Erneuter Datendiebstahl, wieder mehrere Millionen Logins gehackt, wieder ist das BSI mit einer „Überprüfungsseite“ dabei. Déjà-vu, das habe ich doch alles schon mal gehört und wieder weiß man eigentlich nichts, klick und weiter, nächster Punkt der Nachrichten.
Ein bisschen regt es mich auf, wie hier agiert wird.
1. Verwirrung: Woher stammen die Daten? Hierüber wurden schon beim letzten Hack verworrende Informationen verbreitet. Angeblich sei der Rechner des Besitzers der komprimittierten Logins virenverseucht.
Ahhhhja. Mein Rechner ist garantiert virenfrei, gesurft wird auf einer VM mit Virenschutz, stets aktueller Virensignatur, ohne Java, mit NoScript und ohne Einfallstore wie Acrobat Reader und Konsorten, aber dem „Test“ nach war eine meiner emails in der BSI-Datenbank.
Viel logischer erscheint mir da, dass die Daten aus verschiedenen Quellen kamen und zwar nicht nur von Trojanern gesammelt, sondern auch von Datenbankhacks, Phishing, Abgreifen in öffentlichen, ungesicherten WLANs, Brute Force Angriffen usw.
2. Verwirrung: Um was für Daten handelt es sich überhaupt? Schon beim letzten Mal wurde verworrenerweise der Eindruck erweckt, dass es sich um Zugangsdaten zu email-Acounts handelt. Pustekuchen, stimmte aber gar nicht. Es ging offensichtlich, wie sich scheibchenweise herausstellte, allgemein um Logins und das konnte irgendwo sein, wo man einen Zugang benutzt, der aus email-Adresse und Passwort besteht. Das gab das BSI später zu – nur, da war die erste, falsche Nachricht schon in der Welt. Ist sowas nötig?
3. Verwirrung: Was tun? Das BSI sagte, dass der betreffende Rechner höchstwahrscheinlich verseucht ist und man die Viren dringend entfernen muss. Applaus! Wie wir seit der 1. Verwirrung wissen, KANN das sein, muss es aber bei weitem nicht. Mit solchen Falschaussagen wird der Durschnittsuser verängstigt und zu planlosem Aktivismus animiert, aber weiter hatt es keinen Effekt. Außerdem sollte man einen virenverseuchten Rechner ohne wenn und aber neu aufsetzten. Das weiß das BSI sicherlich auch, aber warum sagt es das nicht?
Zudem solle man die betreffenden Passwörter ändern. Ja neee, ist klar. Ja, welche denn bloß? Die vom email-Account oder die bei den anderen 350 Online-Shops, Foren, Communities, Bezahlsystemen, Aboanbietern, Netzwerken und Online-Diensten, die man heutzutage alle so benutzt und wo man ohne Registrierung nicht weiter kommt?
Na gut, war eh Zeit, mal wieder routinemäßig alle Passwörter zu ändern. Sechs komplette Wochenenden zerschossen, allen Freizeitgaudi abgesagt und anstatt dessen Passwörter geändert. Man hat ja sonst nix zu tun. Alles gut.
Und dann? In einer Randnotiz, nachzulesen in einer kleinen Meldung bei Heise, nachdem die große Panikwelle in den großen Medien längste verebbt war, gibt ein BSI-Mitarbeiter zu – ja, ok, die Daten kamen aus verschiedenen Quellen, waren außerdem teils Jahre alt und wurden vermutlich gar nicht mehr missbraucht. Ja sauber! Fazit? Es gab da mal ein Theaterstück von Shakespeare, bei dem ich mich während des Studiums sehr amüsiert habe: Much Ado About Nothing. Übersetzt: Viel Lärm um nichts.
Und heute? Die Dinge ähneln sich. Wieder 1., 2. und 3. Verwirrung, das BSI übt sich in Verschleierungstaktik, verwirrenderweise werden vom Provider email-Konten gesperrt, obwohl die betreffende email angeblich nicht in der BSI-Datenbank ist und nichts Genaues weiß man nicht.
Irgendwie kommt mir die Aesopsche Fabel mit dem kleinen Jungen und dem Wolf in den Sinn. Zu oft hatte der Hirte ohne Grund „Wolf“ gebrüllt und als er dann wirklich kam, hat niemand mehr reagiert.
Und ich? Tue – erstmal – nichts. Halte meine Virensignatur stets aktuell, betreibe mein Jux-Surfen weiter auf einer VM, klicke nicht auf Phishing-Mails, habe sichere und verschiedene Passwörter und warte mal ab. Zum Passwortändern fehlt mir an den nächsten Wochenenden die Zeit – da ist nämlich mal wieder Freizeitgaudi angesagt.
