Todesfall. Was ist jetzt mit dem digitalen Erbe?

Hinterbliebene und Nachkommen haben beim Todesfall eines nahen Verwandten oder Freundes alles Mögliche zu bedenken und zu erledigen. Das digitale Erbe steht für Viele in so einem Moment nicht sehr weit oben auf der Liste.

Sollte es aber. Schon in den ersten Stunden und Tagen „danach“ können die Erben entscheidende Weichen klug oder weniger klug stellen.

Das war schon länger so. Doch seit dem BGH-Urteil zu Facebook aus dem Juli 2018 hat das Thema noch an Dringlichkeit gewonnen.

Der Beitrag stellt Maßnahmen zum digitalen Erbe vor, die es bei einem Todesfall zu ergreifen gilt. Fast noch wichtiger sind allerdings die Sachen, die man besser nicht macht.

weiterlesenTodesfall. Was ist jetzt mit dem digitalen Erbe?

Nach dem BGH-Urteil zu Facebook : Was tun, was lassen?

Das BGH-Urteil zu Facebook verlangt zu allererst eines: über Vertrauliches schweigen!

Hintergrund

Das BGH-Urteil zu Facebook vom 12.7.18 besagt: Facebook-Konten sind vererbbar.

Die Erben sind nämlich gar nicht „andere“ oder „Dritte“, denen das Telekommunikationsgesetz den Zugang verweigern würde. Erben sind fast wie der „Erblasser“ selbst, sie treten an seine Stelle, wie beim Giro-Konto auch.

Und die Kommunikationspartner des oder der Verstorbenen konnten und können nicht sicher davon ausgehen, dass die gemeinsamen Chats & Co wirklich nur die Zielpersonen erreichen. Den Briefkasten im Hausflur kann ja auch ein anderer öffnen. Bei Facebook-Posts, aber auch bei E-Mails, Messages und Chats ist das nicht anders.

Man mag über solche Vergleiche dieses und jenes denken, das Gericht hat es nun mal so gesehen. Die meisten Juristen scheinen auch ganz happy damit zu sein. Diese Denke wird wohl erstmal Bestand haben und sich vermutlich auch noch auf andere Bereiche ausbreiten.

Im letzten Beitrag hierzu habe ich das Urteil mit weiteren Details vorgestellt und beleuchtet.

Das Thema in diesem Beitrag

Was heißt das jetzt für den ganz normalen Web-, Facebook-, Youtube-, E-Mail-, WhatsApp-, DropBox- und iTunes-Nutzer? Was sollte sie oder er tun und was besser lassen?

Der Beitrag richtet sich also praktisch an jeden Internetnutzer. Wenn Sie genau das und keine weiteren Vorbemerkungen lesen wollen, dann klicken Sie hier.

Weitere Themen in folgenden Beiträgen

Nachfolgende Beiträge werden sich an etwas speziellere und damit auch kleinere Zielgruppen wenden:

  • Der nächste Beitrag wird sich an Personen richten, die ihren digitalen Nachlass regeln wollen, im Sinne einer Vorsorge. So, wie man auch irgendwann vielleicht sein Testament schreibt. Nur eben für digitale Sachen und nicht für Briefmarkensammlungen und Siegelringe.
  • Der absehbar letzte Beitrag dieser kleinen Serie richtet sich an Personen, die gerade einen Todesfall im engeren Umfeld (Familie, gute Freunde) erlebt haben. Sie stehen ganz unmittelbar vor der Frage: was mache ich jetzt mit dem ganzen digitalen Kram meines eben verstorbenen Partners, Verwandten, Freundes?

weiterlesenNach dem BGH-Urteil zu Facebook : Was tun, was lassen?

