{"id":2126,"date":"2011-08-04T09:05:07","date_gmt":"2011-08-04T07:05:07","guid":{"rendered":"http:\/\/www.internetsoziologie.at\/de\/?p=2126"},"modified":"2011-08-03T21:28:26","modified_gmt":"2011-08-03T19:28:26","slug":"oko-test-erganzungen-zum-artikel-abzocke-mit-herz","status":"publish","type":"post","link":"https:\/\/www.internetsoziologie.at\/de\/2011\/08\/04\/oko-test-erganzungen-zum-artikel-abzocke-mit-herz\/","title":{"rendered":"\u00d6KO-TEST: Erg\u00e4nzungen zum Artikel “Abzocke mit Herz”"},"content":{"rendered":"

Wenn man mich um meine fachliche Meinung bittet oder ein Interview haben m\u00f6chte, bin ich in der Regel gerne bereit, ausf\u00fchrlich zu antworten. Logischerweise ist gerade in Zeitungen und Zeitschriften der Platz jedoch recht begrenzt – umso sch\u00f6ner, da\u00df der Artikel “Abzocke mit Herz” in der aktuellen Ausgabe 8\/2011 der Zeitschrift \u00d6KO-TEST<\/a> sechs Seiten f\u00fcllen durfte. Trotz dieser umf\u00e4nglichen Berichterstattung \u00fcber das Thema Scammer und Onlinebetrug sind mir noch ein paar Erg\u00e4nzungen eingefallen, die im Kontext des Artikels f\u00fcr den einen oder anderen Leser interessant sein d\u00fcrften. Wer es also ganz genau wissen will, findet hier nun die Detailinfos …
\n<\/p>\n

Das Passwort<\/em><\/p>\n

Vorgeschlagen wird im Artikel ein “hartes Passwort”, ganz konkret mein Beispiel “mosWEI!32×12345”. Und schon kamen erste Fragen auf: Wie komme ich gerade auf diese kryptische L\u00f6sung? Und wie kann man sich sowas gut merken? Ganz einfach: stellen Sie sich eine Kurzgeschichte vor, die in Kurzform das Pa\u00dfwort ergibt. Stellen Sie einen pers\u00f6nlichen Bezug her: mosWEI beinhaltet die von vielen Websites geforderte Gro\u00df- und Kleinschreibung und kann hier z.B. f\u00fcr Moselwein stehen. Das Ausrufezeichen steht f\u00fcr besonderes Gefallen (“!”) und 32x f\u00fcr 32 Weinlieferungen, die man bereits erhalten hat. 12345 ist dann die Postleitzahl des Weinortes o.\u00e4. So baut man sich eine alltagstaugliche Eselsbr\u00fccke, die trotzdem harte Pa\u00dfw\u00f6rter zul\u00e4\u00dft. Das hat man im Regelfall nach zwei-, dreimaliger \u00dcbung recht gut verinnerlicht. (Mehr dazu hier<\/a>.)<\/p>\n

Dabei ist es m.E. nicht entscheidend, da\u00df das Schema bei jeder Pa\u00dfwortvergabe \u00e4hnlich sein darf (hier: kleinGROSS!yyxyyyyy, wobei jedes y f\u00fcr eine Ziffer steht). Selbst wenn jemand dieses Schema “enttarnt”, werden eine Brute-Force-Attacke<\/a> oder \u00e4hnliche Angriffe kaum Erfolg haben, denn das Pa\u00dfwort ist sehr lang und immer noch variabel (“kryptisch”) genug. (Statt mosWEI kann man ja auch Kombinationen mit sieben oder mehr Buchstaben w\u00e4hlen.) <\/p>\n

Der Lerneffekt ist hier nicht zu untersch\u00e4tzen: wer sich einmal f\u00fcr ein solches Schema entschieden hat, wird hoffentlich nie wieder Passw\u00f6rter wie “Passwort” oder “Schatzi” w\u00e4hlen. Und hat damit Digitalisierung wieder ein St\u00fcckchen besser verstanden.<\/p>\n

Mailadressen<\/em><\/p>\n

Es ist hilfreich, deutlich zu priorisieren: eine “gute” Mailadresse f\u00fcr sehr seri\u00f6se Zwecke (z.B. Bewerbungen, enge Freunde), eine “weniger gute” f\u00fcr alle halb-\u00f6ffentlichen Dinge (z.B. Onlinehandel, Facebook) und eine anonyme\/Fake-Adresse (“Wegwerfadresse”) f\u00fcr Dinge wie Newsletter oder Experimente (z.B. neue Webservices im Ausland). Wenn man hier nichts miteinander vermischt und konsequent die Priorisierung beachtet (was nach meiner Erfahrung alltagstauglich realisierbar ist), macht man es Angreifern schon sehr schwer. (“Wegwerfadressen” – auch mit Pa\u00dfwortschutz – finden Sie beispielsweise hier<\/a>.)<\/p>\n

