#46: Datensicherheit vs. Bequemlichkeit

Die neue Hauptfolge ist da!

auf steadyhq.com/NerdOverNews oder patreon.com/NerdOverNews gibt es viele weitere Folgen!

4 Kommentare zu „#46: Datensicherheit vs. Bequemlichkeit“

  1. Ritterkaktus

    Moin moin an euch.

    Mir fällt auch schon auf, wie gemütlich ich bei Sachen wie Passwörtern werde. Aber ich denke bei Sachen, wie Passwörter für eine Schulwebsite braucht man auch nicht unbedingt das schwerste Passwort. Da ist ja auch nichts drinnen, was es Wert wäre.

    Mehrere Emails hab ich auch eingerichtet für privates und sonstiges, aber auch irgendwie weniger aus Datensicherheit, sondern um alles ordentlich getrennt zu haben.

    Diese Gesichtserkennung würde ich glaube ich gar nicht nutzen, wenn es mein Handy könnte. Mit dem Pin eingeben hab ich noch kein Problem. Da bin ich wahrscheinlich noch zu altmodisch.

    Aber gut dann noch 3€ Statreon und so. Bis zum nächsten mal 😁

  2. Hey ihr drei.
    Ich bin bei den Passwörtern so ähnlich wie Patrick. Habe drei Passwörter mit verschiedenen Variationen.
    Ein besonderes Auge habe ich dennoch auf meine Mails, da ich im April 2017 Opfer von Phishing bei der Bank geworden bin. Die Seite sah täuschend echt aus, aber (was ich erst im Nachhinein realisiert habe) die Bank schickt keine Mails.
    War wieder eine Super Folge.
    LG Schollchen

  3. Guten Tag euch!Ich hab nich nie einen Kommentar geschrieben,da ich es eher als lästig empfinde…Aber jetzt schreib ich einfach mal einen:Euer Pidcast ist eigentlich echt gut und es ist immer wieder schön euch drei zuzuhören und die Themen grundsätzlich sind ziemlich interessant.Ich höre den Podcast schon seit der ersten Folge und muss sagen,dass ihr euch immer mehr verbessert habt,im Vergleich zum Anfang.Einen Verbesserungsvorschlag habe ich aber noch,bitte konzentriert euch mehr darauf auch wirklich über das gewählte Thema zu redet,ich habe des öfteren schon gemerkt,dass ihr immer wieder in andere Themenbereiche abdriftet.Dies würde ich euch ans Herz legen.Ansonsten macht weiter mit diesem schönen Podcast!

  4. Ohje ohje ohje ohje,
    ich habe nur das 1/3 des Podcast gehört und bin schon voll getriggert ;-D

    Nach längerer Pause habe ich jetzt endlich wieder angefangen, weiter zu hören.
    Die letzten Episoden fand ich nicht so super spannend, aber hier habt ihr ein Thema, wo ich mich total getriggert fühle.

    Es fängt schon mit der unsinnigen Aussage an „es ist egal ob ich ein Master Passwort für den Passwort Manager habe oder überall das gleiche Passwort habe, wenn das Passwort jemand knackt, dann hat er sowieso Zugriff auf alles“.
    Die Aussage ist in sich zwar inhaltlich korrekt, aber trotzdem schlicht falsch.
    Die Aussage berücksichtigt in keinster Weise, wie Passwörter üblicherweise „verloren“ gehen.

    Ein Klassiker der immer noch häufiger als man denkt eintritt, ist ein Datenleck in einer Plattform. Also dass Nutzerdaten in großen Mengen an die Öffentlichkeit gelangen. Diese „breaches“ kann man bspw. auf https://haveibeenpwned.com/ einsehen und auch überprüfen, ob man selbst betroffen ist. Marcel hat die Seite angesprochen und ja die gibt es immer noch und die bzw. der eine IT Security Spezialist Troy Hunt macht hier einen super Job.
    Passwörter werden in der Regel durch kryptographische Hashverfahren geschützt.
    Ein Breach bedeutet also nicht automatisch auch, dass gleich auch das Passwort veröffentlicht wird.
    Mit Table-Angriffen oder Brute-Force, lässt sich das Passwort dann aber ggf. doch wieder herausfinden und hier gilt eine goldene Regel: Um so komplexer und vor allem länger das Passwort ist, um so schwieriger wird es. Tatsächlich ist die Länge des Passworts relevanter, als die Komplexität. Wobei man „Wörter“ im Passwort grundsätzlich vermeiden sollte, um Wörterbuchangriffe direkt zu umgehen.

    Eine heute viel relevantere Methode um an ein Passwort oder Kreditkartendaten zu kommen, ist Pishing.
    Das spielt aber mit den oben genannten Breaches zusammen. Über den Breach kommt man an Namen und E-Mail Adresse.
    Mit diesen Daten kann man dann täuschend echt aussehende Pishing Mails erzeugen und an die E-Mail Adressen versenden.
    Gibt man auf der Pishing Seite dann seine Zugangsdaten ein, hat man verloren.