Die Facebook-Karawane zieht weiter…

Facebook-KarawaneFacebook-Gate

Mit „Facebook-Karawane“ bezeichne ich das Heer der vielen, vielen kleinen und großen Unternehmen, die irgendwie an Facebook hängen, durch Facebook Geld verdienen oder mit Facebook groß geworden sind. Der Begriff ist nicht abfällig gemeint, ich bin sozusagen selbst eins dieser Karawanentiere.

Wir alle haben derzeit Angst, dass das „Facebook-Gate“, der Skandal um Cambridge Analytica und die 50 Millionen gemopsten Daten, das eigene Geschäftsmodell beschädigen, gefährden oder gar vernichten könnte. Es sieht derzeit ja wirklich bedrohlich aus.

Ich frage mich allerdings: Ist diese Sorge das einzige, was uns in diesem Zusammenhang bewegen sollte?

weiterlesenDie Facebook-Karawane zieht weiter…

Mein Passwort-Safe

Online-Konten bilden unsere digitale Identität, ein Passwort-Safe schützt diese Identität.In diesem Blog ist es zur Zeit recht leise. Der Grund ist: ich gehe fremd. Konkret schreibe ich gerade an einer Serie zum Thema Passworte und Passwort-Safe – aber eben nicht hier. Die Serie läuft bei BASIC thinking, die Beiträge erscheinen immer Montags.

In den ersten 4 Beiträgen ist es mehr um Grundsätzliches gegangen.

  • Beitrag 1 stellt die Bedeutung des Themas „gute Passworte“ heraus. Im ernst: nie war es so wichtig wie heute!
  • In Beitrag 2 werden drei Wege vorgestellt, seine Passworte leidlich sicher zu managen – ohne dabei einen elektronischen Passwort-Safe zu verwenden.
  • In Beitrag 3 geht es um unterschiedliche Methoden, ein sehr sicheres Passwort zu erstellen. Eine dieser Methoden, etwas strange, ist es, einen Knittelvers zu verwenden.
  • Und in Beitrag 4, der am 12.2.18 erschienen ist, beschreibe ich, wie ein Passwort-Safe so ganz grundsätzlich funktioniert. Aber wirklich nur High-Level, keine Details.

In diesem letzten Beitrag bin ich außerdem ganz generell bei der Erkenntnis angekommen, dass es ohne einen ordentlichen Passwort-Safe nun mal nicht geht. Wer da nicht mitzieht, muss dann auch gar nicht mehr weiterlesen.

Stellt sich also die Frage: was ist ein ordentlicher Passwort-Safe? Welchen soll man nehmen?

Diesem Thema widmet sich Beitrag No. 5, der wohl am 19.2. erscheinen wird. Dabei werde ich Vergleiche aus anderen Quellen zitieren. Das Gute ist: wir haben keine Not, so einen „ordentlichen“ Passwort-Safe zu finden, es gibt tatsächlich einige davon.

Außerdem werde ich allerdings in dem Beitrag auch ein paar Kriterien vorstellen, die mir bei der Auswahl besonders wichtig sind – und die bei diesen anderen Vergleichen etwas zu kurz kommen.

Ab Beitrag 6 geht es dann nur noch um das von mir bevorzugte Produkt: KeePass. Da es Open Source ist und gratis zur Verfügung steht, hat kaum jemand Interesse daran, es groß zu promoten. Anleitungen und Erklärungen sind rar – insbesondere in deutscher Sprache.

In sehr kleinem Umfang werde ich versuchen das zu ändern.

Authentifizierung – so weist man sich aus

Hintergrund

Ich arbeite zur Zeit viel im Umfeld „Passworte“, suche, lese und schreibe täglich irgendetwas dazu.

Eine Abstraktionsstufe höher heißt das Ganze dann „Authentifizierung“. Wer über Authentifizierung nachdenkt, hebt den Blick über den Tellerrand der einfachen Passwort-Suppe.

Ein weiterer spannender Begriff in diesem Kontext ist „Identität“, noch etwas abstrakter und schon irgendwie fast philosophisch.

Wie hängen die drei zusammen?