Ich nutze seit vielen Jahren f\u00fcr jeden (Online-)H\u00e4ndler oder Webserviceanbieter, der mir im Wesentlichen nur Mails zuschickt (und keine von mir erh\u00e4lt) eine eigene Mailadresse, idealerweise grob nach dem Schema firmenname@meinedomain.xy<\/em> – so habe ich mit einer Domain s\u00e4mtliche individuellen Firmennamen abgegrast. Das ist einfach, g\u00fcnstig (eine Domain kostet nur ein paar EUR pro Jahr), sicher (solide Domainanbieter gibt es zuhauf) und es hat sich bisher tadellos bew\u00e4hrt. (In diesem Zusammenhang wird es hier in K\u00fcrze die Geschichte eines gro\u00dfen Onlineservices geben, bei dem ich ein Datenleck vermutete, denn die einzigartige Mailadresse, die ich dort eingesetzt habe, wurde auch von Au\u00dfenstehenden genutzt – ein Erraten der Mailadresse war aber nahezu ausgeschlossen, ebenso eine Mehrfachverwendung durch mich.)<\/p>\n

Wenn man dann noch ein wenig variiert, z.B. amazon-mail@meinedomain.xy<\/em>, dann kann auch niemand erraten, wie die Mailadresse hei\u00dft – und wird mit b\u00f6sartigen Mails an die Adresse amazon@meinedomain.xy<\/em> keinen Erfolg haben.<\/p>\n

Ebenfalls ein positiver Nebeneffekt: aufgrund der Eindeutigkeit wird sich ein (deutscher) Onlineh\u00e4ndler h\u00fcten, die Adressen unberechtigt an Adressh\u00e4ndler weiterzugeben – man wei\u00df ja sofort, welcher H\u00e4ndler das Leck war.<\/p>\n

Zudem kann man auch nur die Adressen freischalten, die man tats\u00e4chlich nutzen will, so da\u00df wildes Adressenraten mit verborgenem Empf\u00e4nger (BCC<\/a>) auch nicht funktionieren wird. Diese Mails gehen dann ins Leere. (Dazu einfach die jeweiligen gew\u00fcnschten Adressen beim Domainanbieter definieren und die unerw\u00fcnschten M\u00f6glichkeiten via Catchall-Funktion<\/a> ausschalten.)<\/p>\n

Das Ganze ist freilich etwas f\u00fcr ambitioniertere User, aber vergleichsweise sicher. Und die Einrichtung einer solchen L\u00f6sung dauert auch nicht besonders lange (ich w\u00fcrde eher in Minuten als in Stunden rechnen).<\/p>\n

Wichtig: Domaininhaberdaten sind je nach Domain durchaus einsehbar (via whois<\/a>), doch auch dies kann durch die Wahl der “richtigen” Domain oder eines Treuh\u00e4nders vermieden werden. Dann ist man sogar mit einer eigenen Domain der Anonymit\u00e4t schon sehr, sehr nahe. Und hat so gleichzeitig eine sehr weitreichende Kontrolle. (Auch dies ist aber etwas f\u00fcr Fortgeschrittene. Erste Gehversuche mit Domains sollte man idealerweise nicht gerade mit Offshore-Anbietern, der eigenen Kreditkarte und wenig bis gar keinem Hintergrundwissen durchf\u00fchren.)<\/p>\n

Handy<\/em><\/p>\n

Einfach eine kostenlose Prepaidkarte des eigenen Providers zusenden lassen, die eine kostenlose Rufumleitung auf die Postpaidkarte erm\u00f6glicht (m\u00f6glich bei allen Tarifen, die kostenlose Telefonate ins eigene Netz erm\u00f6glichen). Dann hat man ebenfalls mit sehr geringem Aufwand viel Sicherheit und schmei\u00dft die SIM-Karte im Falle eines Falles einfach weg oder – etwas weniger endg\u00fcltig – setzt sie einfach nicht mehr ein. Ein altes Handy, welches wahrscheinlich die meisten Handynutzer irgendwo noch herumliegen haben, reicht f\u00fcr solche Zwecke aus (ansonsten gibts einfache Handys brandneu f\u00fcr ca. 30 EUR und gebraucht nat\u00fcrlich noch etwas g\u00fcnstiger). Wer also unbedingt telefonieren will, kann so sein Privathandy mit der bei Familie und Freunden bekannten Nummer schonen. Wer nur die L\u00f6sung mit der Rufumleitung nutzt, mu\u00df allerdings auf SMS verzichten. Diese werden grunds\u00e4tzlich nicht weitergeleitet.<\/p>\n

