Mir – Unsere digitale Realität und praktische Tips

Da es ja gerade mal wieder aktuell ist …

Wie sieht die digitale Realität wirklich aus? Und wie können Sie, Frau oder Herr Normalbürger, sich zumindest halbwegs schützen?

Kurz, knackig und schonungslos: Es gibt keine Sicherheit. Es gibt sie nicht mal für staatliche Einrichtungen und es gibt sie erst recht nicht für Sie, den Normalbürger. Schlimmer noch – das ist wohlgemerkt nur mein begründeter aber persönlicher Verdacht – es *soll* auch gar keine Sicherheit für Normalbürger in der wunderbaren, neuen digitalen Welt geben.

Und damit sind wir auch schon beim ersten von zwei wesentlichen und maßgeblichen Faktoren.

Warum ist das so? Weil politster nunmal politster sind (und Konzerne nun mal wie Konzerne ticken und funktionieren). Fakt ist doch, das muss man einfach mal realistisch sehen, dass mit der digitalen Revolution ein feuchter Traum des 0,1% sich verwirklicht, nämlich der gläserne Bürger. Was früher Behörden an Daten und Informationen zu und über Bürger zur Verfügungs stand, ist ein lächerlicher Klacks gegenüber dem, was heute fast jedem zur Verfügung steht. facebook z.B. weiss mehr über die meisten Mitglieder als deren Eltern, Freunde, Geschwister und Partner; nicht selten sogar mehr als die Betroffenen selbst über sich wissen.
Und noch etwas ist bemerkenswert: Die Herausgabe eines großen Teils dessen, was, hätten es vor 20 Jahren Behörden zu erfahren oder zu erhaschen versucht, nahezu jeder empört und erbittert zu verhindern versucht hätte, wird heute ganz freiwillig „cool“ selbst abgeliefert. Es ist kein Kommissar, keine Stasi, keine orwellsche Gesinnungspolizei mehr nötig; die Leute seiern ja alles bereits ins fatzebuk, in twitter oder andere „soziale Netzwerke“ und „segensreiche“ digitale Einrichtungen.

Und noch etwas sehen wir beim aktuellen Hack ganz deutlich: Das Passwort „123“ – also etwas, das erheblich schlimmer ist als alles, wovor Sicherheitsexperten seit Jahren ständig (und offensichtlich sinnlos) warnen.

Heisst das, dass sehr viele schlicht auf jedweden Schutz scheißen? Jein. Es heisst vor allem, dass sie in einem Zustand irgendwo zwischen „verstehe ich nicht“, „ist alles viel zu kompliziert“ und „ist doch eh sinnlos; ich habe doch sowieso keine Chance, mich wirklich zu schützen“ befinden.
Aber, Ja, wir kommen kaum umhin, auch (an) zu erkennen, dass die (planvolle und zusätzliche) Verblödung erschreckend erfolgreich war und ist.

Nun zum anderen Faktor.

Da beginnt das Problem damit, dass die Technologie entscheidende Jahrzehnte lang ziemlich fest in ami Händen lag. Das bedeutet vor allem zweierlei: Erstens, dass die Technologie zu keiner Zeit wirklich beherrscht wurde (dazu hätte es Intelligenz, Geist und Bildung gebraucht; nichts davon ist in nennenswertem Umfang in idiotistan zu finden). Mehr noch, es ist sogar so schlimm, dass die allermeisten in der Branche das nicht einmal sehen, geschweige denn verstehen.
Zweitens heisst „in ami Händen“ zwangsläufig auch „in *gierigen* und völlig verantwortungslosen Händen“ und insbesondere auch erschreckend häufig in den Händen von extrem profit-gierigen und absolut verantwortungslosen Konzernen; diese interessiert ausschließlich eines, nämlich Profit.

Das Ergebnis? Unter anderem:

– Es gibt kein (für normale Menschen inkl. Fachleute verfügbares) Betriebssystem. Linux mag etwas besser sein als windows, aber das ist ungefähr so wie „von einer Klapperschlange gebissen zu werden ist besser als von einem Taipan gebissen zu werden“ – ja, stimmt, aber die einzige wirklich interessante Variante, nämlich gar nicht gebissen zu werden, steht nicht zur Verfügung.

– Alle derzeit gängigen und im Alltag brauchbaren Prozessoren sind durch und durch verrottet. Und das geht so weit, dass zusätzlich – interessanterweise übrigens immer mit „sicher“ und/oder „besser zu verwalten“ ettiketiert – schlimmste Hintertüren eingebaut werden (z.B. intel „amt“).

– Auch nahezu alle „Bibiliotheken“ („Module“, die von Programmierern genutzt werden und wichtig und omnipräsent sind) sind verrottet. Als besonders schlimmes Beispiel führe ich mal openssl an, eine Bibliothek, die von haufenweise wichtiger (und von sehr, sehr vielen genutzter) software verwendet wird und eigentlich für „Sicherheit“ (Verschlüsselung, SSL/TLS) zuständig ist.

