Authentifizierungs-Chaos

Im Moment sieht es so aus als würden die meisten IT-Systeme mit 0-Aufwand zu hacken sein und Zugangsdaten bzw. persönliche Informationen von nahezu jeder Person für ganz kleines Geld in öffentlichen Marktplätzen verkauft. Datenschutz bzw. Datensicherheit war gestern, auch wenn „an der Oberfläche“ (also in Medien und Politik sowie der Wirtschaft) totale Hektik und Aktionismus hinsichtlich der Themen abgebrannt wird. Ein Ausfall der bargeldlosen Bezahlsysteme ist sowieso nur noch ein „Running gag“, bei dem bloss die Frage offen ist, wann für Hacker mal wieder Zahltag sein soll? Wie oft melkt man das System, ohne dass die Gemolkenen die Lust an der Sache verlieren und wieder zu Bargeld greifen? Das Verschlüsseln oder Blockieren von IT-Systemen zwecks Gelderwerb über die anschließende Freigabe ist auch ein recht einfaches Geschäft, wie mir scheint.

Aber eigentlich brennt mir eine andere Sache unter den Nägeln – mein SmartPhone hat einen Riss im Display und ich muss sicherstellen, dass ein endgültiger Ausfall keine zu unangenehmen Konsequenzen haben wird. Denn leider werden immer mehr Aktionen auf SmartPhones bzw. Tablets verlagert.

Meine Passworte habe ich mittlerweile gut in einem Passwortsafe gespeichert und heute den auch auf alle mobilen Geräte sowie meine PCs und das NAS (was aber sowieso schon der Fall war) auf dem aktuellen Stand synchronisiert. Und ich habe jetzt Firefox auf allen mobilen Geräten installiert und alle meine Geräte über das Firefox-Konto synchronisiert. Das ist sicher, bequem und vor allen Dingen kann der Ausfall eines Geräts keine wichtigen Informationen löschen. Auch wenn ich in Firefox keine wirklich sensiblen Zugangsdaten speichere – Zugangsdaten für Webseiten auf dem Niveau von (a)sozialen Netzwerken, meinen Blogs etc. speichere ich da schon. Diese Daten sollten überall verfügbar sein – und natürlich dennoch verschlüsselt und sicher.

Dabei käme ich bei Webseitenzugriffen und der Eingabe von Zugangsdaten mit PCs aus, aber das SmartPhone ist für gewisse Aktionen wie der zunehmenden 2-Wege-Authentifizierung notwendig. Dem kann man sich einfach nicht entziehen. Alles soll sicherer werden (und wird scheinbar immer unsicherer) und bequemer (und wird einfach nur umständlicher).

Dem ganzen Prozess begleitet ein nicht mehr zu durchschauender Wust an propietären Zugangsmechanismen von Banken und Versicherungen, geschlossenen Webseiten etc.

Gerade bei Banken und Versicherungen ist die Situation einfach nur grauenvoll. Ich habe das Gefühl, dass jede Bank ihr eigenes System entwickeln und dann auch noch mehrere Verfahren anbieten muss, die zudem laufend geändert/aktualisiert werden. Wenn man nicht mehrere Lesegeräte kaufen will (die dann entweder nicht zu finden sind, man sowieso nie dabei hat oder wo die Batterie im unpassenden Zeitpunkt leer ist), kommt man kaum um die Installation von mehreren Apps herum. Was wieder diese elende Verbindung zu SmartPhone/Tablet erzwingt. Die Apps funktionieren dann aber teils links herum, teils rechts herum und von heute auf morgen nicht mehr wie gewohnt. Jede App für sich ist dabei vielleicht noch ganz brauchbar, aber diese proprietären Eigenheiten jeder App und die Sonderregeln von Banken etc. sind einfach nicht tolerierbar. Warum nicht ein einheitliches System bei allen Banken bzw. Versicherungen? Letztendlich muss man wohl davon Abstand nehmen, mehrere Bankkonten zu haben.

Aber vor allen Dingen hat man eben ein echtes Problem, wenn das SmartPhone/Tablet der Wahl

  • defekt ist,
  • verlegt wurde oder sonst nicht greifbar ist,
  • keinen Akku hat,
  • verloren geht oder
  • auch nur ein neues Gerät angeschafft werden soll.

Denn leider ist es oft nicht so einfach, identische Zugänge mit mehreren Geräten einzurichten. Manchmal geht es, manchmal sogar recht einfach, meist aber ist aus mühevoll oder wird gar von den Anbietern unterbunden. Nach dem Motto

„Neues Gerät oder andere App -> alte Zugangsmöglichkeiten werden gelöscht!“.