Disziplin<\/em><\/p>\n

Damit die hier genannten L\u00f6sungsvorschl\u00e4ge erfolgreich angewandt werden k\u00f6nnen, mu\u00df man durchaus ein wenig diszipliniert und konsequent vorgehen. All die Wegwerfadressen, -Telefonnummern und Adressverschleierungen sind kein Betrug am Gegen\u00fcber und auch kein Ausdruck von paranoidem Mi\u00dftrauen, sondern einfach Vorsichtsma\u00dfnahmen in der digitalen Sph\u00e4re. Wenn man in der analogen Welt jemanden kennenlernt, gibt man ja auch nicht gleich s\u00e4mtliche intimen Details preis, die einen besonderen Reiz oder Wert f\u00fcr das Gegen\u00fcber haben k\u00f6nnten, sondern tastet sich (idealerweise) vorsichtig ran, baut Vertrauen auf – oder bel\u00e4\u00dft es vielleicht recht schnell bei einer gewissen Ebene der Vertraulichkeit. Solches Vertrauen kann man jedoch nur schlecht gegen\u00fcber digitalen Systemen aufbauen (und auch nur bedingt gegen\u00fcber Scammern – es sei denn, man m\u00f6chte zum Gegenangriff starten<\/a>, wovon ich an dieser Stelle nur abraten kann), so da\u00df eine abgestufte Vorgehensweise (siehe E-Mails: Wegwerfadresse – halb\u00f6ffentliche Adresse – private Adresse) grunds\u00e4tzlich sehr empfehlenswert ist. Im digitalen Raum fallen viele mit der T\u00fcr ins Haus: Einen Webshop bzw. Onlineh\u00e4ndler m\u00f6chte ich aber gar nicht zum besten Freund haben, sondern nur soviele Daten preisgeben wie f\u00fcr den jeweiligen Zweck unbedingt notwendig (Stichwort Datensparsamkeit<\/a>). Das kann man durch Priorisierung und Skalierung gut steuern. Wenn man sich konsequent daran h\u00e4lt.<\/p>\n

Daten, die drau\u00dfen sind, sind drau\u00dfen<\/em><\/p>\n

Grunds\u00e4tzlich gilt: Daten, die einmal “drau\u00dfen” sind, sind drau\u00dfen. Im Vorfeld handeln ist also immer<\/em> die deutlich bessere Variante. Ich bin entschiedener Gegner der bisherigen Vorschl\u00e4ge, die f\u00fcr ein “Vergessen im Netz” auf technischer Basis pl\u00e4dieren, weil dies erstens technisch (mit der bisherigen, milliardenfach verbreiteten Systemarchitektur) schlicht nicht m\u00f6glich ist und zweitens von meines Erachtens viel bedeutenderen Fragen ablenkt, nur eine Scheinsicherheit darstellt und Userinnen und User in falscher Sicherheit wiegt. Doch das ist ein weites Feld und ein anderes Thema …<\/p>\n

Haben Sie Fragen, Ideen, Fehler entdeckt? Schreiben Sie mir: stephan @ internetsoziologie.at<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"

Wenn man mich um meine fachliche Meinung bittet oder ein Interview haben m\u00f6chte, bin ich in der Regel gerne bereit, ausf\u00fchrlich zu antworten. Logischerweise ist gerade in Zeitungen und Zeitschriften … <\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-2126","post","type-post","status-publish","format-standard","hentry","category-allgemein"],"_links":{"self":[{"href":"https:\/\/www.internetsoziologie.at\/de\/wp-json\/wp\/v2\/posts\/2126","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.internetsoziologie.at\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.internetsoziologie.at\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.internetsoziologie.at\/de\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.internetsoziologie.at\/de\/wp-json\/wp\/v2\/comments?post=2126"}],"version-history":[{"count":0,"href":"https:\/\/www.internetsoziologie.at\/de\/wp-json\/wp\/v2\/posts\/2126\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.internetsoziologie.at\/de\/wp-json\/wp\/v2\/media?parent=2126"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.internetsoziologie.at\/de\/wp-json\/wp\/v2\/categories?post=2126"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.internetsoziologie.at\/de\/wp-json\/wp\/v2\/tags?post=2126"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}