– Es gibt so gut wie keine Programmiersprache, die a) überhaupt dazu taugt, sicheren Code zu produzieren und b) nicht nur für sehr wenige Experten verständlich und benutzbar und c) tatsächlich einsetzbar ist (da spielen viele technische Faktoren eine Rolle)
Was es allerdings gibt, sind eine – immer weiter steigende – Unzahl von unbrauchbaren Sprachen (von und) für Idioten.
Zwei wesentliche Gründe hierfür (neben anderen) sind die Hirn- und Respektlosigkeit von amis und die maßlose Gier von deren Unternehmen, die natürlich begriffen haben, dass sich „ist simpel, kann jeder und man kann damit 1000 tolle bunte Sachen machen“ weitaus besser verkauft als „ist mühsam und aufwendig, braucht reichlich Wissen und Bildung“.
Ein krasses Beispiel dafür ist „javascript“, also die „Sprache“ (eigentlich der wertlose Dreck), die seinerzeit eilig zusammen gefummelt wurde. Wirklich erschreckend allerdings ist, dass der Schuldige nicht etwa erschossen wurde, sondern heute noch als „Genie“ gepriesen wird.

Zusammenfassend, das nochmal klar und deutlich, ist das Ergebnis, dass wir so gut wie nichts sicheres haben. Auch Regierungen nicht. Auch Banken nicht (wobei die finanz-Branche sich gelegentlich immerhin ernsthaft bemüht). Auch Streitkräfte und Geheimdienste nicht. Die haben günstigenfalls das Beste, was immerhin irgendwie möglich ist – das allerdings nur, weil sie a) mit sehr viel Geld nach Problemen werfen und b) unabhängig davon zusätzliche Möglichkeiten (wie Einschüchterung, Geheimniskrämerei, Gefängnisse, usw) haben.

Wenn etwas gehackt wird wie in dem Fall dieser Tage, dann müssten wir eigentlich feiern und Dankes-Messen veranstalten, denn: Es hätte ebensogut Flug-Kontroll Systeme, Atom-Kraftwerke, oder Wasserwerke erwischen können.

Was können Sie überhaupt tun?

Die Antwort ist erschreckend: Nichts. Sie können nichts tun, um sich wirklich zu *schützen*. Aber Sie können immerhin einiges tun, um das Risiko zum Opfer zu werden, durchaus erheblich zu minimieren.

– Regel 1: Glauben Sie ami Firmen und (auch eu-ropäischen) Konzernen sowie Ihrer Regierung *nichts*, rein gar nichts! Gehen Sie davon aus, dass das Gegenteil wahr ist und Sie werden die reale Situation erheblich besser erfassen.

– Regel 2: Gehen Sie grundsätzlich und immer davon aus, dass nahezu ausschließlich zwei Faktoren für Regierungen, ami Firmen und (auch eu-ropäische) Konzerne relevant sind, nämlich a) überwachen, kontrollieren, bespitzeln, manipulieren und b) Profit. Zwar betrifft a) eher Regierungen und b) eher Konzerne, aber in aller Regel liegen Sie richtig, wenn sie von „a *und* b“ ausgehen, weil Staaten und Konzerne weitgehend verflochten sind.

– Regel 3: Trennen Sie Wichtiges von Unwichtigem. Verwenden Sie, wenn irgend möglich, zwei Computer; einen z.B. für Bankenkram, wichtige Dokumente, etc. und den anderen für den Rest (Spiele, surfen, email, etc.). Wenn sie sich keinen zweiten Rechner leisten können, verwenden Sie mindestens zwei virtuelle Maschinen (z.B. VMware). Das ist zwar *erheblich* weniger sicher als zwei physische Rechner aber immer noch viel besser als alles mit nur einer Kiste zu machen.

– Regel 4: Verwenden Sie, wenn irgend möglich linux. Zwar ist es nicht wahr, dass linux nennenswert sicherer ist als windows, aber es ist deutlich weniger anfällig, alleine schon deshalb, weil es ein unattraktiveres Ziel für Bösewichte ist.

– Regel 5: Backups. Machen Sie regelmäßig Backups (Sicherungs-Kopien) von allem, was Ihnen wichtig ist. Wichtig: *Nicht in der cloud!* sondern bei sich zuhause und physisch. Tip: Verwenden Sie zumindest für die kritischsten Daten *optische* Medien wie z.B. DVD (die sind für eine ganze Reihe Gefahren weniger anfällig und wenn’s brennen sollte kann man sie leicht einstecken und nahezu überall wieder verwenden).

– Regel 6: „Je kritischer/wichtiger/vertraulicher desto weniger Internet“.
Erklärung: Nutzen Sie keinesfalls Online-Dienste z.B. für Ihre Buchhaltung und speichern Sie auch keine persönlichen oder gar vertraulichen Daten im Internet. Weder direkt noch indirekt. Dienste wie z.B. „steuerberater online“ mögen zwar attraktiv und günstig erscheinen (oder sogar wirklich sein), aber Sie sollten bedenken, dass Sie so gut wie immer früher oder später einen unsichtbaren zusätzlichen Preis bezahlen, den nämlich, dass Ihre vertraulichen/persönlichen Daten wer weiss wo landen.

– Regel 7: Nein, VPNs schützen Ihre Identität *nicht*. Erstens werden nicht wenige VPN Dienste von Geheimdiensten betrieben, zweitens wird kein Unternehmen, wenn es hart auf hart kommt, seine Existenz oder erhebliche Strafen riskieren, nur um Sie zu schützen und drittens muss jeder, der einen server betreibt, notwendig z.B. logs mitlaufen lassen, alleine schon, um sich selbst zu schützen; ausserdem unterliegen diese Firmen ja auch diversen gesetzlichen Verpflichtungen.
Will heissen: Sie können durchaus ein VPN nutzen, nur sollten Sie das richtig einschätzen. Ein VPN kann durchaus gegen allerlei neugierige Leute schützen, aber es wird Sie *nicht* schützen, wenn eine „resourceful entity“ (also ein Staat oder z.B. eine große Bank) hinter Ihnen her ist.

