Martins key.matiq-Blog

>> Zurück zum Artikelverzeichnis >>


Das Plaudertaschenproblem

Geschrieben: 10.09.2024
Stichwörter: Grundsätze, Kennwörter, Sicherheit

Das Risiko, das von Plaudertaschen in der digitalen Welt ausgeht, wird oft unterschätzt, weil die schweren Schadensfälle zwar zunächst selten, irgendwann aber mit voller Wucht eintreten. In diesem Artikel geht es darum, aufzuzeigen, wie man das Ausmaß der Bedrohung abschätzen und reduzieren kann.

Plaudertaschen – ein reales Problem für die Passwortsicherheit

Viele Nutzer*innen verwenden ein und dasselbe Kennwort für verschiedene Internetdienste. Das Problem ist, dass, wenn einer dieser Dienste gehackt wird, es nicht weit bis zur Offenlegung des Kennworts ist, ja manchmal die Offenlegung schon erfolgt ist. Und dass es kaum ein Problem für die Hacker*innen ist, dieses Kennwort auch bei den vielen anderen Internetdiensten für dieselbe E-Mail-Adresse auszuprobieren.

D. h. also, wenn jemand dasselbe Kennwort für mehrere Dienste verwendet, läuft er*sie Gefahr, dass nach dem Hacken eines Dienstes für diese Person alle Internetkonten gehackt werden.

Aber tritt dieser Fall wirklich so häufig auf, dass man von einem Problem sprechen muss? Sind nicht die ganzen seriösen Shops und Dienste in hohem Maß sensibilisiert und verhindern die Offenlegung der Kundschaftsdaten? Würde es dann nicht ausreichen, dass man sich auf seriöse und große Dienste konzentriert, die ihre DSGVO-Konformität durch Datenschutzerklärungen dokumentiert haben?

Von dieser Gutgläubigkeit dürfte nicht mehr viel übrigbleiben, wenn man bedenkt, wie oft E-Mail-Adressen für Spam-Mails missbraucht werden: Die Adressat*innen haben ihre E-Mail-Adressen in aller Regel nur ihren Bekannten und den von ihnen besuchten Internet-Diensten und -Shops mitgeteilt. Eine unbefugte Weitergabe der Adressen ist nach der DSGVO Firmen und Vereinen verboten. Wie aber sind die Spammer*innen an die Adressen gekommen?

Wer E-Mail-Adressen anderer nicht ausreichend schützt, sondern einfach ausplaudert oder sogar absichtlich Dritten verrät, kann wohl kaum als gute Hüter*in von Kennwörtern gelten.1

Lösen nicht Passkeys das Problem?

Leider nicht vollständig. Zwar gibt es bei Passkeys das Plaudertaschenproblem nicht. Aber zum einen sind sie noch2 viel zu wenig verbreitet, als dass sie das Problem signifikant reduzieren. Zum anderen werfen sie auch neue Probleme auf, die noch zu lösen sind.3

Schließlich stehen Passkeys nur für Internet-Konten zur Verfügung, während Passwörter für Geräte, verschlüsselte Platten u. a. nach wie vor benötigt werden und daher das Plaudertaschenproblem so oder so (aber vielleicht irgendwann auch mit geringerer Priorität und anderen Schwerpunkten) angegangen werden muss.

Schaden durch Kompromittierung von Kennwörtern minimieren!

Das Ziel muss sein, die Leckrate von Kennwörtern, genauer den Schaden, den diese Lecks anrichten, zu minimieren.

Dazu müssen wir zunächst die Wege, die ein kompromittertes Kennwort von der Autor*in bis hin zur Hacker*in nehmen kann, verstehen und in ihrer Wahrscheinkeit bewerten. Wir müssen Gegenmaßnahmen diskutieren und deren Wirksamkeit beurteilen lernen. Und schließlich müssen solche Maßnahmen so priorisiert werden, dass der zu erwartende Gesamtschaden vertretbar klein gehalten wird.

Fangen wir mit dem Verstehen an:

Vom Ausplaudern bis zum Verrat

Die "Plaudertasche" steht für eine ganze Bandbreite von Leckagen: Vom unnötigen Teilen von Geheimnissen mit weiteren Personen über die Mehrfachbenutzung eines Kennworts für verschiedene Zwecke, das unabsichtliche oder grob fahrlässige Ausplaudern bis hin zum direkten Verrat.

Kommt es zur Offenlegung eines Kennworts so ist meist die Autor*in selbst deren Ausgangspunkt, d. h. sie war wohl die erste Plaudertasche.4. Am Schluss steht entweder die Hacker*in oder die zumindest die Ungewissheit, ob und wann eine Hacker*in von dem Kennwort erfährt und größtmöglichen Schaden anrichtet. Dazwischen können noch Mittelsleute stehen, die von dem Passwort erfahren und dann leichtfertig oder auch bewusst dieses weitergegeben haben.

Die Mittelsleute kann man vielleicht noch beeinflussen und zum Schweigen verdonnern, aber das wird immer aussichtsloser, je weiter sich die Kenntnis über das Passwort verbreitet hat. Hat es die Hacker*in erreicht, ist das Kind in den Brunnen gefallen.5

Ist ein Kennwort ausgeplaudert oder verraten, kann nur noch der Wechsel helfen.6

Die Autor*in als erste mögliche Plaudertasche

Die Autor*in eines Geheimnisses sollte sich darüber im Klaren sein, dass sie im weiteren Sinn selbst ein Kennwort ausplaudert, wenn sie es

  • mit unnötig vielen Personen teilt7 und/oder
  • ohne echte Not für verschiedene Zwecke einsetzt und/oder
  • das Kennwort unzureichend geschützt speichert8 und/oder
  • so schwach wählt, dass es aus einem Hash leicht entschlüsselt9 werden kann,

und somit das Risiko der Offenlegung erhöht.

