Ein neuer Beitrag zu meiner IT, einer Serie von losen Beiträgen, die ich ja angekündigt hatte. Diesmal hat es nicht viel mit meiner Hardware und Software zu tun. Gerade ging ja die Nachricht über „Collection 1“, eine Sammlung von rund 1,2 Milliarden Kombinationen von E-Mail-Adressen und Passwötern durch die Medien. Weitere solche Lecks werden erwartet. Im Sinne einer gesunden Redundanz – nicht jeder hat es in den einschlägigen Medien gelesen – hier zwei Adressen, wo man prüfen kann, ob die eigene(n) E-Mail-Adresse(n) Teil eines Datenlecks gewesen sein könnten.
Ich habe beispielsweise meine E-Mail-Adressen beim „Identity Leak Checker“ des Hasso-Plattner-Institut geprüft. Unter der oben verlinkten Adresse gibt man ganz einfach seine E-Mail-Adresse ein …
… und erhält dann diese E-Mail-Adresse eine Nachricht, ob diese „gehackt“, besser ob sie im Netz irgendwo in Kombination mit anderen persönlichen Daten publik geworden ist.
Ich kann nur jedem empfehlen, diese Test durchzuführen. Ein vergleichbarer, international bekannter und empfohlener Dienst ist „Have I been pwned„. des australischen Sicherheitsforschers Troy Hunt. Auch hier gibt man direkt seine E-Mail ein, ….
… bekommt aber direkt auf dem Bildschirm das Ergebnis angezeigt.
Ich musste bei beiden Tests feststellen, dass einer meiner „alten“ E-Mail-Adressen betroffen war. In meinem Falle war es eine GMX-Adresse, die ich aber schon stillgelegt hatte. Bei „Have I been pwned“ kann man übrigens im Sinne der „Frühwarnung“ hinterlegen, benachrichtigt zu werden, wenn diese Adresse kompromittiert werden sollte.
Achtung: Wird Deine E-Mail-Adresse von einem der Tools ausgespuckt, kann das Datenleck das Kennwort Ihres E-Mail-Kontos oder eines beliebigen Internetdienstes betreffen, bei dem Du diese E-Mail zur Identifizierung verwendest.
Was ist also im Bereich E-Mail zu tun, wenn man betroffen ist?
- Gilt eigentlich generell, dann aber noch mehr: Besonders vorsichtig mit Dateianhängen sein, die man bekommt. Diese nach Möglichkeit nicht öffnen, zumindest mit einem Virenprogramm scannen. Und daran denken: Das Virenprogramm sollte dann auch auf dem neusten Stand sein und selbst dann … Nicht einfach auf Links klicken, die sich in E-Mails befinden. Statt auf Links zu klicken, die Internetadresse besser direkt im Browser eingeben.
- Wenn man den E-Mail-Dienst weiter nutzen will, unbedingt das Passwort ändern! Und ein komplexes Passwort wählen, in dem neben Groß- und Kleinbuchstaben Zahlen und Sonderzeichen wie ! oder # vorkommen. Je länger, desto besser. Manchmal werden auch kleine Sätze, die man sich gut merken kann, als Passwort empfohlen.
- Ich habe unterdessen einen Passwortmanager im Einsatz, da ich viele Dienste nutze und man für jeden Dienst, ein eigenes Passwort haben sollte. In meinem Fall ist es 1Password. Dort werden die Passwörter nicht nur gespeichert. Man kann auch komplexe Passwörter generieren lassen. Hier gilt allerdings besonders, dass das Passwort für den Passwortmanager sicher und komplex sein sollte!
- Daneben solltest Du wo immer möglich, die sogenannte 2-Faktor-Authentifizierung (2FA) – Wikipedia empfiehlt den Begriff 2-Faktor-Authentisierung – einzusetzen. Wenn man sich dann in E-Mail (oder andere Dienste wie soziale Netzwerke) einloggen will, braucht man sein Passwort UND einen weiteren Code. Es ähnelt sehr stark, dem PIN und TAN-Verfahren beim Online Banking. Der entsprechende Code, den man auch noch eingeben muss, wird per SMS – manche raten auch schon davon aus Sicherheitsgründen ab – oder eine spezielle Authenticator App zugeschickt.
- Im meinem Falle von GMX sollte man sogar überlegen, den E-Mail-Dienst generell zu ändern, denn GMX bietet derzeit keine 2-Faktor–Authentisierung an. Ich bin mit meiner primären, privaten E-Mail beispielsweise zu Mailbox.org gewechselt, das in entsprechenden Tests als besonders sicher empfohlen wird. Ich werde diesen Wechsel in einem separaten Beitrag nochmals beschreiben.
- Zum Abschluss noch eine weitere Empfehlung, die allenthalben gegeben wird: Nicht Facebook, Google oder Twitter als Authentifizierungsdienst verwenden. Was heisst das? Viele Dienste bieten an, sich via Facebook, Google oder Twitter einzuloggen, also kein eigenes Profil mit eigenem Passwort einzurichten. Das unbedingt vermeiden!
- Und dann noch eins: Über Wegwerfadressen nachdenken und diese gegebenenfalls einsetzen, wo es sinnvoll ist. Wegwerfadressen sind temporäre Adressen, die man genau wie der Name es sagt temporär verwendet und die nach einer gewissen Zeit „weggeworfen“ werden. Einige Dienste wie eben auch Mailbox.org bieten das an. Oder aber darüber nachdenken, verschiedene E-Mail-Konten für verschiedene Zwecke zu benutzen: Eine E-Mail-Adresse für Newsletter, eine andere für Nachrichten mit Freunden und Familie und so weiter. Klar sollte man auch hier den Überblick behalten können. Aber auf Smartphone und Computer können die entsprechenden Nachrichten ja dann an einer Stelle auflaufen, so dass man dort zumindest den Überblick behält.
Dies sind nur einige, hoffentlich in einigermaßen verständlicher Sprache geschrieben Tipps von einem „Halbwissenden“, der sich seit einigen Jahren in der IT bewegt. Sicherheits- und IT-Experten können da auf jeden Fall tiefer und detaillierter argumentierten, aber ich habe das Gefühl, dass ich angesichts der Lage einfach mal versuchen sollte, einige Tipps zu geben, die hoffentlich halbwegs korrekt sind und pragmatisch helfen
Hier nochmals zwei Links zum Thema Sicherheit:
(Stefan Pfeiffer)
Meine Ei-Tie
Vor kurzem habe ich geschrieben, dass wir Erna und Otto Normalanwender/in mit der heutigen IT und den notwendigen oder empfehlenswerten Einstellungen maßlos überfordern. In meiner Familie helfe ich ja schon mal ganz praktisch, aber vielleicht ist die/der eine oder andere auch für praktische Tipps dankbar. Wenn ich es schaffe, werde ich deshalb ab und an die ein oder andere Einstellung oder alternative Tools, die man statt Google, Amazon, Facebook oder Microsoft benutzen kann, im Blog beschreiben. Es sind meist nur einfache Beschreibungen und Einstellungen, keine tiefentechnischen Ausführungen.