– Regel 8: Machen Sie alles, was Ihnen wichtig ist, soweit irgend möglich *lokal*. Beispiel: Verwenden Sie ein lokales email Programm (auf Ihrem Rechner), um mit Banken und Behörden zu kommunizieren. Für irgendwelche Kommunikation mit irgendwelchen Leuten im Internet können Sie ruhig einen web-email provider nutzen.
Anderes Beispiel: Machen Sie Ihre Buchhaltung/Steuerkram auf dem lokalen Rechner (dem sicheren) und übertragen Sie die Daten möglichst nicht online, sondern kopieren Sie sie auf eine CD und bringen Sie diese persönlich vorbei.

– Regel 9: Vergessen Sie nie und haben Sie immer Regel 1 und 2 im Hinterkopf!
Nein, Sie können Telekom, Vodafone usw *nicht* vertrauen. Sie können auch Lenovo, HP, Dell *nicht* vertrauen. Auch der Regierung und den Behörden können Sie *nicht* vertrauen und den medien sowieso nicht.

– Regel 9a: Das Zauberwort (insoweit es sowas gibt) heisst LOKAL und „klein“. Gehen Sie nicht zum größten provider sondern möglichst zu einem lokalen. Bestellen Sie Computer Zeug *nicht* im Internet, sondern marschieren Sie zu einem lokalen Fachhändler und holen Sie sich das Benötigte aus einem Regal. (Das allein hätte viele vor der nsa oder dem fbi bewahrt).

– Regel 9b: Fallen Sie nicht auf „open“ irgendwas herein. Die überwältigende Mehrheit z.B. von großen open source Projekten sind von deep state Leuten, soros Leuten und Geld usw. verseucht. Auch: Sehen Sie immer den *wirklichen* Preis und Sie werden feststellen, dass Sie am Ende am günstigsten und besten fahren wenn Sie mit Geld bezahlen, bei einer eher kleinen oder mittleren Firma, vorzugsweise deutsch oder wenigsten europäisch (inkl. Russland!) aber *keinesfalls* usppa, uk und Komplizen.
Bei softmaker (kleine deutsche Firma in der Nürnberger Ecke, die ich immer gerne empfehle) z.B. zahle ich alle paar Jahre mal (wirklich neue und erheblich ausgebaute Version) mal um die 50 Euro für ein upgrade und habe dafür eine recht ordentliche und seit Jahren bewährte Office Software; vor allem aber kann ich die anrufen, ohne in einem call center zu landen und die hören mir auch zu. Im Zweifel stellen die mich auch zu einem Entwickler durch. *Das* ist *viel* wichtiger als ein berühmter großer Name (wie microsoft), die mich als Dreck, als Niemand behandeln und auf Sie und mich scheissen.

Ich habe bei weitem nicht alles ausgeführt und Ergänzungen sind natürlich willkommen und vermutlich nötig.

29 Gedanken zu „Mir – Unsere digitale Realität und praktische Tips“

  1. Danke für die klasse Zusammenfassung, Russophilus!

    Eine Ergänzung nicht technischer Art kann ich mir dennoch nicht verkneifen: Hilfreich ist in jedem Fall die grundsätzliche Überlegung, ob tatsächlich alles (Bankkontenverwaltung, Pizza bestellen, Rasenmäherroboter steuern – überhaupt: IOT, Kommunikation mit Behörden und Institutionen (z.B. Krankenkasse) usw. ) online passieren muss. Digitale Enthaltsamkeit führt zu weniger gefährdeten online Daten! Schöner Nebeneffekt: je weniger online, desto eher bleiben die lokalen und analogen Wege und Möglichkeiten erhalten.

  2. Wo ich mich besonders gefreut habe, war der jüngste Hackerangriff auf Politiker und Prominente. Schön anzusehen, wie sie alle entsetzt sind. Ich fand das toll, plötzlich das Geschrei: „Ein Anschlag auf die Demokratie“ zu hören; was aber nichts anderes heißt wie: Ohoooooo auch wir werden ausspioniert! Und jetzt drehen sie alle am Rad, diese Idioten ! Andere scheißen eben auch auf Politker und Prominente ! Gut so !

    1. @Alexander

      Leider ist nicht zu erwarten, dass die aktuell Gehackten begreifen werden, dass sie selbst jetzt Opfer der Umstände geworden sind, die sie (zumindest die Politiker) selbst so gewollt haben.

  3. Paleene
    5. Januar 2019 um 21:36

    Die fratze der verfaulten heuchler kommt bei sowas ganz klar zum vorschein. Bei indymedia gibts die adressen von den AfD politiker und anhänger und kein schwein von den verlogenen empörten diversen mockiert sich. Klar doch.
    Die unnütze pau von den linken findet das auch noch einen angriff auf die demokratischen grundwerte. Und der böhmermann, der selbst dazu aufgerufen hat AfD´ ler im netz nackig zu machen , dem wünsch ich nochviel spass.

