Neben der Zwei-Wege-Authentifizierung schlagen auch viele Experten einen Passwortmanager vor. Beliebte Dienste wie 1Password verlagern aber immer mehr auch die Konten der Benutzer in die eigene Cloud . Durch überlegtes Handeln können Sie sich den Aufwand meist sparen
Einmal angemeldet – Immer angemeldet
Typische Situationen, in denen man schon wieder ein neues Passwort benötigt: Sie wollen das eigene iPhone verkaufen, oder Sie finden eine schöne Hülle in einem Ihnen bisher unbekannten Online-Shop. Solche Websites, die Sie meist nur ein oder zwei Mal verwenden, verlangen aber nach der gleichen Informationsfülle wie Amazon und Co. Das Löschen des Benutzerkontos nach dem einmaligen Nutzen der Dienstleistung bringt nicht viel.
Unternehmen sind verpflichtet, steuerrechtliche Informationen für eine lange Zeitspanne zu sichern. Ein einmaliger Kauf hat also zur Folge, dass die privaten Daten für mehrere Jahre (und meist noch länger), auf den Servern des Anbieters liegen. Auch löschen viele Unternehmen die Daten nicht, sondern markieren sie als „deaktiviert“. Hacker, die Jahre später Zugriff auf den Unternehmensserver erlangen, können somit auch Ihre Daten einsehen.
Wie funktioniert Hacking?
Hacking hat eine sehr negative Darstellung in der breiten Öffentlichkeit. Dabei sind es Einbrecher, die das System meist besser verstehen als die Entwickler selbst. Literatur gibt es zur Genüge, für Sie sind aber folgende Punkte wichtig, um sich gegen Angriffe zu wappnen:
Durch Social Hacking versuchen Angreifer, durch Passwort-Wiederherstellungsverfahren oder direkte Passworteingabe an ein Benutzerkonto zu gelangen. Die erforderlichen Daten wie Geburtstag des Vaters, Wohnort der Mutter etc. können in den meisten Fällen schon von jedem Facebook-Profil abgelesen werden.
Durch USB-Sticks können Angreifer Software auf den Mac oder PC spielen, die anschließend Tastaturanschläge aufnimmt und an einen entfernten Server sendet. Passwörter können so direkt abgegriffen werden. Derartige Malware ist auf dem Mac zwar seltener, Vorsicht ist aber stets geboten.
Das simple Abgucken in der U-Bahn der Passworteingabe am iPhone, und der anschließende Diebstahl verschafft einem Angreifer vollen Zugriff auf das Gerät.
Telefonanrufe oder E-Mails , die Name, Geburtstag oder ähnliches wollen, können für gezielte Phishing-Attacken hergenommen werden.
Die Lehren daraus sind klar: Jede Information, die ein Angreifer über Sie hat, hilft ihm dabei, gezielte Attacken auf Ihre Konten zu fahren. Daher sollten keinerlei E-Mails oder Anrufe beantwortet werden, wo der Absender oder Anrufer nicht eindeutig identifiziert werden kann. Unsere Online-Identitäten geben so viel Preis, dass es für Angreifer oft ein leichtes ist, Profile zu rekonstruieren, und sich auf anderen Webseiten als Sie auszugeben.
Tipp Nummer 1: Wegwerf E-Mail Adressen
Unser erste Tipp lautet daher, sich mit einer Wegwerf-E-Mail Adresse am gewünschten Online-Shop anzumelden, und sich ein Bild über dessen Dienstleistung zu machen. Sobald Sie nämlich Ihre primäre E-Mail Adresse mit Ihrem Namen und Adresse auf einer Plattform verknüpft haben, die Ihre Daten weiter verkauft oder durch einen Hack zugänglich macht, ist diese Kombination auf sämtlichen Schwarzmarkt-Adressen im Internet erhältlich.