Was denken die sich denn? Kommen die nicht auf die Idee, dass man Backup-Zugangsmöglichkeiten unbedingt braucht, um bei Verlust des SmarptPhone/Tablets wegen der obigen Situationen nicht von wichtigen Aktionen getrennt zu werden? Selbst wenn man per Webseite oder Hotline im Katastrophenfall den Zugang irgendwie freibekommt. Das ist aufwändig und dauert garantiert zu lange.

Ich habe nun heute mit viel Aufwand hinbekommen, dass ich zu meinen Bankkonten mindestens ein oder zwei Backup-Geräte registrieren konnte. Aber auch nicht überall.

Und dann bleibt die leidige Tendenz zu der 2-Wege-Authentifizierung bei vielen Webseiten. Auch da ist es nicht so einfach, eine halbwegs taugliche App zu finden und vor allen Dingen redundante Bestätigungsmöglichkeiten einzurichten. Mit dem Authentificator von Microsoft habe ich es bei ein paar wichtigen Zugängen hinbekommen und Authy bei zwei anderen. Aber dummerweise bekomme ich die beiden aber nicht in eine App, denn ich hätte gerne nur eine App und die auf allen meinen mobilen Geräten mit identischer Funktionalität. Aber zumindest konnte ich den Mist schon mal auf zwei Apps zusammenführen und die über mehrere Geräte synchron bekommen. Das sollte jetzt halbwegs sicher sein, wenn mir mein SmartPhone wirklich abraucht.

Die ganze Aktion hat dazu geführt, dass ich mal wieder Apps entmistet habe und auch im Browser Erweiterungen gelöscht, die einfach unnötig sind. Man installiert über die Zeit einfach zuviel Zeug, was irgendwann nicht nur Ressourcen belegt, sondern auch im Weg ist und die Übersichtlichkeit verhindert.

Justizministerium fordert das Ende der Datensicherheit

Ich hatte die Meldungen erst für Fake-News gehalten -„Justizministerium: WhatsApp, Gmail & Co. sollen Passwörter herausgeben müssen„. Das klingt so abstrus, dass es einfach nicht wahr sein kann. Dachte ich.

Aber Golem oder Heise und noch andere Quellen melden übereinstimmend, dass die vollkomme irre und überzogene NetzDG jetzt sogar noch weiter verschärft werden soll. Jeder (Zitat) „Dorfpolizist“ soll demnächst die Herausgabe von Zugangsdaten von allen denkbaren geschützten Datenstrukturen verlangen können, ohne das dies ein Richter genehmigen muss oder der Ausspionierte davon Kenntnis bekommt.

Die alten Stasi-Genossen werden – wenn sie denn noch am Leben sind – vermutlich vor Neid einen Herzschlag erleiden. Was da unter dem Feigenblatt der angeblichen „Bekämpfung des Rechtsextremismus und der Hasskriminalität“ vorbereitet wird, steht in der Tradition von Stasi und noch schlimmeren Organisationen der NS-Zeit. Ein üble Schande für Freiheit und Justiz.Wenn das wirklich durchkommt, sind wir kurz vor einer neuen Diktatur mit Überwachungsstaat. Ich kann es einfach nicht fassen, dass jetzt SPD-Leute das Geschäft der AFD besorgen. Wenn auch nur aus Dummheit.

Anscheinend bedarf es doch etwas Aufwand, damit Smartspeaker zu perfekten Wanzen werden

Bisher bin davon ausgegangen, dass Smartspeaker wie Amazon Echo oder Google Home per Defintion Wanzen sind, die vollkommen unkontrolliert ihre Nutzer und deren Umgebung ausspionieren. Mit dem Einverständnis der Anwender, denn sonst hätten die diese Selbstschussspionagegeräte nicht gekauft. Oder mit dem Unverständnis der Anwender – wie mal will.

Aber nach dem Artikel muss man die integrierten Sicherheitslücken der Systeme und eine gewisse Sorglosigkeit der Anwender erst ausnutzen, damit diese Spionage funktioniert. „Sicherheitsforscher“ haben Skills bzw. Actions (im Grunde Apps) entwickelt, die erst einmal auf den Geräten installiert werden müssen. Aber dann kann man damit die Wanzen unkontrolliert lauschen lassen. Also über das permanente, unkontrollierbare Lauschen von Amazon oder Google selbst hinaus, meine ich.