    1. Na ja, aber das ist doch wirklich nicht neu. Wenn eine deutsche Frau vergewaltigt und aufgeschlitzt wird, dann ist ihre Familie „rechtsradikal“, weil sie sich nicht noch bei den muselterroristen bedankt. Wenn aber im Briefkasten eines gruenen politster ein Sylvester-Kracher landet, dann ist „die demokratie in Gefahr“. Kennt man doch.

      Mein Hauptgedanke ist unterm Strich ein sehr zufriedenes „Wunneba, dass es auch konservative Hacker gibt“.

      1. Lieber Russophilus, lieber derPate,
        ich gebe gerne zu, dass mich eine gewisse Schadenfreude bei *jener* Nachricht ereilt hat. Dazu ein Gedanke, der mir heute Vormittag gekommen ist: könnte es nicht sein, dass der geschasste Herr Maaßen (wie ich meine) doch recht viele Gleichgesinnte im „verfassungsschutz“ hat(te), die nun auf diese (geniale) öffentlichkeitswirksame Weise gegen das märkel-Regime agieren? Ich denke, dass eine solche konzertierte Aktion nicht von Einzelnen zu stemmen gewesen wäre – das müssten „Einige“ gewesen sein.
        Es dürfte inzwischen etliche „Patrioten“ (hierzulande) geben, die günstige Gelegenheiten nutzen, dem drecksregime zwischen die satanischen Hufe zu grätschen.

        1. Trump ist gambino (mitglied) und gambino( casino geldwäsche, deutsche bank etc) ist mafia, im zusammanspiel mit irisch, schekelzähler und italo mafia.
          Die pest , oder anders gesagt…das grauen
          Die wirklich bösen kämpfen gegen die bösen..
          Buchtip, Filmtip: „Der Pate“
          In unserem leben wird nichts mehr gut….((hirntechnisch)
          heilige scheiße—

        2. theoretisch ist es wohl denkbar das maaßen so etwas loslassen könnte. er hat insider- und fachwissen, motive, fachkenntnisse und die nötigen verbindungen. allerdings halte ich es genau aus diesen gründen für nicht sehr wahrscheinlich das er so was macht, zuviele scheinwerfer würden sofort auf ihn strahlen und ihn ins forderste rampenlicht heben. ausserdem ist er immernoch eine „figur des systems“. vielleicht hat er solche geschichten ein wenig begünstigt aber als drahtzieher, macher denke ich ist er da nicht involviert.

  4. Mein IT Freund sagt immer, es gibt nur eine Möglichkeit, den Computer vor Netz Angriffen zu schützen, ein mechanischer Ein / Aus Schalter im Post Kabel und nur eine Sichere Möglichkeit seine Daten auf dem Datenträger, zu schützen, einen Vorhammer.

  5. Frohes Neues Jahr an alle!

    @Russophilus, hier haben Sie mal ein schönes Beispiel für staatliche Beratung vom NIST:

    http://www.msn.com/de-de/nachrichten/digital/so-gehen-sichere-passw%c3%b6rter/ar-BBRNn4X?ocid=ientp#page=1

    Ich hoffe MSN Links sind noch nicht auf Ihrer schwarzen Liste? Da geht es darum sichere Passwörter zu finden.

    Abgesehen davon das wir sowieso gläserne Bürger sind hatte ich mir zu Passwörtern mal gemerkt: Möglichst Sätze mit Groß- und Kleinschreibung und Leertasten verwenden, z.B.: „Dies ist mein Passwort in Quartal 1 2019“ Würden Sie das unterschreiben?

    Wenn man sich den Artikel so durchliest suggeriert er:

    1.) Sonderzeichen helfen nicht
    2.) Es ist immer von einem PassWORT nie PassSATZ die Rede.
    3.) Alle 3 Monate ändern bringt für Firmen nichts.

    Freue mich übrigens Ihre Punkte alle erfüllt zu haben (bis auf die Fritzbox von meinem lokalen Provider und Open Source Software).

    Wenn Sie LibreOffice nicht mögen können Sie auch super mit Latex schreiben.

    1. Erst mal: Ich kann die verlinkte Seite gar nicht sehen; dazu müsste ich meinen Adblocker deaktivieren, was ich garantiert nicht tun werde. Wie viel Wert man auf Empfehlungen in Sachen Sicherheit von einer Seite, die einem *hartnäckig* Werbemüll reinballern will, mag jeder selbst entscheiden …

      Zu Ihrem Punkt 1) Das ist falsch. Zum einen vergößern Sonderzeichen die Domäne und zum anderen erschweren sie „dictionary“ attacks wie auch das Vorhalten von „rainbow-tables“ ganz erheblich.

      Zu 2) Das ist insofern in Ordnung als sich der Begriff „Passwort“ einfach eingebürgert hat. Zwar haben Sie auch recht, aber streng genommen ist auch „Passatz“ nicht ganz korrekt; die wirklich korrekte Beschreibung aber wäre kompliziert und vielen unzugänglich.

      Zu 3) Jein. Grundsätzlich bringt es sehr wohl etwas, Passworte von Zeit zu Zeit zu ändern. Aber – und das hat sich als wichtiges Aber erwiesen: Man muss ja auch sehen, was unterm Strich effektiv und tatsächlich heraus kommt. Und da hat sich einfach gezeigt, dass ein gelegentlicher Passwort-Wechsel sehr viele überfordert und die sich das dann z.B. auf den Montor kleben. Rein pragmatisch gesehen bringt es meist mehr, den Leuten abzuverlangen, ein *gutes* Passwort zu haben – und dieses *nicht* an den Monitor zu kleben oder den Kollegen zu sagen, etc – und nicht oder nur selten (alle 3 Jahre) zu wechseln.