Bis auf Spam-E-Mails ist das auch nicht weiter tragisch. Mit der Zeit lässt sich so aber ein tiefes Netz aus Informationen über Ihre Person knüpfen, die für wesentlich gezieltere Angriffe benutzbar ist. Auch nicht vergessen: Haben Sie die gleiche E-Mail / Passwort-Kombination auf der gehackten Plattform wie Amazon und Co, so haben Angreifer leichtes Spiel Ihnen auch anderswo Schaden zu zufügen.
Deshalb gilt: Solange die Seite keine wichtigen Informationen aufweist, legen Sie eine Wegwerf-E-Mail Adresse und ein leichtes Passwort an. Somit können Sie den Dienst ausgiebig testen. Müssen Sie zum Bezahlen oder Versenden weitere Details angeben, so beachten Sie Tipp 2 und 3.
Tipp Nummer 2: Wichtige und unwichtige Konten trennen
Passwortstärke ist nicht das alleinige Kriterium. Seiten wie Amazon haben einen anderen Sicherheitsgrad für Sie als ein Blog-Forum oder die Kino-Webseite von nebenan. Bestenfalls gliedern Sie Ihre besuchten Seiten in drei oder vier Kategorien ein. Wichtig ist hierbei: Benutzen Sie keinesfalls die gleiche E-Mail/Passwort-Kombination auf der Blog-Forum-Seite wie bei Amazon.
Streng genommen raten wir, bei jeder Seite eine andere E-Mail und/oder ein anders Passwort zu wählen. Wenn also beispielsweise eBay gehackt werden sollte, und dadurch Ihr Passwort und E-Mail an den Angreifer übergehen, so können diese Informationen keinen weiteren Schaden anrichten, da Sie für Amazon und iCloud eine andere Kombination, ja sogar eine ganz andere E-Mail Adresse verwenden.
Auch hier gibt es Kategorien. Bei Kino-Webseiten empfiehlt sich, nur via PayPal zu bezahlen, da so Ihre Kontodaten auf einer Seite bleiben. Auch kann beim Kino eine Standard-E-Mail/Passwort Kombination herhalten, da im Fall der Fälle damit nicht viel erreicht werden kann.
Geht es jedoch um Webseiten mit Zahlungsinformationen und privaten Details, wie Facebook und Amazon, so empfiehlt sich hier eine komplett eigene E-Mail Adresse und Passwort. In Hinblick auf Datenschutz erstellen Sie sogar eine eigene E-Mail mit der Sie sich auf Facebook anmelden, um so Datensammler kein eindeutiges Bild zu gewähren, da diese sicherlich Informationen von Facebook, Amazon und anderen Webseiten zusammen führen, um Sie so eindeutiger identifizieren zu können.
Tipp Nummer 3: E-Mail Aliase
Um die Flut an Internetkonten so bewältigen zu können, benutzen Sie am besten sogenannte Aliasse. Unter iCloud zum Beispiel können Sie bis zu drei zusätzliche, völlig unabhängige E-Mail-Adressen erstellen. Diese leiten automatisch alle ein- und ausgehenden E-Mails an Ihre Hauptadresse weiter.
Zum Beispiel erstellen Sie ein iCloud-Konto mit mustername@icloud.com. Unter diesem Konto können Sie dann weitere Adressen wie „einkaufen@icloud.com” und „sozialedienste@icloud.com” erstellen. Bei Amazon erstellen Sie anschließend ein Konto mit der „einkaufen@icloud.com” Adresse, und separaten Passwort. Wird Amazon gehackt, so hat der Angreifer eine E-Mail Adresse und Passwort, mit denen er nichts anfangen kann, da nirgendwo sonst ein Konto mit damit angelegt ist.
Doch das wichtigste dabei ist: Der Zugriff zu Ihrem Hauptkonto bei iCloud, ist nicht veröffentlicht. Somit sind all Ihre Geräte und Informationen weiterhin sicher. Sie könnten nach dem Hack Ihren Alias löschen und einen neuen anlegen.
Tipp Nummer 4: Eigenes Passwortkonzept
Anstatt sich auf Passwortmanager wie 1Password oder LastPass zu verlassen (und damit deren Verschlüsselungstechnologien und Servern), entwickeln Sie doch ganz einfach Ihr eigenes Passwort-Konzept. Hier gibt es generell zwei Varianten.
