Wenn man mich um meine fachliche Meinung bittet oder ein Interview haben möchte, bin ich in der Regel gerne bereit, ausführlich zu antworten. Logischerweise ist gerade in Zeitungen und Zeitschriften der Platz jedoch recht begrenzt – umso schöner, daß der Artikel “Abzocke mit Herz” in der aktuellen Ausgabe 8/2011 der Zeitschrift ÖKO-TEST sechs Seiten füllen durfte. Trotz dieser umfänglichen Berichterstattung über das Thema Scammer und Onlinebetrug sind mir noch ein paar Ergänzungen eingefallen, die im Kontext des Artikels für den einen oder anderen Leser interessant sein dürften. Wer es also ganz genau wissen will, findet hier nun die Detailinfos …
Das Passwort
Vorgeschlagen wird im Artikel ein “hartes Passwort”, ganz konkret mein Beispiel “mosWEI!32×12345”. Und schon kamen erste Fragen auf: Wie komme ich gerade auf diese kryptische Lösung? Und wie kann man sich sowas gut merken? Ganz einfach: stellen Sie sich eine Kurzgeschichte vor, die in Kurzform das Paßwort ergibt. Stellen Sie einen persönlichen Bezug her: mosWEI beinhaltet die von vielen Websites geforderte Groß- und Kleinschreibung und kann hier z.B. für Moselwein stehen. Das Ausrufezeichen steht für besonderes Gefallen (“!”) und 32x für 32 Weinlieferungen, die man bereits erhalten hat. 12345 ist dann die Postleitzahl des Weinortes o.ä. So baut man sich eine alltagstaugliche Eselsbrücke, die trotzdem harte Paßwörter zuläßt. Das hat man im Regelfall nach zwei-, dreimaliger Übung recht gut verinnerlicht. (Mehr dazu hier.)
Dabei ist es m.E. nicht entscheidend, daß das Schema bei jeder Paßwortvergabe ähnlich sein darf (hier: kleinGROSS!yyxyyyyy, wobei jedes y für eine Ziffer steht). Selbst wenn jemand dieses Schema “enttarnt”, werden eine Brute-Force-Attacke oder ähnliche Angriffe kaum Erfolg haben, denn das Paßwort ist sehr lang und immer noch variabel (“kryptisch”) genug. (Statt mosWEI kann man ja auch Kombinationen mit sieben oder mehr Buchstaben wählen.)
Der Lerneffekt ist hier nicht zu unterschätzen: wer sich einmal für ein solches Schema entschieden hat, wird hoffentlich nie wieder Passwörter wie “Passwort” oder “Schatzi” wählen. Und hat damit Digitalisierung wieder ein Stückchen besser verstanden.
Mailadressen
Es ist hilfreich, deutlich zu priorisieren: eine “gute” Mailadresse für sehr seriöse Zwecke (z.B. Bewerbungen, enge Freunde), eine “weniger gute” für alle halb-öffentlichen Dinge (z.B. Onlinehandel, Facebook) und eine anonyme/Fake-Adresse (“Wegwerfadresse”) für Dinge wie Newsletter oder Experimente (z.B. neue Webservices im Ausland). Wenn man hier nichts miteinander vermischt und konsequent die Priorisierung beachtet (was nach meiner Erfahrung alltagstauglich realisierbar ist), macht man es Angreifern schon sehr schwer. (“Wegwerfadressen” – auch mit Paßwortschutz – finden Sie beispielsweise hier.)
Ich nutze seit vielen Jahren für jeden (Online-)Händler oder Webserviceanbieter, der mir im Wesentlichen nur Mails zuschickt (und keine von mir erhält) eine eigene Mailadresse, idealerweise grob nach dem Schema firmenname@meinedomain.xy – so habe ich mit einer Domain sämtliche individuellen Firmennamen abgegrast. Das ist einfach, günstig (eine Domain kostet nur ein paar EUR pro Jahr), sicher (solide Domainanbieter gibt es zuhauf) und es hat sich bisher tadellos bewährt. (In diesem Zusammenhang wird es hier in Kürze die Geschichte eines großen Onlineservices geben, bei dem ich ein Datenleck vermutete, denn die einzigartige Mailadresse, die ich dort eingesetzt habe, wurde auch von Außenstehenden genutzt – ein Erraten der Mailadresse war aber nahezu ausgeschlossen, ebenso eine Mehrfachverwendung durch mich.)
Wenn man dann noch ein wenig variiert, z.B. amazon-mail@meinedomain.xy, dann kann auch niemand erraten, wie die Mailadresse heißt – und wird mit bösartigen Mails an die Adresse amazon@meinedomain.xy keinen Erfolg haben.
Ebenfalls ein positiver Nebeneffekt: aufgrund der Eindeutigkeit wird sich ein (deutscher) Onlinehändler hüten, die Adressen unberechtigt an Adresshändler weiterzugeben – man weiß ja sofort, welcher Händler das Leck war.
