Ich habe natürlich den Service gleich genutzt, um für meine digitalen Teilidentitäten (Niemals alle Aktivitäten über ein Konto!) eine “Kontenprüfung” durchzuführen.

Google führt alle mit meinem Konto verknüpften Dienste auf und erwähnt am Ende die noch nicht integrierten Produkte mit Informationen über meine Person. Dabei werden öffentliche Daten besonders hervorgehoben. Der Zugriff auf die jeweiligen Datenschutzbestimmungen und mögliche Profilverwaltungen ist übersichtlich.

Wie fast immer (SCHUFA-Auskunft einholen, Mailprogramm durchstöbern, Rechnungen sortieren, Passwortlisten im Browser entrümpeln), bin ich auch diesmal erschrocken über die Fülle der “irgendwann” genutzten Dienste und der dort erhobenen Daten.  Als Nutzer stehe ich damit vor der Frage, wie ich mit dem neuen Wissen umgehe.

Meine Einschätzung:

• Mit dem Dashboard geht Google einen Schritt in die richtige Richtung: Transparenz zählt.
• Die Selbstverwaltung von Profildaten, aber auch von Werbeeinwilligungen, Kommunikationswünschen etc. liegt im Trend.
• Mit dem Überblick habe ich “ein stärkeres Maß” an  Selbst-Kontrolle über meine Kontodaten wiedergewonnen. Mehr oder weniger.
• Das Dashboard erinnert mich an meine eigene gelegentliche Datenfreigiebigkeit. Die Mahnung finde ich gut.
• Je mehr Dienste ich mit einem Google-Konto verknüpfe, desto besser sollte mein Passwort beschaffen sein (und beschützt werden), damit das Dashboard nicht zu einem komfortablen Werkzeug für Identitätsdiebe wird.
• Wie unkompliziert ich einzelne Dienste tatsächlich “abschalten” kann, werde ich in den nächsten Tagen mit ein paar Abmeldungen ausprobieren (und danach versuchen, mich mit derselben Mailadresse wieder anzumelden).
• Zugleich bleibt ein Unbehagen: Google ist weit größer als das, was hier dargestellt und offengelegt wird. Bei der regelmäßigen Nutzung fallen Unmengen weiterer Datenspuren an.

Oder, wie in einem Kommentar gelesen:

“Bildlich betrachtet stünde google nackig dar, wenn alle Geheimnisse um ihre Daten gelüftet würden, ich glaube sie hat noch nicht mal begonnen sich auszuziehen.”

Meine persönliche Google-Strategie hat sich dadurch nicht geändert – vielleicht ein paar Tipps auch für andere:

• Google-Konten nur im absolut notwendigen Umfang nutzen. Viele Dienste lassen sich ohne Konto nutzen (z.B. auch Alerts -wenigstens teilweise).
• Bei Bedarf mehrere Konten nutzen (z.B. dienstlich, privat, Verein, Sport, etc.). Im Zweifelsfall ein Konto = ein Dienst, z.B. bei YouTube. Nach der Nutzung wieder abmelden.
• Google-Suche nicht verwenden, während man angemeldet ist. Hier bin ich einfach skeptisch…
• Sichere Passwörter verwenden und geheimhalten!
• Google-Alternativen verwenden, so weit möglich (Piwik statt Analytics, Google Maps nicht für Routenplanung, kein Desktop, AdSense etc.).
• Regelmäßig Cookies löschen

Ich bin persönlich derzeit kein Google-Freund (siehe hier) und werde so schnell keiner werden, aber ich begrüße das Dashboard trotz aller Bedenken als brauchbares Beispiel für andere Anbieter.

Wenn nicht durch geeignete technische Maßnahmen sicher ausgeschlossen werden kann, dass jemals eine Windows-Passwort- Hash-Tabelle – die SAM-Datei – in die Hände eines Unberechtigten fällt, dann müssen Passwörter mindestens 10 Zeichen lang sein – selbst bei monatlichen Passwortwechseln und komplexen Passwörtern.
Werden nur Buchstaben oder Buchstaben mit (mindestens) einem Sonderzeichen oder einer Ziffer verwendet, wie in zahlreichen Passwort-Policies gefordert, ist eine Mindestlänge von 11 Zeichen erforderlich. Gute Passwörter dieser Länge erfordern jedoch ausgefeilte Merkregeln.

Erfreulicherweise ist der Artikel als PDF neben anderen Schätzchen auf der Publikationsseite von secorvo abrufbar. Zum Thema dort  auch “Fox, Dirk; Schaefer, Frank: Passwörter – fünf Mythen und fünf Versäumnisse, Datenschutz und Datensicherheit (DuD), 7/2009, S. 425-429.” – mindestens ebenso lesenswert, u.a. zum “Mythos Passwortkomplexität”:

Komplexitätsregeln führen in der Praxis häufig dazu, dass sich der zu berücksichtigende Suchraum für einen Angreifer verkleinert. Zudem ist eine größere Passwortmindestlänge deutlich wirkungsvoller als die Erzwingung eines (vermeintlich) komplexeren Passworts.

Sag ich doch: Auf die Länge kommt es an.

