LastPass-Hack: Es gibt keine völlige Datensicherheit

Supergeil !15
Die Cloud ist praktisch – aber niemals sicher!
Die Cloud ist praktisch – aber niemals sicher!(© 2014 CC: Flickr/Stefan Georgi)

Der auch im Unternehmensumfeld häufig eingesetzte Passwort-Manager LastPass wurde gestern Angriff einer Hacker-Attacke – zwar wurde laut eigener Aussage die Passwörter der Nutzer nicht entwendet, aber über die erlangten Mail-Adressen, Erinnerungshinweise und Authentifizierungs-Hashes können sich die Datendiebe dennoch Zugang zu den sensiblen Daten verschaffen. LastPass empfiehlt also das Ändern des Master-Passwortes; und wir kommen erneut zu der klaren Überzeugung, dass Eure Daten im digitalen Zeitalter niemals komplett geschützt sind.

Eine alte Bekannte, die ich jüngst beim Tablet-Kauf beriet und dabei erwähnte, dass für sie als Gmail-Nutzerin ein Android-Gerät mit den zusätzlichen Google-Diensten mehr Sinn machen könnte als ein iPad, fragte mich daraufhin recht irritiert: "Vertraust Du denen?!" und meinte damit Google. Ich hatte Ihr erklärt, dass ich zahlreiche der Services aus Mountain View nutze, meine Kreditkarte im Play Store hinterlegt habe, alle Fotos automatisch zu Google Fotos hochlade und bestimmte Dokumente im Drive lagere.

Das war nicht das erste Mal, dass mir die Frage nach meinem Vertrauen in Google gestellt wurde – und so sehr ich die Frage verstehe und auch nachvollziehen kann, so sehr irritiert sie mich wiederum jedes Mal: Nein, natürlich vertraue ich Google nicht. Eigentlich vertraue ich kaum jemandem, nicht mal in der Echtwelt – geschweige denn monströse US-Konzernen, die in erster Linie ihren Profit im Sinn haben. Aber ich muss Google, Apple, Microsoft, Dropbox, Facebook und all den anderen (von Regierungsbehörden und Geheimdiensten ganz zu schweigen) gar nicht Vertrauen, um ihre Dienste zu nutzen. Ganz im Gegenteil – ich sollte als digital native, wie sich mancher Poweruser so euphemistisch schimpft, per se kein Vertrauen haben gegenüber dem Internet, seinen Akteuren und EDV im Allgemeinen.

Vertrauen ist falsch, ständige Kontrolle ist besser ...

Diese abgewandelte Weisheit Lenins, die er ursprünglich als Losung für den marxistischen Arbeiter, der sich von der Obrigkeit nichts vormachen lassen sollte, ausgegeben hatte, gilt heute mehr denn je: Ich persönlich nutze Google und Co. ruhigen Gewissens, weil ich die Kontrolle über meinen Daten habe – zwar nichtmal ansatzweise darüber, was mit ihnen in der Cloud geschieht, aber darüber, welche Daten ich wohin gebe und vielmehr noch: Welche Daten ich überhaupt erzeuge. Das ist die einzige sinnvolle Form der Kontrolle, die wir Nutzer haben.

Zwar ist die Maxime vom "nichts zu verbergen haben" in Zeiten immer bedrohlicher werdender Überwachung fehlgeleitet – denn nur weil ich keine kompromittierenden Sex-Tapes erstelle, heißt das nicht, dass jemand anderes, der das tun möchte, im negativen Sinne etwas zu verbergen und deswegen bei einem Leak Pech gehabt hat. Aber wer Sexbilder oder -videos von sich und seinen mehr oder weniger Lieben produziert und diese unbedingt aufbewahren möchte, sollte schon ganz genau darüber nachdenken, wo er diese parkt.

Es gibt und gab nie einen inhärenten Anspruch auf Datensicherheit und -schutz im Netz.

