Schlechte Datenschutz-Tipps: "Löschen Sie verdächtige Mails sofort"

Veraltet, wenig durchdacht und teilweise schädlich: Der Bundesbeauftragte für den Datenschutz gibt beunruhigend schlechte Ratschläge zum sicheren Surfen.

Ein IMHO von veröffentlicht am
Eine Broschüre des Bundesbeauftragten für Datenschutz und Informationsfreiheit zum "sicheren Surfen" enthält veraltete und gefährliche Tipps.
Eine Broschüre des Bundesbeauftragten für Datenschutz und Informationsfreiheit zum "sicheren Surfen" enthält veraltete und gefährliche Tipps. (Bild: BfDI)

Das ging gehörig schief: Der Bundesdatenschutzbeauftragte Ulrich Kelber weist auf Twitter auf einen Flyer zum "sicheren Surfen" hin, den seine Behörde veröffentlicht und offenbar im Dezember aktualisiert hat. Auf den Tweet folgte schnell Kritik, so hält etwa etwa der Informatikprofessor Sebastian Schinzel von der Fachhochschule Münster die Hinweise für vage und teilweise schlicht falsch.

Stellenmarkt
  1. IT-Systemadministrator Production (m/w/d)
    cadooz rewards GmbH, München
  2. Manager Informationssicherheit (m/w/d)
    Helios IT Service GmbH, Berlin-Buch
Detailsuche

Viele der in der Broschüre enthaltenen Tipps sind entweder nutzlos, unpraktikabel oder gefährlich. Bei vielen der Ratschläge fragt man sich, wie ein unbedarfter Nutzer sie praktisch umsetzen soll. So heißt es etwa: "Laden Sie nur Programme aus vertrauenswürdigen Quellen herunter" oder "Löschen Sie verdächtige E-Mails sofort und ohne sie zu öffnen". Woran man eine vertrauenswürdige Quelle erkennt oder was eine E-Mail verdächtig macht, erfährt man hingegen nicht.

Keine Passwörter in "freien" WLANs eingeben?

Eine große Bedrohung sind laut der Broschüre unsichere WLANs. Hier wird noch vor dem unsicheren WEP-Standard gewarnt, der inzwischen so alt ist, dass man ihm nur noch selten in der realen Welt begegnet. Auch der im Dokument als sicher beworbene Standard WPA2 hat bekanntlich seine Probleme, doch das hier nur am Rande.

Die Eingabe von Passwörtern in "freien WLANs" soll man laut der Broschüre vermeiden. Gemeint sind damit wohl unverschlüsselte WLANs, doch unbedarfte Leser dürften ein unverschlüsseltes, aber bezahltes WLAN im Hotel wohl kaum als "frei" ansehen.

Golem Akademie
  1. Cloud Computing mit Amazon Web Services (AWS): virtueller Drei-Tage-Workshop
    14.–16. Februar 2022, virtuell
  2. IT-Grundschutz-Praktiker mit Zertifikat: Drei-Tage-Workshop
    15.–17. November 2021, Virtuell
Weitere IT-Trainings

Was die Broschüre komplett ignoriert: Im heutigen Internet sind die Risiken unverschlüsselter WLANs kaum noch relevant, da fast alle Webseiten HTTPS verwenden und man inzwischen von Browsern bei Passworteingaben, die unverschlüsselt verschickt werden, mehr als deutlich gewarnt wird. Gefährlich ist vor allem, die Passwörter auf der falschen Webseite einzugeben, doch davor schützt eine WLAN-Verschlüsselung nicht.

Von Password Stuffing nie gehört?

Apropos Passwörter: Hier wird die Broschüre richtiggehend gefährlich. Nicht nur enthält sie den obligatorischen und von den meisten IT-Sicherheitsexperten für kontraproduktiv gehaltenen Ratschlag, Passwörter regelmäßig zu ändern, und verweist auf die ebenfalls sehr fragwürdigen Ratschläge des BSI. Sie rät auch explizit davon ab, Passwörter und andere Zugangsdaten auf Geräten zu speichern. Im Klartext: Der Bundesdatenschutzbeauftragte rät von der Verwendung von Passwortmanagern ab.