Zudem kann man auch nur die Adressen freischalten, die man tatsächlich nutzen will, so daß wildes Adressenraten mit verborgenem Empfänger (BCC) auch nicht funktionieren wird. Diese Mails gehen dann ins Leere. (Dazu einfach die jeweiligen gewünschten Adressen beim Domainanbieter definieren und die unerwünschten Möglichkeiten via Catchall-Funktion ausschalten.)
Das Ganze ist freilich etwas für ambitioniertere User, aber vergleichsweise sicher. Und die Einrichtung einer solchen Lösung dauert auch nicht besonders lange (ich würde eher in Minuten als in Stunden rechnen).
Wichtig: Domaininhaberdaten sind je nach Domain durchaus einsehbar (via whois), doch auch dies kann durch die Wahl der “richtigen” Domain oder eines Treuhänders vermieden werden. Dann ist man sogar mit einer eigenen Domain der Anonymität schon sehr, sehr nahe. Und hat so gleichzeitig eine sehr weitreichende Kontrolle. (Auch dies ist aber etwas für Fortgeschrittene. Erste Gehversuche mit Domains sollte man idealerweise nicht gerade mit Offshore-Anbietern, der eigenen Kreditkarte und wenig bis gar keinem Hintergrundwissen durchführen.)
Handy
Einfach eine kostenlose Prepaidkarte des eigenen Providers zusenden lassen, die eine kostenlose Rufumleitung auf die Postpaidkarte ermöglicht (möglich bei allen Tarifen, die kostenlose Telefonate ins eigene Netz ermöglichen). Dann hat man ebenfalls mit sehr geringem Aufwand viel Sicherheit und schmeißt die SIM-Karte im Falle eines Falles einfach weg oder – etwas weniger endgültig – setzt sie einfach nicht mehr ein. Ein altes Handy, welches wahrscheinlich die meisten Handynutzer irgendwo noch herumliegen haben, reicht für solche Zwecke aus (ansonsten gibts einfache Handys brandneu für ca. 30 EUR und gebraucht natürlich noch etwas günstiger). Wer also unbedingt telefonieren will, kann so sein Privathandy mit der bei Familie und Freunden bekannten Nummer schonen. Wer nur die Lösung mit der Rufumleitung nutzt, muß allerdings auf SMS verzichten. Diese werden grundsätzlich nicht weitergeleitet.
Disziplin
Damit die hier genannten Lösungsvorschläge erfolgreich angewandt werden können, muß man durchaus ein wenig diszipliniert und konsequent vorgehen. All die Wegwerfadressen, -Telefonnummern und Adressverschleierungen sind kein Betrug am Gegenüber und auch kein Ausdruck von paranoidem Mißtrauen, sondern einfach Vorsichtsmaßnahmen in der digitalen Sphäre. Wenn man in der analogen Welt jemanden kennenlernt, gibt man ja auch nicht gleich sämtliche intimen Details preis, die einen besonderen Reiz oder Wert für das Gegenüber haben könnten, sondern tastet sich (idealerweise) vorsichtig ran, baut Vertrauen auf – oder beläßt es vielleicht recht schnell bei einer gewissen Ebene der Vertraulichkeit. Solches Vertrauen kann man jedoch nur schlecht gegenüber digitalen Systemen aufbauen (und auch nur bedingt gegenüber Scammern – es sei denn, man möchte zum Gegenangriff starten, wovon ich an dieser Stelle nur abraten kann), so daß eine abgestufte Vorgehensweise (siehe E-Mails: Wegwerfadresse – halböffentliche Adresse – private Adresse) grundsätzlich sehr empfehlenswert ist. Im digitalen Raum fallen viele mit der Tür ins Haus: Einen Webshop bzw. Onlinehändler möchte ich aber gar nicht zum besten Freund haben, sondern nur soviele Daten preisgeben wie für den jeweiligen Zweck unbedingt notwendig (Stichwort Datensparsamkeit). Das kann man durch Priorisierung und Skalierung gut steuern. Wenn man sich konsequent daran hält.
Daten, die draußen sind, sind draußen
Grundsätzlich gilt: Daten, die einmal “draußen” sind, sind draußen. Im Vorfeld handeln ist also immer die deutlich bessere Variante. Ich bin entschiedener Gegner der bisherigen Vorschläge, die für ein “Vergessen im Netz” auf technischer Basis plädieren, weil dies erstens technisch (mit der bisherigen, milliardenfach verbreiteten Systemarchitektur) schlicht nicht möglich ist und zweitens von meines Erachtens viel bedeutenderen Fragen ablenkt, nur eine Scheinsicherheit darstellt und Userinnen und User in falscher Sicherheit wiegt. Doch das ist ein weites Feld und ein anderes Thema …
Haben Sie Fragen, Ideen, Fehler entdeckt? Schreiben Sie mir: stephan @ internetsoziologie.at