Weiterführende Inhalte
Im Comicstil sind zwei Arme zu sehen, die aus einem Laptopbildschirm ragen und sich gegenseitig die Hand schütteln. Darüber ein Vertragsdokument.

Ein Bewusster Umgang mit den eigenen Daten für mehr Sicherheit

Nicht nur wirtschaftlich kann man mit rücksichtsvollem Umgang mit den eigenen Daten einen Einfluss haben, wie im Buch „Daten – Das Öl des 21. Jahrhunderts? – Nachhaltigkeit im digitalen Zeitalter“ von Malte Spitz, beschrieben. Auch die Sicherheit kann davon profitieren.

Was der bewusste Umgang mit den eigenen Daten in der Praxis bedeutet, wird in unserem Modul „Einfach Sicher – Surfen“ thematisiert und mit praktischen Handlungsmaßnahmen in Verbindung gebracht. Aber welchen Ursprung haben diese Empfehlung, auf welcher Basis welcher Fakten macht es Sinn, datensparsam und bewusst im Umgang mit Daten zu sein? Für die Beantwortung dieser Frage ist es hilfreich, drei Gefährdungen – Datenlecks, Credential Stuffing und Social Engineering und insbesondere deren Verhältnis zueinander – zu betrachten.  

Was ist eigentlich: Credential Stuffing? 

Für das Credential Stuffing (engl. für ca. „Anmeldeinformation (rein)stopfen“) bildet eine Liste an Logindaten, wie dem Usernamen, der Mailadressen und zugehörigen Passwörtern, die Basis. Diese Logindaten werden in einem Folgeschritt automatisch verwendet und auf verschiedenen Websites ausprobiert. Darunter sind häufig Bestellportale, Social Media Services oder auch Mailservices, aber auch Anbieter von Software für die Zusammenarbeit im Unternehmen, wie beispielsweise Slack oder Teams. Wenn bei dem automatischen Testen der Anmeldeinformationen erkannt wird, dass einige funktionieren, so können die Betrüger:innen diese Logins nutzen, um beispielsweise mit Hilfe eines gekaperten Accounts schadhafte Links an Kolleg:innen zu versenden. Die Basis bilden also die Anmeldeinformationen. Aber woher bekommen Betrüger:innen diese und inwiefern hilft hier Bewusstsein & Datensparsamkeit? Hier lohnt der Blick auf Datenlecks. 

Was sind eigentlich: Datenlecks? 

Bei einem Datenleck bekommen Unbefugte Zugriff auf die Datenbanken, in denen die Betreiber:innen von Internetplattformen häufig alle Daten verwalten. Dabei kann es sich beispielsweise um alle Daten handeln, die von den Nutzer:innen bei einer Registration angegeben wurden, aber um gepostete Kommentare, die hochgeladenenen Bilder oder die individuelle Bestellhistorie. Websitebetreiber:innen versuchen im Optimalfall, dieses Risiko zu minimieren, indem die Datenbanken beispielsweise verschlüsselt werden und der Zugriff erschwert wird. Nicht immer aber ist das erfolgreich, denn auch hier passieren leider Fehler.  

Ein Datenleck bildet eine wunderbare Grundlage für Betrüger:innen, um ihre Anliegen zu verfolgen, denn Daten sind wertvoll – das Öl des 21en Jahrhunderts. Wieso Datensparsamkeit hier helfen kann, ist recht offensichtlich. Wenn zum Beispiel bei einer Social Media Plattform weniger Daten preisgegeben wurden, oder ein Username verwendet wurde, der sonst an keiner weiteren Stelle genutzt wird oder auch eine Mail und Passwortkombination verwendet wurde, die an keiner weiteren Stelle genutzt wurde, so sind die Gefahren des Credential-Stuffings geringer. Wenn man jedoch gleiche Passwörter mit den gleichen Usernames und Mailadressen verwendet, steigt die Gefahr deutlich. Aber nicht nur die Login-Daten sind hier relevant. Darüber hinaus hilft Datensparsamkeit auch, um die Menge an Informationen, die über eine Person im Netz frei verfügbar sind, gering zu halten. Das wiederum bildet eine gute Grundlage, um sich zumindest teilweise gegen Social Engineering zu schützen. 

Was ist eigentlich: Social Engineering? 

Beim Social Engineering (engl. für ca: „soziale Manipulation“) wird gezielt eine Person ausgewählt und so manipuliert, dass sie zum Beispiel dazu gebracht wird, Firmengeheimnisse preiszugeben oder Geld freizugeben. Die Angreifer*innen arbeiten im ersten Schritt häufig wie Detektiv*innen, die frei verfügbare Informationen über die Person sammeln und später verwenden, um beispielsweise Druck auszuüben oder sich als eine bekannte Person auszugeben. Social Engineering sind also geplante und teils sehr gezielte Angriffe auf einzelne Personen in Unternehmen. Häufig sind Führungskräfte das Ziel, aber auch andere Mitarbeiter:innen werden ins Visier genommen werden. Lohnen tut sich, was größtmöglichen Profit ermöglicht. Im privaten Umfeld ist der Enkeltrick ein sehr einfaches, aber erfolgreiches Beispiel für Social Engineering. 

Mit Datensparsamkeit kann man sich zu einem gewissen Grad schützen. Je weniger Informationen über eine Person – beruflich und privat – frei im Internet verfügbar sind, desto schwerer ist die Arbeit der Social Engineers. Es sollte für Dritte möglichst schwer sein, Sie ihren Profilen in sozialen Medien (XING, Instagram, Facebook & Co) zuzuordnen.  Hierfür sind die Privatsphäreeinstellungen dieser Websites ein besonders hilfreiches Tool, aber auch das Löschen alter Accounts. Außerdem macht es Sinn, verschiedene Usernames zu verwenden oder auch temporäre Mailadressen für unwichtige Services zu nutzen. Je häufiger Sie gleiche Angaben tätigen, desto einfacher wird die Aufgabe für die Angreifer*innen. Das gilt für Passwörter, genauso wie für Daten!

Als Fazit ist festzuhalten, dass ein reflektierter Umgang mit Daten dabei helfen kann, ein Bewusstsein für die Informationen zu entwickeln, die man preisgibt. Auch, wenn es nicht immer möglich ist, auf alle Angaben zu verzichten, hilft der Versuch größtmöglicher Datensparsamkeit in der Praxis, die aus Datenlecks entstehende Gefahr bei Credential Stuffing zu verringern. Es ist somit, eine sinnvolle Maßnahme, um mit einfachen Mitteln eine Resilienz gegen verschiedene Cyberangriffe zu stärken.

Bild des Projektmitarbeiters Lutz Terfloth

Lutz Terfloth

Wissenschaftliche Mitarbeiter
Arbeitsbereich Didaktik der Informatik


weitere interessante Blog-Artikel:

Weiterführende Inhalte
Logo

Mittelstand-Digital Themenheft „Sicherer Datenaustausch“

„… In diesem Heft finden Sie Anregungen, Informationen und ermutigende […]mehr

 
Bild eines Safes