Eines der größten Risiken in Sachen Passwörter ist heutzutage das sogenannte Password Stuffing. Dabei verwenden Kriminelle Zugangsdaten aus Datenlecks und versuchen, sich mit diesen bei anderen Services einzuloggen.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ein sehr effektiver Schutz vor Password Stuffing ist es, einmalige Passwörter zu verwenden. Doch niemand kann sich Passwörter für Hunderte Services merken, daher ist es absolut sinnvoll und wünschenswert, wenn Passwörter auf Geräten gespeichert werden, entweder im Browser oder in einem speziellen Passwortmanager. Im Idealfall sollten sie dann durch ein starkes Masterpasswort geschützt werden.

Doch weder enthält die Broschüre einen Verweis auf Password Stuffing, noch gibt sie Nutzern den absolut grundlegenden Ratschlag mit, immer einmalige Passwörter zu verwenden.

Dokument wirkt aus der Zeit gefallen

Auch wenn das Dokument angeblich aktualisiert wurde - es wirkt insgesamt aus der Zeit gefallen. So listet die Broschüre als Bedrohungen - nicht unberechtigt - Phishing und Spyware auf, aber heute sehr gängige Phänomene wie das genannte Password Stuffing oder auch Ransomware finden keinerlei Erwähnung.

Die Broschüre ist nicht nur ärgerlich, weil sie schlechte Ratschläge gibt. Sie widerspricht auch heute gängigen und in der IT-Sicherheitsgemeinschaft weitgehend unumstrittenen Empfehlungen. Dass im Büro des Datenschutzbeauftragten niemand bei der Arbeit an der Broschüre "Stopp" gerufen hat, ist beunruhigend.

Denn Datenschutz ist zwar mehr als IT-Sicherheit - aber IT-Sicherheit gehört zum Datenschutz integral dazu. Wenn der Behörde des Bundesdatenschutzbeauftragten die Kompetenz hierfür fehlt, stimmt etwas nicht.

Nachtrag vom 5. Februar 2021, 20:17 Uhr

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat am Freitag abend auf Twitter angekündigt, auf die Kritik zu reagieren, die Broschüre vorerst vom Netz zu nehmen und zu überarbeiten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


gbomacfly 17. Feb 2021

https://twitter.com/erzaehlmirnix/status/1360588619560452100

janoP 09. Feb 2021

https://www.der-postillon.com/2014/04/sicherstes-passwort.html

treysis 09. Feb 2021

Nichts anderes hab ich gemeint.

kjtten 09. Feb 2021

Geht doch mit dem selben Prinzip, "einfach" die hashes aller möglichen Substrings mit...

Truster 09. Feb 2021

nicht, wenn der Ziel-MTA gewisse Basics im vorhinein prüft und ein SPF ist heutzutage...



Aktuell auf der Startseite von Golem.de
Rakuten
"Wir bauen 4. deutsches Netz mit x86-Standard-Hardware"

Billige Hardware soll 1&1 United Internet Kosten sparen. Doch in Japan explodieren bei Rakuten die Ausgaben.

Rakuten: Wir bauen 4. deutsches Netz mit x86-Standard-Hardware
Artikel
  1. Alder Lake: Intel will mit 241 Watt an die Spitze
    Alder Lake
    Intel will mit 241 Watt an die Spitze

    Kurz vor dem Launch zeigt Intel eigene Benchmarks zu Alder Lake, außerdem gibt es Details zur Kühlung und zum Denuvo-DRM.
    Ein Bericht von Marc Sauter

  2. Mäuse, Tastaturen, Headsets: Logitech hat mit Lieferengpässen zu kämpfen
    Mäuse, Tastaturen, Headsets
    Logitech hat mit Lieferengpässen zu kämpfen

    Die große Nachfrage während der Coronapandemie hat Logitech 82 Prozent mehr Umsatz beschert. Allerdings kommt die Lieferung nicht hinterher.

  3. Impfnachweise: Covid-Zertifikat für Adolf Hitler aufgetaucht
    Impfnachweise
    Covid-Zertifikat für Adolf Hitler aufgetaucht

    Im Internet sind gefälschte, aber korrekt signierte QR-Codes mit Covid-Impfnachweisen aufgetaucht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Samsung 4K-Monitore & TVs günstiger (u. a. 50" QLED 2021 749€) • Seagate Exos 18TB 319€ • Alternate-Deals (u. a. Asus B550-Plus Mainboard 118€) • Neues Xiaomi 11T 256GB 549,90€ • Ergotron LX Desk Mount Monitorhalterung 124,90€ • Speicherprodukte von Sandisk & WD [Werbung]
    •  /