In der digitalen Welt hat jeder soviele Identitäten, wie er will. Jedes neue Online-Konto etabliert eine neue Identität. Der Otto-Kunde ist vom Amazon-Kunden verschieden, auch wenn dahinter die gleiche physische Person steht. Doch wie erkennt das Shopping-Portal, die Bank, das E-Mail-Konto, der Router, das Vereinsblog und so weiter: wie erkennen sie alle, wer da gerade mit ihm irgendwie in Kontakt tritt? Via Authentifzierung.

Und die läuft heutzutage nun mal in erster Linie über Passworte. Bei besonders kritischen Themen kommt gelegentlich 2FA zum Einsatz, die 2 Faktor Authentifizierung. Der zweite Faktor ist dann etwa eine TAN, die per SMS zugestellt wird.

IBM-Studie

Vor kurzem bin ich nun auf eine Studie von IBM zu diesem Thema gestoßen, „Future of Identity Study, Consumer perspectives on authentication: Moving beyond the password“, erschienen im Januar 2018. Da haben wir gleich alle drei Begriffe in einem Titel.

In diesem Artikel wird die Studie recht ausführlich vorgestellt, er enthält auch einen Link zum Original-Dokument. Es ist kostenfrei, man muss aber seine Kontaktdaten angeben.

Die englisch-sprachige Studie hat einige interessante Ergebnisse zu Tage gefördert. Doch ob und in wie weit die Daten überhaupt belastbar sind, ist zumindest unsicher.

Kritisches Studien-Design

Es handelt sich um eine „globale Studie“ mit insgesamt 3.977 Befragten.

  • 1.976 in den USA
  • 1.004 in der EU (UK, F, I, D, E)
  • 997 im APAC-Raum (Australien, Indonesien, Singapur)

Süd- und Mittelamerika sowie Afrika sind nicht dabei und im APAC-Raum wurden auch nur Kandidaten aus sehr willkürlich ausgewählten Ländern befragt.

2.000 Befragte in den USA mag noch so gerade angehen, jeweils 1.000 Befragte in so inhomogenen Bevölkerungen wie in der EU oder im APAC-Raum ist deutlich zu wenig. Und eine Studie „global“ zu nennen, bei der gute zwei Drittel fehlen – nun ja.

Bias

Die Studie erfolgte online und es gibt keinen Hinweis darauf, dass in der jeweiligen Landessprache befragt wurde. Im Gegenteil, die Aufbereitung läßt vermuten, dass die Fragebögen nur in englischer Sprache waren.

Neben der zu kleinen Stichprobe ist das Studien-Design also ziemlich sicher auch ergebnisverfälschend: Befragt wurden nur Menschen die recht gut englisch sprechen. Wenn auch andere teilgenommen haben, ist anzunehmen, dass sie die Fragen gar nicht verstanden haben.

Gute Aufbereitung

Die Ergebnisse werden in 14 interpretierten und kommentierten Diagrammen präsentiert. Jedes Thema hat seine eigene Seite, ein Diagramm und etwas erläuternden Text. Das ist lesefreundlich und gut strukturiert umgesetzt. Die Komplexität des Themas belastet nicht die Klarheit und Verständlichkeit der Präsentation.

Findings

Die 14 Grafiken enthalten zahlreiche interessante und zum Teil überraschende Informationen. Wer sich mit dem Thema Authentifizierung beschäftigt, sollte diese Studie kennen.

Besonders aufgefallen sind mir diese Ergebnisse:

E-Mail-Sicherheit wird für unkritisch gehalten

Gleich die erste Grafik gibt Antwort auf die Frage: welche digitalen Bereiche halten die Menschen für besonders schutzbedürftig, und wo sollte es in erster Linie mehr um Bequemlichkeit gehen? Besonderen Schutz soll es danach für Finanzielle Anwendungen geben, ganz zuerst Banking-Apps. Deutlich weniger Schutz, aber dafür viel mehr Komfort benötigen hingegen E-Mail- und Social Media Apps.

