Letzte Woche habe ich über den Skandal mit den Promi- und Politikerdaten geschrieben. Ich meinte, dass es nichts bringt, jetzt „die Anbieter von Onlineplattformen zu erhöhten Sicherheitsstandards zu zwingen, wenn die Nutzer den angebotenen „Sicherheitsgurt“ nicht anlegen“. Ein Leser ist anderer Meinung und hat mir geschrieben. Er findet, dass z.B. die Zwei-Faktor-Authentisierung (2FA) Pflicht werden sollte, denn dann könne ein Skriptkiddie mit einem ergaunerten Passwort nichts anfangen. Ich vermute, der Leser meint damit jede Technologie, die unter Beachtung der Verhältnismäßigkeit, Laien zu sicherem Handeln zwingt. Grundsätzlich begrüße ich natürlich jede Unterstützung seitens der Anbieter. Ich bin nur nicht sicher, ob Zwang das richtige Mittel der Wahl ist. Aber … darüber kann man sicher ausgiebig diskutieren.
Der Leser hat bei seinem Kommentar aber noch einen weiteren Begriff in den Ring geworfen: Poka Yoke. Das ist japanisch. Poka ist die Bezeichnung für einen unüberlegten, dummen Zug im Brettspiel Go. Yoke bedeutet „vermeiden“. Poka Yoke steht also für Vorkehrungen, durch die unglückliche Fehler vermieden werden. Poka Yoke ist z.B. die abgesägte Ecke einer SIM-Karte, die man dadurch niemals falsch einstecken kann. Poka Yoke verhindert, dass man seine EC-Karte im Automaten vergisst, weil der Automat das sehnsüchtig erwartete Geld erst dann ausspuckt, wenn man die Karte schon abgezogen hat. Kurz gesagt: Poka Yoke minimiert Fehler durch Nutzer.
Ehrlich gesagt, habe ich Poka Yoke noch nie auf Computer übertragen. Aber wenn man darüber nachdenkt, dann findet man es natürlich auch in der IT. Früher zum Beispiel, als ein Farbsystem bei den PS/2 Steckern ein Verwechseln von Maus (grün) und Tastatur (violett) verhinderte. Auch der USB-Stecker ist Poka Yoke und hat dadurch wahrscheinlich Trilliarden Anrufe bei Hotlines verhindert.
Leider fällt mir kein Poka Yoke Farbsystem ein, mit dem systemübergreifend die mehrfache Verwendung von Passwörtern unterbunden wird. Und auch kein Poka Yoke, das verhindert, dass Bundestagsabgeordnete hoch sensible Daten, die sie teilweise erpressbar machen, in schlecht geschützten privaten Mailaccounts ablegen. Ich komme auch auf kein Poka Yoke, das verhindert, dass Menschen 1234 als PIN einstellen. Obwohl – auf einem Smartphone kann man schwache PINs sehr wohl ablehnen. Das lässt sich programmieren. An einem analogen Fahrradschloss geht das hingegen nicht. (Seufz) … ach war das noch eine schöne Zeit, als die einzige „PIN“, die man sich merken musste, die vom Zahlenschloss am Bonanza-Rad war.
Das Einrichten einer 2FA für meinen Online-Händler, Bezahldienst und Mailpostfach war für mich in wenigen Minuten erledigt. Die zusätzliche Sicherheit bietet natürlich keinen perfekten Schutz, aber immerhin eine weitere Hürde für Angreifer. Vielleicht ist Zwang keine gute Idee, gleichzeitig könnte man die Nutzer mehr auf die Möglichkeiten der 2FA hinweisen und so anschupsten, sich besser zu schützen.
Wichtig fände ich, dass man sich in der Gesellschaft und Politik überlebt, wie man den Opfern von Opfern von Datendiebstahl helfen kann. Durch die Telematik in der gesetzlichen Krankenversicherung, die nun mit Zwang eingeführt wird, kommt es früher oder später zu Datenlecks und je nach Erkrankung werden die Opfer benachteiligt oder diskriminiert. Derzeit stehen die Opfer weitgehend alleine da.
2FA ist gut und schön, aber im Alltag doch etwas umständlich: Ich muss ständig mein Smartphone, Tokengenerator o.ä. dabei haben. Das ist schon lästig.
Ich betreue einen Schulserver mit div. Software (u.a. Nextcloud und Roundcube-Webmail). Dort sind die entsprechenden Erweiterungen installiert, aber außer auf meinem Testaccount hat niemand dort die 2FA installiert.
Warum? Vermutlich weil sie im Alltag mehr hindert als nutzt: Auf dem Schulgelände ist die Nutzung von smarten Endgeräten (Smartphone, Smartwatch) verboten. Die Geräte dürfen nur ausgeschaltet in der Schultasche mitgeführt werden. Die Nutzer haben also keine Chance während der Schulzeit Dienste zu nutzen die eine 2FA über das Smartphone erzwingen.
Und dann habe ich festgestellt, dass auch wenn ein Anbieter 2FA anbietet, diese nur bei Webdiensten funktioniert. Für den Webmailer z.B. kann ich 2FA einrichten für den Abruf und Versand über IMAP und SMTP aber macht es keinen Sinn. Wer will schon bei jeder Mail Passwort und ein Token eingeben müssen (zumal mir kein Mailclient bekannt ist, der das unterstützt).
Und wo ist mein zweiter Faktor, wenn ich die Dienste auf dem Smartphone nutze? Ein zweites Smartphone?