Die erste Variante ist die Kombination von Wörtern, sprich “affe-tiger-katze”. Die zweite Variante ist eine Kombination aus Zahlen, Buchstaben und Sonderzeichen. Ein Beispiel ist hier “bd4$55”. Der Nachteil ist natürlich, dass es sehr schwer ist, sich alle Kombinationen zu merken. Mit diesem Trick klappt das aber.
Entwickeln Sie einen festen Bestandteil und einen variablen Bestandteil des Passworts, wobei sich letzterer auf die aktuelle Webseite bezieht. Also sagen wir, der feste Bestandteil ist “kosmonaut-fernseher-tasche”. Anschließen Sie diese Kombination mit etwas webweit-spezifischen. Also für Ihr Macwelt-Konto wäre dies: “apple-computer-kosmonaut-fernseher-tasche-macbook”. Für Ihr Bankkonto “finanzen-pleite-kosmonaut-fernseher-tasche-ruhestand”.
Ganz ähnlich kann dies auch für die Kombination aus Zahlen und Buchstaben funktionieren. Der feste Bestandteil von oben, “bd4$55” erweitern Sie mit dem Webseitennamen. Wenn zum Beispiel die Länge des Namens durch Zwei teilbar ist, bekommt die Kombination hinten eine 01 angestellt, wenn nicht eine 00: “bd4$55-01”. Vorne können Sie die ersten zwei Buchstaben der Webseite hernehmen. Das Passwort für Ihr Macwelt-Konto könnte also so aussehen: “ma-bd4$55-01”. Auch wenn der Kernteil am Anfang schwer zu merken ist, bei wiederholter Eingabe geht er in Schweiß und Blut über.
Tipp Nummer 5: Online Kreditkarte
Beim Bezahlen über Online-Konten hinterlegen Sie des öfteren Kreditkarten-Daten. Dumm nur, wenn es Ihre Hauptkarte ist, und die besuchte Webseite gehackt wird. Hier eignen sich vor allem Produkte aus der FinTech-StartUp-Szene. Zwar raten wir nicht, Ihr gesamtes Geld dort zu lagern, doch für spontane Einkäufe sind solche Produkte sehr spannend.
Eine Liste von Anbietern gibt es auf eine Webseite von Avuba , ein Dienst, der zwar vor kurzem geschlossen hat, aber brauchbare Alternativen zeigt. Ein kurze Suche nach “Online Kreditkarten” hilft auch weiter. Wie gesagt, Sie sollten nicht gleich zum nächsten Händler rennen und jede Menge Daten und Geld Preis geben, aber mit einem geschulten Auge lassen sich ein paar gute Angebote finden.
Ein Dienst namens “ MyWireCard ” bietet genau diese Online-Kreditkarte an. Testen konnten wir es selbst bislang noch nicht, aber vielleicht melden sich findige Leser via der Kommentarfunktion und können eine genauere Einschätzung dazu abgeben.
Fazit
Selbst wenn es komplette Sicherheit nicht gibt, mit der Kombination aus eigenem Passwortkonzept, iCloud-E-Mail Aliasen und Wegwerf-E-Mail-Adressen sind Sie bestens gerüstet um Ihre Daten sicher im Internet zu lagern, und auf Shopping-Tour zu gehen. Aber auch hier sollten Sie auf neuste Trends und Entwicklungen hören.
Wichtig ist hierbei auch eine Einstufung von sicherheitsrelevanten Daten. Auch sollten nicht immer persönliche Daten hinterlegt werden. Legen Sie ein paar solide “Falsch-Profile” an, um Seiten erst einmal ausgiebig testen zu können. Denn auch wenn Ihnen das Firmen vorgaukeln wollen: Ein richtiges Löschen im Internet gibt es nicht.
Autor: Bastian Gruber
Bastian Gruber arbeitet freiberuflich seit Dezember 2010 für die Macwelt.