      Zu Ihrem Passatz Ansatz (und auch noch ein bisschen allgemein zum Thema):

      Ihr Ansatz ist recht gut und viel besser als das, was die meisten tun. Aber: Erstens im Hinblick auf die technologische Entwicklung (z.B. „AI“ aber auch immer mehr Speicher verfügbar, usw.) sollten Sie Ihren Ansatz noch erweitern und insbesondere *allgemein zugänglichen Sinn* vermeiden. Begründung: Eine Aufgabe wie „Bilde Abermillionen Sätze aus folgenden 500 Worten“ wäre für einen Computer kein Problem. Dazu kommt, dass Grammatik und sprachliche Regeln und Üblichkeiten (in diesem Kontext) auch zum Problem werden können, weil sie einfach die Co-Domäne sehr, sehr stark einschränken.
      (Ach, à propos, weil ich’s gerade bemerke): Da ich viel mit internationalem Material arbeite, nutze ich kaum deutsche Mathe Begriffe. Also, Kürzest-Erklärung: „Set“ ist ungefähr das, was man hier „Menge“ nennt (wie z.B. in „die Menge aller geraden positiven Zahlen unter 1000“ (x \elem \N | x < 1000)). Domäne ist die Menge aller Zahlen, die zur Verfügung stehen in einem bestimmten Kontext. Und Co-Domäne ist die Menge aller Zahlen, die als Ergebnis in Betracht kommen. Ist vermutlich für die Allermeisten völlig egal, aber da es in diesen Zusammenhängen gelegentlich mal vorkommt, wollte ich’s mal kurz umrissen haben.)

      Beispiel: Die Co-Domäne aller *denkbaren* „Sätze“ (also viele Regeön und insb. Sinn ignorierend), die sich aus X Worten bilden lassen ist *ganz ganz erheblich größer* als wenn nur „allgemein verständliche“ Sätze gebildet werden dürfen. Das aber, also die Menge (im Sinn von Anzahl), ist äusserst entscheidend in vielerlei Hinsicht, insbesondere im Hinblick auf vorbereitete Datenbanken mit Ergebnissen (z.B. schon SHA-256 gehasht). Häufig ist dieser Unterschied so beträchtlich, dass so eine „rainbow table“ realistisch machbar oder eben nicht machbar ist, was wiederum darüber entscheiden kann, ob Hacken sinnvoll und realistisch machbar ist oder nicht.

      Ein anderes Beispiel verdeutlicht das nochmal kraftvoll, nämlich das beim aktuellen Hack verwendete Passwort „123“. Das hat so ungefähr jeden vorstellbaren Nachteil überhaupt und war natürlich auch für unbegabte Hobby-Hacker leicht zu knacken.
      Und der Betreffende (das „Opfer“) war zwar besonders dämlich, aber wir wissen aus der traurigen Empirie von Milliarden gehackten Accounts aller Art, dass man die (tatsächlich verwendeten) Passwörter in drei Gruppen einteilen kann. a) die wirklich, wirklich schlechten wie „123“, „123456“, „Ich“, , „qwertzu“, usw. sowie (lächerlich) geringfügig „aufgewertete“ wie die aben Genannten, aber mit einem kleinen mutmaßlich erschwerendem Extra wie z.B. „ich789“ oder „admin321“, b) „normale“ und nicht völlig ignorante Passwörter wie z.B. (für Fritz Meier, geboren am 17. April 1981) „MeFr811704“. Sowas ist schon erheblich schwerer zu knacken als die eben beschriebenen Idioten-Passwörter, aber die Chance, sie zu knacken ist (vor allem bei gezielten Angriffen, wo’s auch um was geht) durchaus nicht schlecht, weil sie eben noch einer bestimmten (und weit verbreiteten) Logik folgen. Und die dritte Gruppe sind recht brauchbare Passwörter (wie z.B. im Fall Fritz Meier) etwas wie „42grschpokܧ“ (42 waren die Endziffern seines ersten Kennzeichens, grün die Lieblingsfarbe seiner Tochter, „schpok“ ist sein (bewusst falsch geschriebener) Lieblings Startrek Held und ܧ steht für „überraschungs-Paragraph“. Dieses Passwort ist nicht mal eben aus in seinem weiteren Umfeld oder insb. aus öffentlich verfügbaren Informationen (-> z.B. fatzebuk!) leicht konstruierbar und auch zumindest nicht lächerlich kurz.

      Nun wissen Sie auch, warum bei größeren Hacks ein durchaus erklecklicher Teil der Passwörter locker geknackt wird. Weil nämlich erschreckend viele aus Gruppe 1 sind und nur ziemlich wenige aus Gruppe 3.

