key bleibt geheim. Einen Hack - außer dem Klau des Kärtchen und abpressen des Passworts - kann es mit bezahlbarem Aufwand nicht geben....
Willkommem @ #Neuland!

09.01.2019 - kfr

Der vollständigkeithalber: Mittlerweile ist der Schuldige gefunden: ein 20-jähriger Schüler. Mit Schuldzuweisungen halten sich Politik, Experten, Non-IT-Medien trotzdem nicht zurück…