Das ist eine sehr gefährliche Sichtweise. Denn das E-Mail-Konto ist mittlerweile von einem Kommunikationsmittel zu einer umfassende Authentifizierungs-Plattform mutiert. Sich irgendwo registrieren lassen? Das kann nur, wer eine E-Mail-Konto hat. Da wird der Bestätigungs-Link hingeschickt. Passwort vergessen? Die Rücksetzungs-Nachricht geht ans E-Mail-Konto.

Wenn Dritte unser E-Mail-Konto kontrollieren, dann kontrollieren sie unser digitales Ich.

Die Verkennung dieses Zusammenhangs bzw. der sehr blauäugige Umgang mit dem eigenen E-Mail-Konto sind besorgniserregend.

Alte Menschen sind vorsichtiger als junge

39% der 18-24-Jährigen verwenden komplexe Passworte aus Buchstaben, Zahlen und Sonderzeichen. In der Altersgruppe 55+ sind es 49%.

Und umgekehrt sagen 42% der Jungen, dass sie das gleiche Passwort mehrfach verwenden, bei den „Alten“ sind es nur 31%.

Die Werte zwischen diesen Jung-Alt-Eckpunkten verlaufen kontinuierlich steigend bzw. fallend.

Ergebnis-Summary

Im Summary der Studie werden noch diese Punkte besonders herausgestellt:

  • Die Menschen sind insgesamt über die verschiedenen Authentifizierungs-Möglichkeiten recht gut informiert.
  • Sie sind sich der Bedeutung des Themas Sicherheit bewusst.
  • Manchen biometrischen Methoden der Authentifizierung stehen viele noch skeptisch gegenüber, aber die allgemeine Bereitschaft dafür ist vorhanden. Man möchte nur die Wahl haben und nicht eine Methode aufgezwungen bekommen.
  • Der Gedanke des Sicherheits-Risikos im Sinne einer Gefährdungs-Wahrscheinlichkeit („risk-based authentication“) stößt auf Akzeptanz. In der Tat ist es schon jetzt absurd, wenn einfach zwischen sicher und nicht sicher unterschieden wird. Schon jetzt gibt es nur eine kleine oder eine größere Chance, dass zum Beispiel ein Konto gehackt wird. Entsprechend dieser Chance könnte die Authentifizierungs-Methode angepasst bzw. ausgewählt werden.

Weitere Passwort-Beiträge

In der jüngeren Vergangenheit sind hierzu noch diese Beiträge von mir erschienen:

  • Teil drei einer Serie rund um das Thema Passwort. Geplant waren ursprünglich sieben Artikel, aber das wird wohl nicht reichen, acht oder neun sind möglich.
  • 8 Fakten zu Passworten, die helfen das Thema Passworte besser zu verstehen.

Digitale Reife

Abstract

Die mangelnde digitale Reife in Deutschland ist Ursache für seine international zweitklassige IT-Position. Aber digitale Reife hat nichts mit modernen Geräten und üppiger Bandbreite zu tun. Die Ursachen des Mangels stecken in unseren Köpfen.

Die folgenden drei Beispiel zeigen einmal mehr: die wichtigste Zukunfstinvestition in Deutschland muss der digitalen Reife gelten.

weiterlesenDigitale Reife

Software-Schwachstellen gehen zurück, yippie!?

Gute Nachricht?

Anfang des Jahres erreichte uns diese tolle Nachricht: Gegenüber 2015 ist die Anzahl der registrierten Software-Schwachstellen weltweit von 6.400 auf 5.600 zurückgegangen, über 10% minus! Die Quelle ist das Hasso-Plattner-Insititut in Potsdam.