Kontrolle haben bedeutet in diesem Fall, solche Daten eben nicht auf Smartphones, Laptops oder sonstigen mit dem Internet verbundenen Geräten zu lagern oder sie gar in die Cloud zu packen. Sondern vielmehr Daten, die wirklich um jeden Preis privat bleiben sollen, auf einen physischen Datenträger zu bannen und den so zu sichern, wie man es beispielsweise mit Schmuck und Wertsachen tun würde. Der Knackpunkt ist nämlich: So komfortabel Cloud und drahtlose Endgeräte sind, es gibt und gab nie einen inhärenten Anspruch auf Datensicherheit und -schutz im Netz. Lediglich Datenschutzbemühungen – und mit ein wenig Realismus und Fatalismus sollte jedem klar sein, dass die niemals zu befriedigenden Ergebnisse führen werden.

Instinkte und Erfahrungen aus der Echtwelt ins Digitale übertragen

Bleiben wir zur Verdeutlichung bei der Analogie mit den Wertsachen: Kaum jemand würde seinen Schmuck (oder eben einen mit "Mein Sextape" beschrifteten Datenträger) sichtbar im abgeschlossenen Auto liegen lassen – und wenn doch würde er nach einem Diebstahl zumindest einsehen, dass er einen gewaltigen Fehler gemacht hat. Dabei gibt es in eigentlich jedem Land dieser Erde Gesetze, die das Einbrechen in Autos und das Entwenden der Gegenstände darin bei relativ hohen Strafen verbieten. Wir haben aber akzeptiert, dass diese Gesetze zwar greifen, aber uns in der Realität nicht immer effektiv schützen. Selbst der sicherste Ort der Welt, unsere eigene Wohnung, ist nicht vor Einbrechern sicher. Wer wirklich etwas zu beschützen hat, packt es in einen Safe oder bringt es in ein Schließfach – und hat dann immer noch keine hundertprozentige Sicherheit.

Warum sollte das im Digitalen und im Internet also anders sein? Viele Nutzer glauben einerseits, ein Passwort böte mehr Sicherheit als ein Stahlschrank. Warum? Weil sie selbst keine Hacker oder Informatiker sind und sich nicht vorstellen können, wie leicht Passwörter, Firewalls und Server zu hacken sind und wie oft das vorkommt. Und weil EDV anders als beispielsweise ein mechanisches Türschloss für viele nicht wirklich erfahrbar sind, wiegt man sich in der vermeintlichen Sicherheit, ja ein cleveres Passwort gewählt zu haben.

Nur die Nichtnutzung von iCloud und Google Drive macht gar nichts sicherer.

Andererseits sind dann viele Nutzer immer wieder schockiert, wenn es zu Fappenings kommt, wenn die deutsche (in diesem Fall oftmals aber auch voreingenommene und mit eigener Agenda berichtende) Medienlandschaft die düsteren Machenschaften der Datenkrake Google aufzeigt oder eben wieder mal im großen Stile irgendwelche Nutzerdaten von Hackern gestohlen wurden – der Automatismus der dann greift, lautet eben "Also, ich traue dieser Cloud nicht!". Das ist reichlich kurz gedacht und ziemlich ineffektiv, denn nur die Nichtnutzung von iCloud und Google Drive macht gar nichts sicherer. Sie führt unter Umständen aber dazu, dass sich Nutzer sicher fühlen, weil sie von bestimmten Diensten Abstand nehmen und sich weiter keine Gedanken darüber machen, welche Daten sie denn passiv oder unbewusst produzieren und potenziellen Gefahren aussetzen. Ein Ignorieren der Thematik beziehungsweise sich von ihr losgelöst zu wähnen, ist aber der Kardinalfehler im digitalen und mobilen Zeitalter.

