Datenschutz-Basishygiene

Ein neuer Facebook-Hack macht die Runde. Der Clou dabei: Da die unbekannten Angreifer Zugriffs-Tokens erbeutet haben, könnten sie sich prinzipiell bei allen Diensten einloggen, bei denen sich ein Nutzer per Facebook-Login angemeldet hat. Das reicht von Facebook-eigenen Diensten wie Instagram bis zu der Website der Lokalzeitung. Online-Shops, Dating-Apps, Messenger.

In meinem Fall sind das Null Dienste — zumindest wenn ich nicht grob irregeführt wurde. Denn ich habe mir vor vielen Jahren eine Standard-Routine angewöhnt. Wann immer ich einen neuen Dienst ausprobieren will, ignoriere ich die bequemen Buttons „Log in with Facebook“, „Log in with Google“, „Log in with Twitter“.

So viele E-Mail-Adressen

Stattdessen nutze ich das Einloggen per E-Mail-Adresse. Eigentlich jeder Dienst bietet die Option an — manchmal muss man etwas weiterscrollen, um den alternativen Login-Modus zu finden. Meist reicht es aus, eine E-Mail-Adresse und ein Passwort einzugeben — und man ist drin. Oft muss man seinen Account per Linkklick noch bestätigen, aber so viel Arbeit ist das nun auch nicht.

Meine Basis-Hygiene geht jedoch ein wenig weiter. Ich habe ein Webhosting-Paket, das mir erlaubt quasi unbegrenzt E-Mail-Adressen anzulegen. Wann immer ich einen neuen Dienst brauche, kann ich mir in einer bis zwei Minuten eine neue E-Mail-Adresse anlegen, die dann automatisch zu einer meiner anderen Adressen umgeleitet wird. Ich brauche dazu nicht mal ein neues Passwort.

Warum mache ich das? Nun — eine der beliebtesten Angriffsvarianten ist: Man sucht sich eine bereits gehackte Kundendatenbank und versucht dann mit den Zugangsdaten Zugriff auf andere Dienste zu nehmen. Menschen sind faul und sie können sich nicht unbegrenzt Passworte merken. Zudem ist es eine simple Anti-Phishing-Massnahme. Wenn ich die Nachricht bekomme, dass ich doch dringend mein Passwort für Dienst XYZ ändern soll, dann weiß ich direkt, dass die Nachricht an die falsche Adresse ging.

No Match

Zum Zweiten: Neben dem Geburtsdatum dient die E-Mail-Adresse als Match-Kriterium, um Daten zwischen unterschiedlichen Diensten auszutauschen. Wenn ich zum Beispiel etwas bei einem Versandhändler bestelle, kann er meine Adresse nehmen, um mir auf mich personalisierte Werbung bei Facebook auszuspielen.

Gleichzeitig kann aber auch ein Angreifer diese Daten nutzen. Stellt euch vor, dass alle Dienste, die ihr in den vergangen 15 Jahren genutzt habt und die gehackt wurden, Eure Daten in eine kollektive Datenbank zusammengeworfen haben, die unentwegt von 17jährigen durchforstet wird. Ziemlich beunruhigend, nicht?

Wozu denn anders?

Ich bin nicht paranoid. Glaube ich. Ich schreibe seit über 15 Jahren zu IT-Themen und mache mir nicht allzu viele Illusionen darüber, wie sicher meine Daten sind. Die oben beschriebene Routine habe ich mir nicht angewöhnt, weil ich Facebook und Google für die absolut bösesten Konzerne aller Zeiten halte. Sondern weil ich schlicht keinen Sinn daran sah, meine Login-Daten zu kombinieren.

Wenn ich mir ansehe, welche Dinge mir Google empfiehlt, trotz extensiver Daten aus meinem Google-Account – no, thanks. Netflix wird auch nicht besser, wenn man es mit Facebook kombiniert. Weniger Personalisierung ist zuweilen doch mehr. Und will ich wirklich jedem dauernd mitteilen, welche Musik ich höre?

Die oben beschriebenen Maßnahmen sind auch keine Anti-Hack-Garantie. Mit genug Hirnschmalz kann man wahrscheinlich ein enormes Datenprofil über mich zusammenführen. Aber wer macht sich schon die Arbeit?

Der Preis auf meiner Seite ist gering, aber er existiert. Zum einen ist es ein wenig lästig. Statt den neusten Bilder-/Musik-/Messenger-Service direkt auszuprobieren, sitze ich viele Trends einfach aus. Facebook hat mein Geburtsdatum nicht, also gratulieren mir jedes Jahr sehr wenige Leute zum Geburtstag. Ich bin nicht auf Tinder. Ich kann damit leben.