      Bedenkt man nun noch, dass 1) erschreckend viele Personen-bezogene Informationen verfügbar sind wegen fatzebuk, twitter, chats, sorglosen Firmen und Behörden, usw. und 2) „AI“ nicht nur total schick sondern auch die Technik dazu zunehmend verfügbar ist und 3) Crypto-Währungen Probleme haben, was dazu führt, dass große Mengen an entsprechender Hardware billig verfügbar wird, so rate ich inzwischen

      – Mindestlänge 10, lieber deutlich mehr. Keine Leerzeichen, dafür aber Sonderzeichen, groß und klein geschriebenes, Ziffern
      – Sinn vermeiden! – Also nicht „MeinkleinerLieblingsTerrier“ sondern „lilafresSeNBatterien17ÄjawoLL“
      – Personenbezüge vermeiden! – Keine Elemente wie Teile des Geb. Datums, auch nicht von Familien-Mitgliedern, nicht die Lieblingsfarbe, die Liebling-Band, den Lieblingsfilm (oder einen Helden darin), nicht die PLZ oder Hausnummer, auch nicht der Firma oder der Schwester, etc.

      Eine gute Möglichkeit ist es, sehr *individuelle* Verknüpfungen zu wählen und zwar aus Elementen, die *nicht* leicht zugänglich sind. Also etwas wie „13-ottogüLdene!Zebraß“ (13 – Dix (frz. Zehn) = 3. Aber statt „Dix“ nehme ich den Vornamen des Malers Dix. Und weil ich den (Maler) seltsam finde, schreibe ich ihn auch seltsam, nämlich das ‚o‘ hinten groß. Was hat der Admiral aus meinem Lieblingsfilm? -> 3 Streifen und zwar goldene (unüblich geschrieben), aber statt Streifen sage ich Streifen-Tier (zebra) und statt ‚S‘ nehme ich hinten ‚ß‘ (weil Sonderzeichen gut sind in Passwörtern).

    2. Was gute Passphrasen betrifft:

      Man nehme nicht den Satz selbst als Pass, sondern die Anfangsbuchstaben der Silben.

      Das Prinzip „von jedem was“ (Grossbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen) ist auf jeden Fall nützlich. Also dabei auch ein paar Ersatzzahlen mit reinmogeln, sagen wir aus „beachte Zweifelhaftes“ b8t2fht zu machen. Und natürlich alle Satzzeichen mitnehmen, die Groß- und Kleinschreibung beachten, ein Smiley schadet auch nicht.

      Für die Länge sollten 20 Zeichen ausreichen. Bei der Verwendung ganzer Wörter (statt nur die ersten Buchstaben der Silben) hat man allerdings sehr viel mehr Tipparbeit ohne dadurch wirklich mehr Sicherheit zu gewinnen, denn Wörter sind kaum mehr wert als drei Buchstaben aus ihnen. Ihre Phrase hat zwar 43 Buchstaben, aber es ist kaum sehr viel mehr wert als die Reduktion zu DimPwiQ119, die mit 10 Zeichen schon problematisch kurz wäre.

      Grob gesagt, der wichtigste Unterschied zur Russophilus „Sinn vermeiden“ Empfehlung ist, dass bei meinem Vorschlag Sinn zwar noch zulässig ist (was das Merken nunmal deutlich vereinfacht), aber der Sinn eben nach der Reduktion auf die Anfangsbuchstaben der Silben kaum mehr erkennbar ist. Allerdings muss die sinnvolle Phrase dafür eben länger sein, damit nach der Reduktion auch noch 20 Zeichen übrigbleiben. „Allgemein zugänglichen Sinn vermeiden“ bleibt allerdings ein wichtiges Element. Zitate aus Büchern sollte man also nicht verwenden, es sollte schon was sehr eigenes sein. Genauso wenig ist es empfehlenswert, die Phrase mit „Das ist mein Passwort …“ zu beginnen, weil das so ziemlich der natürlichste und somit häufigste Einfall sein dürfte, wenn man über „hm, eine Phrase für ein Passwort“ nachdenkt.

  6. Na ja, Hack ist schon ein großes Wort für das was da abgelaufen ist… Ich meine, da wurden Billigpasswörter „erraten“ und damit auf E-Mail-Accounts zugegriffen, worüber dann verschiedene Passwörter von anderen Plattformen geändert wurden usw…
    Diesen politikern sollte man einfach mal einen IT-Kurs für Anfänger zukommen lassen.
    Ich finde auch hier wird wieder das Niveau derer sichtbar, die an neuralgischen Schalthebeln der Macht herumstümpern. Deise Leute sind einfach in keinster Weise auch nur annähernd intelligent. Leider besteht die Gesellschaft zum großen Teil aus solch komplett hirnlosen Gestalten, ich meine, der „Normalmensch“ ist ja schon überfordert Scheibenwaschflüssigkeit ins eigene Auto zu füllen, oder eine Glühbirne im Kühlschrank zu wechseln. Das muss man immer beachten, die Masse ist voll verblödet, das gilt im besonderen Maße für diese politiker. Allein die Sprache ist ja schon völlig verkommen.

  7. @ Russophilus: Sehr schöner kenntnisreicher Artikel.

    Zum Thema Facebook, twitter, Google etc. bemerkte Milton Friedmann (den ich nicht besonders mag) prophetisch: „There is no such thing as a free lunch“, ( = So etwas wie ein freies Mittagessen gibt es nicht) d.h. man zahlt immer einen Preis.

    Habe bei Paßwörtern die Methode, realtiv sinnlose Sätze zu bilden, dann die Anfangsbuchstaben der Worte zu nehmen und Zahlen mit Unterstrich in den Satz einzufügen, z.B. Ich schenke Dir 99 Rosen wäre dann das Paßwort IsD_99R. Bei der Menge Passwörter, die man bräuchte benutze ich solche Paßwörter aber nur für persönliche Dinge und wechsele diese auch regelmäßig. Auf Arbeit habe ich die Standardpaßwörter (Paßwort=Benutzername), haben es aber auch mit einem Verwaltungssystem zu tun, wo fast alle Mitarbeiter die gleichen Rechte haben.