Since initiating the project last December, the Intrusion Detection researchers have scanned 130 million IP addresses and found nearly 300,000 devices whose administrative interfaces were remotely accessible from anywhere on the internet. The 21,000 devices with default passwords are the most vulnerable, but the rest are theoretically vulnerable to brute-force password-cracking attacks, Stolfo said. Extrapolating from the numbers they’ve gathered, the researchers estimate that 6 million vulnerable devices are likely connected to the internet.

Liebe Neu-Breitbandnutzer, das Suchen von Standardpasswortlisten im Internet gehört zum kleinen 1×1 der Scriptkiddies – und bei einer Erfolgschance von 9% braucht man nicht lange zu scannen, um ein Opfer zu finden.

Dank an watchyourweb für die Info zum Artikel von Martin Unger. Dort auch ein paar erste Tipps zur Absicherung des eigenen Routers.

Was u.a. bei CIO als aktuelle Studie angepriesen wird, ist zwar schon vom Juli 2008, aber trotzdem interessant; Quelle: “Airport Insecurity” vom Ponemon Institut (zu Ponemon siehe auch hier):

• 12.200 verlorene Laptops pro Woche in den 106 größten Flughäfen der USA, dabei knapp 5.000 in den Big 5

• 3.400 verlorene Laptops pro Woche in den 7 größten Flughäfen Europas, dabei 300 in Frankfurt

Die Studie mit den angeführten Gründen für die Verluste (Hektik oder zu viele Gepäckstücke) und den vorhandenen Sicherheitsmechanismen (Deutschland führend bei  der Daten- und Festplattenverschlüsselung) ist ganz lesenswert.

Zum gestrigen Thema der gefühlten Sicherheit:

Over 28% of European and 34% of U.S. business travelers who say they do take steps to protect the sensitive or confidential information in their laptop computers don’t know how this information is protected.

Wohlgemerkt, die völlig ungeschützten Kisten sind da gar nicht mehr berücksichtigt (22% in Deutschland – 57% in Spanien). Die anderen fühlten sich wenigstens sicher: “Irgendwie hatte ich meine Daten geschützt, aber wie nur???”

Das ist traurig.

Noch viel trauriger stimmt mich der Blick auf die verwendeten Passwörter, mit denen die abgefischten Benutzer ihre E-Mailkonten gesichert hatten. Eine Statistik darüber findet sich bei acunetix; hier nur ein paar Beispiele aus den Top 20 (insgesamt 10.024 Accounts):

• “123456″ wurde von 64 Nutzern verwendet – Platz 1
• “1234567″ 8 Nutzer – Platz 9
• “12345678″ 9 Nutzer – Platz 8
• “123456789″ wurde von 18 Nutzernm verwendet – Platz 2

Nicht fehlen dürfen natürlich

• “111111″ mit 10 Vertretern und Platz 4
• “000000″ mit 7 Nennungen auf Platz 13
• “654321″ mit 6 Nutzern auf Platz 15

42% der Benutzer verwendeten nur Kleinbuchstaben; 19% nur Ziffern. Lediglich 6% der Accounts waren durch einen Zeichenmix von Buchstaben, Ziffern und Sonderzeichen geschützt.

Ja, bei einer Phishing-Attacke wie dieser sind letztlich alle Varianten gleich schwach. Gute Gründe für starke Passwörter gibt es trotzdem genug.
Im Datenschutzalltag stellt sich oft die Frage nach der optimalen Passwortrichtlinie. “Hauptsache, besser sein als die Hotmail-Nutzer” , möchte ich ausrufen. Persönlich enmpfehle ich lieber lange Passwörter als häufig wechselnde (die oft zu Post-Its am Bildschirm oder unter der Tastatur führen) sowie einen (Mindest-)Mix aus Groß- und Kleinbuchstaben. Zwangsziffern sind – wegen der Entropie – nicht das Gelbe vom Ei, das habe ich von Thomas Maus gelernt, z.B. hier oder umfangreicher in der DuD.

Dabei könnte es so leicht sein: Manche meiner hochkomplexen Passwörter bringen mich mitten im Datenschutzalltag zum Lächeln – und das verdanke ich diesem Film. Nicht die reine Lehre, ich weiß – aber besser als 123456

Kennen Sie die “Prüfanstalt für technische Wiedergutmachung”? Nein? Können Sie auch gar nicht, denn dieses Institut gibt es gar nicht. Wir haben einen Kollegen auf die Straße geschickt, ausgestattet mit einem erfundenen Prüfsiegel, einem nachgemachtem Fragebogen und den nötigen Utensilien, um sogar eine DNA-Probe nehmen zu können – Das ganze gedreht mit der versteckten Kamera.

Ganz freundlich fragen wir Passanten, welche Krankheiten sie haben und wie viel sie verdienen, bitten um Kontonummern und den Personalausweis. Sie glauben, niemand gibt Auskunft? Irrtum!

Quelle c’t-TV

“Gucken Sie doch einfach mal selbst”, meint der Moderator.

Nach deprimierenden 8 Minuten bleibt nur die vage Hoffnung auf eine kommende Generation, die schon zeitig aus selbst erlittenem Schaden klug wird.

Oder hat jemand eine bessere Idee?