    In beiden Fällen, schützen zwei Dinge:
    1. Obacht wo man seine Daten eingibt
    2. Ein Passwortmanager

    Ich benutze Passwortmanager bereits seit über 10 Jahren, allerdings nicht unbedingt den Browser integrierten und auch nicht den von Google.
    KeePass war so einer der Ersten, die ich verwendet habe.
    Aktuell habe ich unter anderem eine KeePassXC Datenbank.
    Nutze aber parallel ein self-hosted Bitwarden für den „alltäglichen“ Internetalltag, welches auch im Browser integriert ist und auch übergreifend auf all meinen Geräten genutzt werden kann.

    Warum hilft der Passwortmanager jetzt?

    Wenn durch Pishing euer „Standardpasswort“ abgefischt wurde, dann müsstet ihr überall, wo ihr jemals einen Zugang erstellt habt, erst mal das Passwort ändern.
    Wenn man allerdings auf jeder Platform ein eigenes Passwort verwendet, ist auch nur genau dieses eine Passwort betroffen.

    Aber dazu wird es gar nicht erst kommen. Wenn der Passwortmanager in den Browser integriert ist – wie gesagt, das geht auch per AddOn über andere Lösungen als die von Google, Firefox, Apple und Co. LastPass und Bitwarden sind zwei gute Alternativen.
    Sollte man sich auf einer Pishing Seite befinden – z.B. paypaal.com (gab es tatsächlich mal als Pishing Adresse und gehört jetzt zu PayPal selbst) – dann wird der Passwortmanager auch niemals eine Autovervollständigung durchführen.
    Oder anders gesagt: Der Passwortmanager merkt, dass man nicht auf der echten Seite ist. Selbst wenn man selbst mal unachtsam war.

    Schützt man seinen Passwortmanager mit Zwei-Faktor-Authentifizierung, dann ist die Schance dass man „an alles“ ran kommt, nahezu unmöglich. Vor allem weil es nahezu unmöglich ist, dass Passwort zum Passwortmanager abzufischen. Weil der Passwortmanager nicht in einer Website, sondern einer eigenen App oder Browser AddOn läuft.
    Pishing Angriffe auf Passwortmanager sind zwar grundsätzlich möglich, aber eher selten erfolgreich.

    Es ist wirklich sinnvoll einen Passwortmanager zu verwenden.
    Und es IST deutlich sicherer, als 3~4~5 Passwörter im Wechsel zu verwenden.
    Und es IST bequemer, weil man merkt sich lediglich ein Passwort, dass von seinem Passwortmanager und alle anderen Passwörter werden automatisch ausgefüllt.

    Wann man überhaupt Opfer eines Hacking Angriffs wird, hat Marcel bereits beschrieben.
    Aber es würde Tim sicherlich mehr weh tun, als er jetzt aktuell glauben mag.

    Wenn sein YT Account geachkt würde, könnte der Schaden irreperabel sein.
    Den YT Kanal löschen wäre da wohl noch das kleinste Übel.
    Zum einen könnte der Hacker dich (Tim) aussperren und dann mit dem Kanal schalten und walten wie er will.
    Der Schaden an deiner Reputation wäre immens und möglicherweise irreperabel.

    Und auch Kreditkartendaten oder Giro Kontodaten können gefährlich werden.
    Die meisten Kreditkarten haben ein viel zu hohes Kreditvolumen. Für jemanden in deiner Position tippe ich – je nach Anbieter – auf € 5.000 bis zu € 25.000 Kreditvolumen.
    Wenn jemand deine Kreditkartendaten klaut und sagen wir mal nur die € 5.000 in kürzester Zeit ausreizt. Was meinst du wie lange du brauchst um diese wieder anzusparen um sie zurückzahlen zu können? Wenn wir da nicht schon von Jahren reden, weil du das logischerweise nur von dem Geld was du übrig hast – also ansparen könntest – abzahlen kannst.
    Im besten Fall tritt deine Kreditkarten-Versicherung in Kraft – die meisten Kreditkartenanbieter koppeln ihren Vertrag mit einer solchen. Eine Garantie ist das aber nicht, wie ich selbst schon schmerzlich feststellen musste. Und da ging es nur um einen kleinen 3-stelligen Betrag.

    Aber in der Regel geht es heute hauptsächlich über die Masse.
    Aus Breaches kommt man an die Kontaktdaten.
    Über Pishingmails an diese Kontaktdaten kommt man dann an PayPal-, Bank- und weitere Zugangsdaten.
    Eine Zwei-Faktor-Authentifizierung hilft, so etwas auszuhebeln, denn ohne den zweiten Faktor sind die Zugangsdaten weitestgehend wertlos.

