• IT-Karriere:
  • Services:

Schlechte Datenschutz-Tipps: "Löschen Sie verdächtige Mails sofort"

Veraltet, wenig durchdacht und teilweise schädlich: Der Bundesbeauftragte für den Datenschutz gibt beunruhigend schlechte Ratschläge zum sicheren Surfen.

Ein IMHO von veröffentlicht am
Eine Broschüre des Bundesbeauftragten für Datenschutz und Informationsfreiheit zum "sicheren Surfen" enthält veraltete und gefährliche Tipps.
Eine Broschüre des Bundesbeauftragten für Datenschutz und Informationsfreiheit zum "sicheren Surfen" enthält veraltete und gefährliche Tipps. (Bild: BfDI)

Das ging gehörig schief: Der Bundesdatenschutzbeauftragte Ulrich Kelber weist auf Twitter auf einen Flyer zum "sicheren Surfen" hin, den seine Behörde veröffentlicht und offenbar im Dezember aktualisiert hat. Auf den Tweet folgte schnell Kritik, so hält etwa etwa der Informatikprofessor Sebastian Schinzel von der Fachhochschule Münster die Hinweise für vage und teilweise schlicht falsch.

Stellenmarkt
  1. Sika Holding CH AG & Co KG, Stuttgart
  2. Knappschaft Kliniken Service GmbH, Bottrop

Viele der in der Broschüre enthaltenen Tipps sind entweder nutzlos, unpraktikabel oder gefährlich. Bei vielen der Ratschläge fragt man sich, wie ein unbedarfter Nutzer sie praktisch umsetzen soll. So heißt es etwa: "Laden Sie nur Programme aus vertrauenswürdigen Quellen herunter" oder "Löschen Sie verdächtige E-Mails sofort und ohne sie zu öffnen". Woran man eine vertrauenswürdige Quelle erkennt oder was eine E-Mail verdächtig macht, erfährt man hingegen nicht.

Keine Passwörter in "freien" WLANs eingeben?

Eine große Bedrohung sind laut der Broschüre unsichere WLANs. Hier wird noch vor dem unsicheren WEP-Standard gewarnt, der inzwischen so alt ist, dass man ihm nur noch selten in der realen Welt begegnet. Auch der im Dokument als sicher beworbene Standard WPA2 hat bekanntlich seine Probleme, doch das hier nur am Rande.

Die Eingabe von Passwörtern in "freien WLANs" soll man laut der Broschüre vermeiden. Gemeint sind damit wohl unverschlüsselte WLANs, doch unbedarfte Leser dürften ein unverschlüsseltes, aber bezahltes WLAN im Hotel wohl kaum als "frei" ansehen.

Was die Broschüre komplett ignoriert: Im heutigen Internet sind die Risiken unverschlüsselter WLANs kaum noch relevant, da fast alle Webseiten HTTPS verwenden und man inzwischen von Browsern bei Passworteingaben, die unverschlüsselt verschickt werden, mehr als deutlich gewarnt wird. Gefährlich ist vor allem, die Passwörter auf der falschen Webseite einzugeben, doch davor schützt eine WLAN-Verschlüsselung nicht.

Von Password Stuffing nie gehört?

Apropos Passwörter: Hier wird die Broschüre richtiggehend gefährlich. Nicht nur enthält sie den obligatorischen und von den meisten IT-Sicherheitsexperten für kontraproduktiv gehaltenen Ratschlag, Passwörter regelmäßig zu ändern, und verweist auf die ebenfalls sehr fragwürdigen Ratschläge des BSI. Sie rät auch explizit davon ab, Passwörter und andere Zugangsdaten auf Geräten zu speichern. Im Klartext: Der Bundesdatenschutzbeauftragte rät von der Verwendung von Passwortmanagern ab.

Eines der größten Risiken in Sachen Passwörter ist heutzutage das sogenannte Password Stuffing. Dabei verwenden Kriminelle Zugangsdaten aus Datenlecks und versuchen, sich mit diesen bei anderen Services einzuloggen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ein sehr effektiver Schutz vor Password Stuffing ist es, einmalige Passwörter zu verwenden. Doch niemand kann sich Passwörter für Hunderte Services merken, daher ist es absolut sinnvoll und wünschenswert, wenn Passwörter auf Geräten gespeichert werden, entweder im Browser oder in einem speziellen Passwortmanager. Im Idealfall sollten sie dann durch ein starkes Masterpasswort geschützt werden.

Doch weder enthält die Broschüre einen Verweis auf Password Stuffing, noch gibt sie Nutzern den absolut grundlegenden Ratschlag mit, immer einmalige Passwörter zu verwenden.

Dokument wirkt aus der Zeit gefallen

Auch wenn das Dokument angeblich aktualisiert wurde - es wirkt insgesamt aus der Zeit gefallen. So listet die Broschüre als Bedrohungen - nicht unberechtigt - Phishing und Spyware auf, aber heute sehr gängige Phänomene wie das genannte Password Stuffing oder auch Ransomware finden keinerlei Erwähnung.

Die Broschüre ist nicht nur ärgerlich, weil sie schlechte Ratschläge gibt. Sie widerspricht auch heute gängigen und in der IT-Sicherheitsgemeinschaft weitgehend unumstrittenen Empfehlungen. Dass im Büro des Datenschutzbeauftragten niemand bei der Arbeit an der Broschüre "Stopp" gerufen hat, ist beunruhigend.

Denn Datenschutz ist zwar mehr als IT-Sicherheit - aber IT-Sicherheit gehört zum Datenschutz integral dazu. Wenn der Behörde des Bundesdatenschutzbeauftragten die Kompetenz hierfür fehlt, stimmt etwas nicht.

Nachtrag vom 5. Februar 2021, 20:17 Uhr

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat am Freitag abend auf Twitter angekündigt, auf die Kritik zu reagieren, die Broschüre vorerst vom Netz zu nehmen und zu überarbeiten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 9,29€
  2. (u. a. Code Vein - Deluxe Edition für 23,99€, Railway Empire - Complete Collection für 23...
  3. 16,49€
  4. 28,99€

gbomacfly 17. Feb 2021 / Themenstart

https://twitter.com/erzaehlmirnix/status/1360588619560452100

janoP 09. Feb 2021 / Themenstart

https://www.der-postillon.com/2014/04/sicherstes-passwort.html

treysis 09. Feb 2021 / Themenstart

Nichts anderes hab ich gemeint.

kjtten 09. Feb 2021 / Themenstart

Geht doch mit dem selben Prinzip, "einfach" die hashes aller möglichen Substrings mit...

Truster 09. Feb 2021 / Themenstart

nicht, wenn der Ziel-MTA gewisse Basics im vorhinein prüft und ein SPF ist heutzutage...

Kommentieren


Folgen Sie uns
       


Sony Playstation 5 - Fazit

Im Video zum Test der Playstation 5 zeigt Golem.de die Hardware und das Dashboard der Konsole von Sony.

Sony Playstation 5 - Fazit Video aufrufen
    •  /