Bei so vielen unsinnigen und teilweise auch gefährlichen Zusätzen zu dem was man eigentlich will ist automatisch ein Haken gesetzt, warum nicht auch bei der 2FA. Wer die gezielt abwählt, ist im Gegensatz zu der vorher beschriebenen Problematik bewusst unsicher unterwegs.
Lieber Tobias
Ich habe deine Beträge natürlich abonniert. Ich muss zwar zugeben, dass ich nicht alle bis ins Detail lese. Aber die beiden letzten Beiträge, welche sich in etwa dem gleichen Thema gewidmet haben, finde ich den Hammer. Eigentlich schreibst du gar nichts Neues. Aber – und auf das kommt es an – das Appellieren, das eigene Handeln (was stelle ich ins www) immer wieder in Frage zu stellen, ist und bleibt auch mit 20-stelligen Passwörtern fundamental wichtig.
Merci und weiter so.
Danke Bernhard und Grüße in die Schweiz!
Eigentlich ist das Ganze doch nur deswegen plötzlich so gehyped und interessant geworden, weil prominente beteiligt/betroffen waren.
Wer interessiert sich schon darum ob die Daten von irgend einem „Wahlvieh“ gestohlen werden… der BND hat sie wahrscheinlich eh schon von den NSA-Kumpels bekommen…
Das wirklich traurige ist, dass hier wiedermal offenbart wird wie das Land tickt… Datenlecks jedes Jahr, Millionen gestohlene daten, scheisdrauf, aber wenn der Innenminister ein paar nervige Anrufe oder Telefonstreiche bekommt weil seine Tel. Nr. im Netz steht, dann brennt die Luft….
Auch wenn ich persönlich viel mehr Portale dazu animieren möchte, diese zu nutzen, stimme ich Martin Jungbauer zu. Vorausgewähltes Häkchen, gerne noch eine „Sind Sie sicher“ Frage bei der Abwahl und dann darf der mündige Bürger selbst entscheiden. Bei allen Vorteilen von 2FA, sie ist ja nicht das Allheilmittel.
Ich denke da an heruntergefallenes oder gestohlenes Handy, SIM Karte defekt oder Handy im Hotel vergessen (wird „zeitnah“ zugeschickt) – da ist man dann für einige Zeit aus ALLEM ausgeschlossen, was man mit 2FA schützt (na klar! das ist wie Schlüssel verloren, aber da hinterlegt man einen Ersatzschlüssel beim vertrauenswürdigen Nachbarn).
Oder: Wechselt man den Arbeitgeber (samt Diensthandy), dann wird es auch spannend (besonders bei einer fristlosen Kündigung, wenn die Personalabteilung das Handy gleich einzieht).
Genau deswegen nutze ich mein Diensthandy nicht -wie viele meiner Kollegen – für private Zwecke.
Eine richtige Implementierung von 2FA kennt auch einen Ersatzschlüssel. Nennt sich Recovery-Codes, die man sich generieren und abspeichen/ ausdrucken sollte. Dann kann man auch bei Schlüsselverlust noch auf sein Konto zugreifen.
Aber 2FA erzwingen wird nicht funktionieren. Ich kenne noch genügend Leute, die kein Smartphone haben und damit ausgesperrt wären.
Das ganze wäre gar nicht so schlimm, wenn die Anbieter ihr Kundendaten richtig absichern würden. Dann habe ich einen Satz (im besten Fall gesalzener) Hashes, mit denen ich mit endlichem Aufwand nichts anfangen kann. Aber wie oft hört man noch, dass Passwörter im Klartext gespeichert wurden oder eine Verschlüsselung gewählt wurde, die als genackt gilt.
Gerade das mit dem Diensthandy dürfte überaus doof werden…
Mal unterwegs online gewesen, dort bei Anmeldung die Diensliche Handynummer hinterlegt…
und wenn man dann am WE von Zuhause aus drauf will, muss man erst das Diensthandy suchen & einschalten, das man ja absichtlich (weil Wochenende, Ruhe!) abgeschaltet hat…
Egientlich wundert mich dass noch keiner auf die Idee gekommen ist, einen Zweitfaktor aus der Kommunikation mit einer KI zu konstruieren…
Also man bekommt eine „Diskussion“ mit einer KI serviert und je anchdem wie man antwortet und kommuniziert wird eine Wahrscheinlichkeit errechnet dass man der berechtigte ist… ;)
KI ist doch gerade so „In“….
So was ähnliches gibt es bei der Telekom. Da kannst Du ein Stimmmuster hinterlegen und brauchst dann beim Anruf bei der Hotline nicht mehr deine Kundendaten (Name, Kundennummer, Geburtstag) angeben, sondern das System hat dich vorher schon identifiziert.
Das Problem mit der 2FA sehe ich an einer Schule, die ich betreue: Smarte Geräte egal welcher Art (Smartphone, Smartwatch) sowie das klassische Handy dürfen maximal ausgeschaltet in der Schultasche mitgeführt werden.
Schüler und Lehrer nutzen aber auch zu unterrichtszwecken Clouddienste, die teilweise 2FA anbieten (der schuleigene Cloudspeicher, die Vertretungsplansoftware,…). Wenn ich jetzt aber mein Smartphone nicht einschalten darf, wie komme ich dann ans Unterrichtsmaterial?
Daher ist das hier schlicht nicht praktikabel und auch wenn ich es könnte, darf ich keinen dazu zwingen es einzurichten.
Und ich merke es auch bei mir. Ich bin bei Freunden, habe mein Smartphone absichtlich mal nicht mitgenommen… und dann kommt „Wir würden gerne die Bilder von XYZ sehen“. Tja, die liegen in der Cloud und ohne Smartphone komme ich da nicht rein.