    Für Kommunikation finde ich die gute alte sms über Tastenhandy fast immer ausreichend, sensible Dinge sollten Auge in Auge besprochen werden, möglichst ohne alexa oder Siri in der Nähe…

    1. Nordost
      7. Januar 2019 um 17:02

      Was haben wir früher (als kinder) gemacht mit einer fahrradschlosskette mit einer dreier kombi?
      Von 000 angefangen bis 999, irgendwann ging sie auf.
      Was macht man heute….sogar für laien?
      Programme, die alles durchgehen vom ersten bis zum letzten möglichen „rädchen“.
      Super simple…..
      Dauert halt nur je nach graduierung.

      1. Funktioniert zu 100%. Ein gutes Schloß ist nur eine Abschreckung, es wo anders zu probieren, wo es einfacher ist. Ein gutes Schloß erhöht den Zeitbedarf.

        Prinzipiell gilt, wie Russophilus ausführte: Lokal und regional sind genial.

    2. „ohne alexa oder Siri in der Nähe…“

      ALLE „smart-“ phones sind auch alexa’s!!

      „IsD_99R“ mit oder ohne Punkt_ naja?

      Vor längerer Zeit habe ich folgendes Passwort gelöscht, es war mir zu primitiv: [DRoÜ417888487ä:, – ÄÖ14566.]
      Kein Passwort ausser eines ist bei mir im Gerät gespeichert.

      Da aber der Hauptgegner die zio Krake ist und der normale pc sowieso hackbar ist vom ziosystem habe ich jetzt ein „smartphone“ statt pc.
      Eine reine Kostenfrage.
      Aber noch eins: will will man z. B. die youtube berichte sehen wenn der pc richtig „zugeschnürt“ ist, denn dann funzt es ja nicht mehr?
      Gruss

      1. „ALLE „smart-“ phones sind auch alexa’s“

        ganz genau. Die einen hören auf Siri, bei den anderen muß man „OK, Google“ sagen. Damit hört jedes Smartphone permanent zu, auch wenn offiziell bestritten wird, daß normale Kommunikation belauscht wird. Seit Snowden könnte jeder wissen, was los ist.

        „wenn der pc richtig „zugeschnürt“ ist“
        Neben YouTube funktionieren dann auch steam und ander „wichtige“ Dinge nicht mehr, das ist dann für die lieben Kinderlein fast nicht tolerabel. Der „zugeschnürte“ PC mit Linux-Proxy vor dem DSL-Modem nützt auch nix, wenn paralell ein WLAN betrieben wird, weil die liebe Frau eben mit dem Smartphone surfen will. Eine absolute Lösung gibt es nicht, die Hoffnung ist eigentlich nur die, daß man in der Masse untergeht.

        Wie weit die Sorglosigkeit geht beweist eine Bekannte von mir, die unseren Lokalsender via alexa hört. Ich brauchte vor 2 Jahren einen neuen Fernseher, hatte die bei Mediamarkt die Auswahl zwischen fast 100 Modellen, meine Präferenz ohne LAN ließ die Auswahl auf 3 Stück schrumpfen, wie es heute ist, weiß ich nicht, würde heute vermutlich keinen neuen Fernseher bekommen. Wie Herr Danisch vor geraumer Zeit beschrieb (ging um einen Samsung-Fernseher) hören die auch permanent zu, auch wenn das Mikrophon „deaktiviert“ ist.

        Betreibe für mich selbst 2 PC, einer ist physisch offline, der andere dient zum Surfen, e-Mail, Bank etc.; wenn ich etwas interessantes gefunden habe, wird es runtergeladen und via USB-Stick transferiert. Auf dem offline-PC gibt es auch eine readme.txt, in der meine Paß-Sätze vermerkt sind, man wird ja auch nicht jünger.

        Sollte ich persönlich für die Dienste interessant werden, so haben die sicher auch Mittel und Wege, in mein Netz einzudringen. Will eben nur keine unnötigen Merkmale für eine Rastersuche liefern.

        1. Randanmerkung: Dank der Banken (na klar) *braucht* man zunehmend häufig (vermeintlich) ein Smartphone, weil die Tans vermittels eine Smartphone App übermittelt werden.

          Das aber muss keineswegs sein. Man kann auch für kleines Geld (10 – 50 euro, je nach Ausstattung) eine kleine Android Büchse (mit Banana, Cubie oder einem ähnlichen Board drin), auf dem Android ebenfalls läuft. Da diese Büchsen in der Regel eine LAN Buchse haben, kann man auch eine Verbindung zum internet haben und die Bank App verwenden. Ist zwar immer noch Dreck (android *ist* Dreck), aber erstens viel billiger, zweitens ohne WLAN („Wer auch immer Lust hat möge mich ausspionieren“) und drittens weiss man dann wenigstens, was man ungefähr an hardware hat – und man weiss, dass eine Menge Mist *nicht* in der Büchse ist, z.B. gps um leichter ortbar zu sein….

          Auf diese Weise (normales nur Tel + SMS handy) plus so eine Büchse hat man wesentlich mehr Kontrolle, spart reichlich Geld und kann trotzdem (soweit nötig) an der „wunderbaren neuen“ (voll überwachten) Welt teilnehmen.