Das probateste Sicherheitswerkzeug ist wie gehabt der eigene Verstand

An dieser Stelle sei noch einmal betont, dass sich meine Argumente natürlich nicht auf die Überwachung respektive Aufzeichnung von Nutzerverhalten durch Behörden und Konzernen beziehen; auch wenn sich beide Felder in der breiten Wahrnehmung oft zu einem diffusen Datenschutzmatsch verquirlen. Wer nicht möchte, dass Google dein eigenen Aufenthaltsort dokumentiert, hat alles Recht dazu und schaltet die entsprechenden Optionen im Smartphone, Laptop und Tablet ab – bleibt theoretisch natürlich aber für bestimmte Kräfte weiterhin lokalisierbar. Gleiches gilt für das Surfverhalten, Online-Einkäufe, aber eben auch schon für Bezahlungen per EC- und Kreditkarte. Wie gesagt, ein anderes noch weiteres Feld ...

In Sachen Datensicherheit müssen wir akzeptieren, dass es keine hundertprozentige Sicherheit gibt und dass diese schon gar nicht von den Anbietern oder "dem Internet" garantiert wird. Ja, meine Kreditkarte ist bei Google Wallet hinterlegt und wer es drauf anlegt, kommt an die Zahlungsdaten ran. Und wenn wich mein Smartphone verliere oder auch nur mein Google-Passwort in die falschen Hände gerät, muss ich handeln – und zwar schnell.

Der beste Safe für wichtige Passwörter ist immer noch Euer Kopf.

Also kontrolliere ich sehr regelmäßig: Auf welchen Geräten sind meine Accounts hinterlegt, wer hat Zugriff auf die Geräte, gibt es Anmeldungen in meinem WLAN, die ich nicht zuordnen kann, was passiert auf meinen Bankkonten – letzteres schlicht auch, weil hier nicht nur online sondern beispielsweise durch manipulierte Geldautomaten Gefahr des Datendiebstahls besteht. Das ist natürlich etwas mühsamer als einfach alles laufen zu lassen. Aber wem das zu anstrengend ist, der würde wohl auch die teure Spiegelreflexkamera im Urlaub auf dem Beifahrersitz liegen lassen, statt sie in den Kofferraum zu packen oder gar mitzuschleppen.

Die Botschaft dieses Textes soll nicht sein, dass Opfer von Hacks und Datendiebstahl selber schuld sind; die Botschaft lautet vielmehr: Macht Euch bewusst, dass das Internet sich in dieser Hinsicht nicht von der Welt da draußen unterscheidet – was geklaut werden kann, wird unter Umständen auch geklaut. Der beste Safe für wichtige Passwörter ist immer noch Euer Kopf, der beste Ort für sensible Dokumente und Medien ein Speicherstick oder eine externe Festplatte. Von mir aus auch eine CD oder DVD.

Die Services verschiedener Dienstleister, die Cloud, das Internet sind ungemein praktisch und lassen sich oft zum eigenen Vorteil nutzen. Und Ihr dürft, könnt und sollt sie auch nutzen. Nur eben nicht für alles und nicht kopflos und blind. Oder nochmal: Vertrauen ist falsch, ständige Kontrolle ist besser ...


Weitere Artikel zum Thema
Sony Xperia Z5 und Xperia Z3 Plus: Sicher­heits­up­date für Novem­ber rollt aus
Christoph Groth1
Her damit !18Das Sony Xperia Z5 erhält das Sicherheitsupdate für November 2016
Sony rollt ein Update für das Xperia Z5, das Xperia Z3 Plus sowie das Z4 Tablet aus. Im Download inbegriffen: Die Sicherheitspatches für November.
Galaxy S5 erhält Sicher­heits­up­date für Novem­ber
Her damit !47Auch das etwas ältere Galaxy S5 erhält noch wichtige Sicherheitsupdates
Software-Support auch für ältere Smartphones: Für das Samsung Galaxy S5 aus dem Jahr 2014 rollt nun das Sicherheitsupdate für November aus.
Fake-Apps im Play Store und App Store erken­nen – diese Hinweise zählen
Schaut Euch Programme vor dem Download genau an, um nicht an Fake-Apps zu geraten
In den App Stores tummeln sich auch viele Fake-Apps, die womöglich schädlich für Euer Smartphone sind. Wir erklären Euch, woran Ihr diese erkennt.