Ich werd ja gerne für einen Spinner gehalten, wenn ich versuche Menschen für mehr Selbstdatenschutz zu sensibilisieren. Wer sollte mich beobachten, wer sollte mich ausforschen und überhaupt: Ich habe doch gar nichts zu verbergen.
Lasst mich kurz am Beispiel von X. erklären, warum das ein Problem ist.
X. und ich, wir kennen uns nicht. Was X. nicht weiß ist, dass er am Freitag im Zug gut 2h neben mir gesessen hat. X. ist in Essen zugestiegen und war bis Bielefeld mein Nachbar. In Essen war er bei einem Kunden, denn X. ist nicht nur in der Kirche aktiv, sondern macht auch irgendwas mit Web und einer größeren Gewerkschaft. In Essen hat er eine Website die er betreut. Oder – wäre ich ein Bösewicht – betreute. Denn die Zugangsdaten für die Website hab jetzt ich. Oder hätte ich jetzt, denn natürlich ist das hier rein fiktiv und ich habe nichts ernsthaft mitgeschrieben. Hätte ich das gemacht, hätte ich seinen Kunden erst über die Schlampigkeit informiert und dann natürlich hervorragend eine eigene Beratungsleistung verkaufen können.
Wieso ich die Zugangsdaten gehabt hätte? X. ist als erstes online gegangen. Mit seinem schicken MacBook, aber leider ohne VPN. Das ist in einem geteilten und noch dazu fremden Netz dumm. Das ist noch dümmer in einem öffentlichen Netz, dass die Kommunikation von WLAN-Devices untereinander erlaubt. Mit meinem Notebook statt Handy hätte ich seinen gesamten Datenverkehr mitschreiben können. Ein professioneller IT-Dienstleister darf sich sowas nicht erlauben!
Das ist schon nicht so prickelnd. Vor allem, da die Website die er betreut kein HTTPS verwendet, also alle Daten im Klartext über das Netz schickt. Die Administration erfolgt über ein sehr beliebtes „CMS“.
Daneben hat X. dann natürlich auch noch Mails bearbeitet. Zum Beispiel die korrigierte Rechnung von Z., dem ich natürlich jetzt ein Angebot machen könnte, das deutlich unter den Preisen von X. liegt. Aber man muss X. zu Gute halten, dass er die Rechnung sofort an einen Kollegen zur Zahlung weitergeleitet hat.
X. hat übrigens auch eine junge Tochter, die „Youtube-Stars“ mag. Ich weiß das, weil er sie in ein Fortbildungskonzept für die Jugendarbeit eines kirchlichen Trägers einarbeiten möchte. In Berlin, vermutlich war er gerade auf dem Weg dorthin. Woher ich das alles weiß?
Logischer Weise, weil X das alles in gut lesbarer Größe in sein MacBook tippt. Das sich dank hervorragend blickwinkelstabilem Display auch super aus extremen Winkeln angucken läßt. Was bei Videos ein Traum ist, mag bei Arbeiten im Zug schnell zum Albtraum werden. Ich muss ja nicht mal lange auf das Display schauen, hier und da ein Blick reicht ja.
Übrigens verschlüsselt X. Mails natürlich auch nicht und er signiert sie genau so wenig. Mit den Informationen die ich über ihn hätte sammeln können, hätte ich in seinem Namen auch ganz schön viel Unsinn anrichten können. Ich könnte unter seinem Namen jetzt beliebig Mails versenden – weil er seinen Kunden keinerlei Möglichkeit gibt, die Authenzität des Absenders zu prüfen… Und ich weiß sogar mit welcher Floskel er sich verabschiedet.
Ihr seht also: Selbst wenn man sich nicht einmal bemüht, man kann ganz schön viel aus zufälligen Beziehungen saugen. Und so stellt sich natürlich die Frage, was X. hätte besser machen können.
1. Er hätte vielleicht kluger Weise im Zug gar nicht gearbeitet. Sondern entspannt. Aber wenn er schon arbeiten muss oder will:
2. Es gibt Blickschutzsysteme für Notebooks (z. B. von 3M) die ich zwingend verwenden sollte, wenn ich vertrauliche Informationen bearbeite. Und meine Kunden sind vertraulich.
3. VPN, VPN und VPN: Wann immer ich kabellos in einem Netz bin, dass ich mir mit anderen Teile, gilt es besonders vorsichtig zu sein. Bei LTE/UMTS geben sich die Netzbetreiber schon Mühe, ein Ausspähen von Daten möglichst schwer zu machen. Aber im WLAN? Egal ob verschlüsseltes oder unverschlüsseltes WLAN, grundsätzlich haben alle Teilnehmer im gleichen Netz Zugriff auf meine Daten! Das bedeutet, dass egal was ich tue, meine erste Handlung ist das aktivieren von VPN. Zwar bieten heute viele Websites mit HTTPS und auch Maildienste mit Transportwegsicherung einen gewissen Schutz. Aber dieser Schutz ist nicht überall gegeben und selbst wenn, bietet VPN einen weiteren Sicherheitslayer (den man übrigens auch bei LTE/UMTS nutzen sollte….)
Der Punkt 3 gilt übrigens nicht nur für Daten-Nomaden die unterwegs arbeiten. Sondern für jeden von Euch!
Natürlich hätte X. auch einfach ein bisschen aufmerksamer sein können. Statt im Hintergrund das Staffelfinale von Battlestar Galactica zu gucken, hätte er einfach mal seine Umgebung beobachten können. Dann wäre ihm sicherlich auch aufgefallen, wenn ich auf seinen Bildschirm schaue und wenn ich sogar mein Handy in der Hand direkt neben sein Notebook halte.
Das Problem ist: X. ist kein Einzelfall. Auf jeder Zugfahrt finde ich einen oder mehrere wie X. und das Alphabet hat nicht genug Buchstaben. Und auch außerhalb des Zugs:
Im Cafe, im Bahnhof, schlicht überall sind Menschen unterwegs die unfassbar sorglos mit ihren Daten umgehen. Das kann daran liegen, dass man in Zeiten des NSA-Skandals ziemlich abgestumpft ist. Und sicherlich auch daran, dass man gar nicht vermutet, dass jemand anderes Interesse an den eigenen Daten haben könnte.
Nur leider… die Welt ist schlecht.
Das was ich hätte machen können und nicht gemacht habe: Seid ihr sicher, dass der nächst der kommt ebenfalls darauf verzichtet? Oder sich vielleicht doch den „Spaß“ gönnt mal zu sehen obs ich nicht ein paar € aus Euren Daten gewinnen lassen?
Disclaimer: Einen Teil der Dinge die ich weiß, weiß ich gar nicht. Ich habe mich bemüht so wenig wie möglich mitzubekommen und ich betone noch mal: mein iPhone ist nicht in der Lage Daten mitzuschreiben. Ein Notebook dagegen ist nicht abhängig von der Software im AppStore und wer möchte kann ja mal gucken, was z. B. Cain&Abel zu tun vermögen. Ich wollte Euch aber eindringlich klar machen, wie viel man auf einer Bahnfahrt u. U. von sich preis gibt.
Nachtrag: sehr schöner Artikel „Welcome to The Internet of Compromised Things“