Die Nachricht ist aus dem Januar 2017, jetzt, einen Monat später sind wohl doch noch ein paar Bugs nachgemeldet worden, jetzt sieht es doch wieder nach Anstieg aus. (gelb = geringer Schweregrad, rot = hoher Schweregrad). Schade, zu früh gefreut.

Software-Schwachstellen laut Hasso-Plattner-Institut am 18.2.17

Ein Armutszeugnis

Doch es ist eigentlich gar nicht so wichtig, ob die Werte nun noch ein wenig gestiegen oder womöglich wirklich ein kleines bisschen gesunken sind. Viel wichtiger ist mir ihre absolute Höhe. 6.500 Schwachstellen sind einfach zu viele. Diese Zahlen sind darum für mich ein Armutszeugnis für eine ganze Branche.

Es gab alleine knapp 2.500 schwere Software-Schwachstellen – so groß ist der rote Balken. Wenn das Autos wären, dann würden in all den betroffenen Modellen die Bremsen oder die Lenkung nicht funktionieren. Kühlschränke würden über Nacht abtauen. Atomkraftwerke würden unerlaubte Mengen Strahlung abgeben.

Seit 30 Jahren haben wir uns aber daran gewöhnt, dass das gute alte Prinzip der 0-Fehler-Auslieferung für Software einfach nicht gilt. Hier herrscht statt dessen das Multi-Fehler-Prinzip, ganz hemmungslos. Die spätere Fehlerbehebung ist ja bereits Teil des initialen Roll-Out-Plans, sie ist Teil der Marketing Strategie.

Zugegeben: es klappt auch bei den Autos, Kühlschränken und Atommeilern nicht immer. Wir kennen aufwendige Rückrufaktionen und wir kennen auch Tschernobyl. Aber in diesen Branchen wird es zumindest angestrebt. Im IT-Bereich ist grüne Banane das Geschäftsprinzip.

Ebenfalls zugegeben: Eine Ursache der Malaise ist der massive Preisdruck – und dafür sind am Ende ja wir selbst verantwortlich. Aber andererseits: bei Autos und Kühlschränken sind wir doch nicht wirklich großzügiger.

Dabei misst dieser Index (es ist der CVSS-Index) nur die Sicherheits-Schwachstellen, die Angreifbarkeit. Die reine Funktionalität (tut es, was es verspricht?) steht dabei noch gar nicht zur Debatte. Vermutlich könnte man alle Werte verdoppeln oder verdreifachen, wenn die Qualität in diesem Sinne ganzheitlich bewertet würde.

Die wirkliche Ursache

Aus meiner Sicht ist die wirkliche Ursache, dass Software keinen ernst zu nehmenden Zulassungsbedingungen unterliegt. Jeder, der sich für einen Entwickler hält, kann entwickeln und dann vermarkten. Angesichts der IT-Abhängigkeit von immer mehr Lebensbereichen ist diese Situation wirklich absurd fahrlässig. Doch welche (semi-)staatliche Stelle traut sich an eine solche Aufgabe heran?

Die schwierigen Deutschen gelten nicht gerade als Digitalisierungs-Fans. Sie sind eben Qualitäts-Fans, schon immer gewesen. Ein Grund für ihre Zurückhaltung ist darum sicher in dieser Multi-Fehler-Kultur zu suchen.

Der Passwort-Reim so kräftig holpert, …

…dass Brute-Force-Angriff sich verstolpert.

Dieser Vers ist ein mögliches Format für wirkliche sichere Passworte, folgt man einer Arbeit von Marjan Ghazvininejad und Kevin Knight von der University of Southern California (USC).

Der Reim ist ein vierfüßiger Jambus (aka „Knittelvers“), in dem sich betonte und unbetonte Silben abwechseln, beginnend mit einer unbetonten. Binär würde man dieses Ab und Auf in jeder Zeile so abbilden: 01010101. (In unserem Beispiel haben wir das Schema etwas stark „verknittelt“: die unbetonte letzte Silbe gehört da eigentlich nicht hin.)