    Pishing ist manchmal so gut gemacht, dass man da schnell drauf rein fällt.
    Ist mir auch schon zwei mal passiert.
    Erst letzte Woche wurde die Kreditkarte einer Freundin mit einer fremden Amazon Bestellung belastet. Sie hat sofort reagiert und die Transaktion wurde abgelehnt (war noch im „Vorgemerkt“ Zustand) und die Karte gesperrt. Hat seit gestern eine neue Karte.

    Offener Umgang ist okay, aber man muss sich der Gefahren bewusst sein.
    Gefahren kann man auf zwei Arten begegnen:
    1. ihr ausweichen, z.B. in dem man (vermeindlich) weniger Daten preis gibt
    2. aufmerksam sein und sie erkennen, wenn sie da ist

    Zu der Corona Thematik brauch ich aufgrund des alters der Folge glaube ich nicht mehr großartig was sagen.
    Aber zu Marcels Dystopien, bzw. viel mehr, wie Nerdi und Tim darauf reagieren.
    Mal ernst gefragt: Wie naiv seid ihr eigentlich?
    Manche Szenarien sind keine Dystopien, sondern in Realität bereits Erprobt wie der Panoptismus (Panopticon ist ein Szenario davon) oder teilweise heute noch Realität.

    Aber so manche Szenarien die Marcel strikt, sind selbst für eine Dystopie unrealistisch.

    „Warum Herr Volta haben sie eigentlich so viel Düngemittel gekauft? Kommen Sie doch mal mit aufs Revier und erklären uns das.“

    Selbst aus der nicht all zu fernen Vergangenheit wissen wir, dass eine solche einfache Aussage nicht der Realität entspricht. Nur weil ich heute 2kg Düngemittel kaufe, sonst aber kein negativer Bezug hergestellt werden kann, wird es nicht zu einer solchen Untersuchung kommen. Man kann für den gleichen Zweg übrigens auch Meister Proper nehmen. Oder einen starken Entkalker. Oder einfach Backpulver! Aus all diesen Zutaten lassen sich – in Masse verwendet – in der richtigen Mischung mit anderne Haushaltsmitteln, sehr gefährliche Bomben bauen.
    Natürlich ist die Düngemittelvariante noch am effektivsten, aber bei weitem nicht die einzigste.

    Also es muss schon deutlich mehr zusammen kommen.
    Selbst in einer Dystopie wäre ein einzelner „vermeindlicher Fehltritt“ nicht zu verfolgen.

    Auch die Aussage, man verliert seinen Versicherungsschutz wenn man sich nicht an die StVO hällt, ist schlicht FALSCH. Man verliert wenn überhaupt nur seinen Vollkasko Schutz. Teilkasko vielleicht, ist aber abhängig von der Versicherung und ob einem Vorsatz oder zumindest grobe Verlässigkeit nachgewiesen werden kann. Und die Haftpflicht verliert man nie. Weil diese nicht einen selbst, sondern den Geschädigten schützt.
    Das weiß ich aus (zum Glück nicht eigener) Erfahrung. Einem meiner Bekannten wurde grobe Fahrlässigkeit im Straßenverkehr nachgewiesen. Daraufhin wurden ihm 80% der Schuld zugesprochen. Die Versicherung (in dem Fall eine Teilkasko) ist trotzdem vollständig eingesprungen. Eine Telematik Box hätte daran auch nichts geändert.
    Ob man sich an die StVO hällt oder nicht, ist im wesentlichen dafür ausschlaggebend, wie viel (Teil)Schuld einem zugesprochen wird.
    Außerdem gehen Ermittler mittlerweile schon her und lesen die Boardcomputer der Autos aus. Die meisten „halbwegs modernen“ Autos, sammelen Telemetrie Daten. Das ist zur Motorabstimmung notwendig. Und oftmals sind die Daten der letzten paar gefahrenen km gespeichert. Werden diese am Unfallort ausgelesen – wird aber in der Regel nur bei schweren Fällen gemacht – ist es völlig egal, ob eine Telematik Box der Versicherung verbaut war oder nicht. Die Daten sind trotzdem da 😉

    Okay, okay, mittlerweile bin ich auch am Ende der Folge angelangt.
    Aber bei der Folge habe ich so oft mit dem Kopf geschüttelt, dass es mal wieder ein Roman wurde 😀
    Trotzdem eine tolle Folge, vermutlich werde ich jetzt auch wieder am Ball bleiben, habe ja immerhin noch eingies aufzuholen …

    MfG Tristan

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Ist der Podcast cool oder ist er super-duper mega cool?

Du willst noch mehr?

Seitdem ich mich selbstständig gemacht habe, kannst du mich auf Steady (quasi das deutsche Patreon) oder Patreon (quasi das nicht-deutsche Patreon) unterstützen und so Zugang zu den Premiumfolgen des Podcasts (alle zwei Wochen) bekommen. Außerdem gibts alle Hauptepisoden 3 Tage früher.

Außerdem hilfst du mir auch bei den News, den anderen Formaten und generell bei „Operation: Selbständigkeit“.

Falls du mich schon bei Steady unterstützt, ignoriere das bitte einfach und klick das Pop-up weg.