  8. Wer sich auf’s Eis begibt, muss IMMER damit rechnen auszurutschen! Ich habe im Laufe meines EDVDaseins mittlerweile 220 Passwörter angesammelt. Die kann ich mir
    a) beim besten Willen nicht alle merken,
    b) nicht dauernd abändern!
    c) Von Idiotenpasswörtern bis Satzwürmern ist alles vertreten!
    d) Ein größerer Teil davon dürfte mittlerweile verrottet sein!
    e) Das PasswortGeschisse hängt mir mittlerweile kilometerweit zum Hals heraus.
    SCHEISS DER HUND DRAUF!

  9. Man braucht noch nicht mal bei fratzenbuch sein und trotzdem wird -von einem- der ganze kladaradatsch zu fratzenbuch gesendet.
    Fasst alle mobilfunk apps..senden die kompletten daten an fraztenbuch und gockl weiter.
    Selbst wenn man nichts, nada an tv, handy, etc hat, ist man schon im „system“ der satanisten drinn.
    20 millionen „alexas“ sind im umlauf……und Tv flat geräte haben minikameras installiert. Playsi usw. erst recht mit spracherkennung.
    No way out.
    Ausser der mann in den bergen…und selbst der hat gps….
    99% gegen 1% , das ist sowas von skuril…
    Mach disch nakisch alter und bück dich du krückstück.
    Ich geh nicht mehr zu bekannten, die alexa haben….scheiße ich muss ein flugticket buchen und im hotel einchecken…. boom….verloren.
    Im regionalbus muss ich das e.ticket an den scanner halten….ups…bewegung auch ohne handy aufgezeichnet…mit kamera im bus…
    fuck of…
    No way out…

    1. „Ausser der mann in den bergen…“
      bezog sich nicht auf unseren @ Ausnahmsweise, sondern auf den bekannten film, als methapher…
      Nur um miss(t)verständnisse zu vermeiden.

  10. „Scheiße, mein Account wurde gehackt!“ „Hattest du ein schlechtes Passwort?“ „Nein, überhaupt nicht! Das Jahr der Heiligsprechung des Heiligen Dominikus durch Papst Gregor den IX!“ „Und wann war das?“ „1234.“

  11. — Erwischt und: Spendenaufruf —

    So, er wurde erwischt und verhört, der böse Hacker. Es handelt sich um einen, Zitat, „20-jährigen Schüler deutscher Staatsbürgerschaft“, der als Tatmotiv Verärgerung über die Ziele seiner Bemühungen angab.

    fefe merkt (ausnahmsweise mit klarem Verstand und ohne ideologische Brille) an, dass das extrem und auffällig schnell aufgeklärt wurde und dass in ähnlichen Fällen, wo aber nur normale Bürger die Opfer sind, rein gar nichts geschieht.

    Soviel zum wunderbaren „demokratischen rechtsstaat“, in dem alle gleich sind…

    Die staatliche Propaganda-Einrichtung ard hat den Fahndnungserfolg natürlich gleich erfreut gemeldet. Allerdings sind nur ca. ein Dutzend Kommentare zu sehen und die Mitteilung, es könnten aufgrund der vielen Kommentar(versuche) keine mehr freigeschaltet werden.

    Aha. Müssen wir einen Spendenaufruf für die arme ard machen, damit die sich einen server leisten können, der auch für Hunderte oder Tausende Kommentare reicht? Arme ard

    Die gute Nachrichten: Die Schlafmichel scheinen so langsam in Scharen misstrauisch zu werden.

  12. Der hack war schon seit ende der gewissen „behörde“ bekannt.
    Von wegen schnelle aufklärung. lol
    Ich bin der festen meinung, daß das Putin war.
    Muss ja….

  13. Diese ganzen Hacker-Märchen (eigentlich: die Hacker-Hype um die Ereignisse) riechen verdammt nach einer (zukünftigen) falsche-Flagge-Aktion.

    1. Man drehe das Licht ab (einfach den Lichtschalter kippen … landesweit oder eine bestimmte Region).
    2. Behaupten, es wären Häcker gewesen (am besten aus der RF, China oder NK … oder: einmal alles).
    3. Effekt? Die Reihen im eigenen „Volk“ werden dichter geschlossen und „der Feind“ noch mehr gehasst …
    4. Man lege den Schalter wieder um … Es werde Licht!

    Bevor die Volksseele überkocht ein kleiner Stromausfall, um aufzuzeigen: „wie gut es doch (eigentlich) einem geht“ … „eine kleine Denkhilfe!“

    Das ist ja nur ein Beispiel. Es könnte in allen Bereichen des täglichen Leben (mühelos) angewandt werden.

    Da wir im Kindergarten leben, bedarf es keiner großartigen/komplizierten Täuschungsmanöver … sie funktionieren „ohne großen Aufwand“ (mit der richtigen/“vorbeugenden“ Propaganda) … wie täuscht man einen 5-jährigen „Erwachsenen“?

    1. Jein. Zwar haben Sie recht damit, dass da viel Hype und Entstellung seitens medien und politsern ist, aber: Es gibt auch eine reale und erschreckende Problematik. Es *ist* so gut wie alles hackbar; das gilt für jedermanns smartphone oder tablet genauso wie für – auch kritische – Infrastruktur.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.