Auf Englisch ist es etwas leichter:

Sophisticated potentates
misrepresenting Emirates

macht so gut wie keinen Sinn mehr, aber ist formal voll korrekt und reimt sich eben.

Und was soll der ganze Poesie-Zirkus? Die Verse sind gute Passworte!

weiterlesenDer Passwort-Reim so kräftig holpert, …

Phishing Fritz phished frisch

phishingGerade ist eine recht gut gemachte Phishing-Mail im Umlauf. Sie ähnelt recht stark den Mails, die man sofort nach einer Zahlung von PayPal bekommt.

Als Phishing ist die Mail eigentlich nur erkennbar an der fehlenden Anrede, da müsste „Guten Tag, Peter Apel!“ stehen. Ein weiteres Indiz ist noch die Referenznummer. Bei PayPal heißt das Transaktionscode – aber wer merkt sich solche Details?

Verdächtig sollte dem Empfänger die Mail allerdings sofort sein, denn erstens hat er die Bestellung ja gar nicht ausgelöst und zweitens stimmt die Lieferadresse nicht (hier mit grauem Balken).

Letzte Sicherheit, dass es sich um Phishing handelt, gibt dann ein Besuch beim Online Konto, kennt PayPal diese Zahlung? Nein, natürlich nicht.

PayPal ist ein beliebtes Angriffsziel für Spoofer und Phishermen, alles ist immer nur Online und gerade die vielen Sicherheits-Mails stumpfen irgendwie ab, machen den Aufmerksamkeits-Sensor taub. Darum hat das Unternehmen auch selbst dazu eine FAQ-Seite eingestellt.

Unter anderem findet man da eine Adresse, an die man verdächtige Mails schicken kann: spoof@paypal.com. Und auf der Facebook-Seite von PayPal sollen immer aktuelle Phishing-Fälle vorgestellt werden. Der hier gezeigt Fall ist da allerdings noch nicht, das frischeste Beispiel ist vom 21.10.15, also gut 20 Tage alt.

Wie schützt man sich gegen Phishing?

weiterlesenPhishing Fritz phished frisch

IT-Sicherheit: Sind die Deutschen Pharisäer?

riskyUnvorsichtige Bürger

Vor wenigen Tagen konnte man erfahren: nur jeder vierte Internetnutzer verwendet systematische Methoden zur Passwortverwaltung wie Passwortmanager oder Passwortsafe (BITKOM vom 22.10.14). Und in der FAZ konnte man fast zeitgleich lesen, dass knapp 30% der Internetnutzer aus Sicherheitsgründen auf Online Banking verzichtet, Quelle wiederum BITKOM.

Schaut man auf die andere Seite der Kuchen, auf die anderen jeweils 70-75%, dann stellt man fest: Wie immer man die halben und Viertel-Torten übereinander legt, übrig bleiben rund 50%, die am Online Banking teilnehmen und ihre Passwörter nicht mit den o.g. Tools verwalten und schützen.

Nun ist Online-Banking ja kein Kinderfasching, hier kann man nicht nur versehentlich ein paar peinliche Fotos aus der Sauna oder Joint-Bekenntnisse aus frühen Schultagen den falschen Leuten zugänglich machen. Beim Online Finanzmanagement kann man richtig was versemmeln!

Alles Pharisäer?

Haben wir hier also einen weiteren Beleg für die schizophren-hysterischen Deutschen, die zwar abstrakt und theoretisch sehr viel Angst vor allen möglichen Bedrohungen der IT-Welt äußern (BITKOM: 81% haben Angst vor Ausspähung im Web), die aber, wenn es um das eigene umsichtige und sicherheitsbewusste Datenmanagement geht, sehr nachlässig weil vermutlich bequem sind? Sind wir Deutschen IT-Pharisäer?

weiterlesenIT-Sicherheit: Sind die Deutschen Pharisäer?