Eventuell plaudernde Mittelsleute?

Ein Geheimnis erster Ordnung10 darf nur die Autor*in jemand anders weitergeben. Wenn diese*r jemand anders es seinerseits (ohne Rücksprache mit der Autor*in) einem*einer Dritten weitererzählt, ist das Ausplaudern oder gar Verrat. Diese*r Dritte wird dann kaum noch Hemmungen haben, es einem*einer Vierten weiterzugeben. Und dann kann man nur noch hoffen, dass bei der Weitergabe das Geheimnis nach dem Stille-Post-Effekt11 dieses so verfälscht wird, dass letztlich doch keine Hacker*in von dem ursprünglichen Kennwort erfährt.12

Wenn man mit jemand ein Geheimnis teilt, gibt man dieser Person auch das Signal, dass es schon Gründe gibt, es weiterzuerzählen. Warum sollte also diese Person verschwiegener sein als man selbst? Diese Frage sollte man sich immer selbst stellen und beantworten. Im Ergebnis sollte man so kommunizieren, dass die Mitwisser*innen sich ihrer Verantwortung bewusst sein werden, oder man sollte auf die Weitergabe verzichten.

Es gibt jedoch immer mal wieder Situationen, wo man ein Geheimnis erster Ordnung mit jemand anders teilen muss:

  • Wenn z. B. ein Administrations-Kennwort eines Geräts von mehreren Menschen benutzt wird. Denn erkrankt eine Administrator*in, muss jemand anders das Gerät hochfahren können. Das Teilen ist hier dauerhaft. Man muss aufpassen, dass es nicht zu viele Administrator*innen werden. Sollte eine Administrator*in ausscheiden, sollte das Kennwort geändert werden. Die Chef*in der Administrator*innen dagegegen braucht das Kennwort nicht zu wissen, solange sie nicht selbst zu den Administrator*innen zählt. (Bei ihr reicht dann eine versiegelte Hinterlegung.)
  • Man kann sich einen Finger der primären Hand brechen und braucht gerade in solch einem Fall das eigene Smartphone. Natürlich wird man die gute Freund*in bitten, doch das Kennwort einzugeben, um das Telefon zu entsperren. Wenn das Kennwort kryptisch genug und die Freund*in verschwiegen genug ist, muss man sich nicht unbedingt verrückt machen und kann selber einschätzen, ob die Freund*in das Kennwort bald wieder vergessen haben wird. Ansonsten ist man mit einem baldigen Wechsel des Kennworts auf der sicheren Seite.

Geteilt und dann das Mitwissen vergessen?

Die Administrator*in eines Computers verlässt die Firma. Wird das Admin-Passwort geändert?

Peter hat die PIN seiner Bank-Karte der Freundin gegeben, um Geld vom Automaten zu holen. Die Freundschaft zerbricht. Ändert Peter die PIN?

Es heißt nicht nur "sowenig wie möglich Mitwisser*innen", sondern auch, dass das Mitwissen nur "solange wie nötig" dauern sollte!

Ein Kennwort für verschiedene Internetdienste?

Wird das Kennwort bei einem Dienst kompromittiert, können die Hacker*innen es auch bei anderen Diensten ausprobieren, mit der gleichen E-Mail-Adresse oder auch anderen. D. h. der mögliche Schaden wird minimiert, wenn man für jeden Zweck ein anderes Kennwort verwendet.

Im Internet ist es nicht schwer, verschiedene Passwörter für verschiedene Dienste zu verwenden. Der Browser kann die Kennwörter speichern und automatisch beim Anmelden einfügen.

Unsichere Speicherung von Kennwörtern?

Kennwörter lassen sich mit den meisten Passwortmanagern sicher speichern.13 Bei Browsern ist die Sache schon komplizierter. Beim Firefox14 schützt jedoch die gespeicherten Kennwörter entweder ein Hauptpasswort (auf Desktop-Computern) oder die Nutzung des Android Keystore (unter Android14) oder eines entsprechenden Mechanismus (unter iOS14). Bei anderen Browsern kann ich aber hierzu keine sichere Aussage treffen.

Wenn die vom Browser gespeicherten Kennwörter nicht gut geschützt sind, dann kann jede*r, der auf die Platte des Geräts physikalisch zugreifen kann, diese auslesen und damit die Kennnwörter abgreifen.

Wir kennen jetzt die Wege. Was folgt daraus?

Vielleicht haben Sie jetzt ein Gefühl dafür entwickelt, wo bei Ihnen selbst und Ihren Freund*innen die Schwächen liegen könnten.

Über die Sicherheit von Internetdiensten und Betriebssystemen kann ich Ihnen soviel verraten:

  • Hauptsächlich ist dort alles viel sicherer als bei den meisten normalen Internetnutzer*innen (wie Sie es wahrscheinlich sind).
  • Aber: Neben erstklassiger Hochsicherheitssoftware kann man dort auch immer wieder abgrundtiefe Schwachstellen antreffen.15 Manchmal konnte man in der Zeitung davon lesen, manchmal habe ich selbst solche Schwachstellen gefunden, aber auf der Provider- bzw. Herstellerseite keine Ansprechpartner*in gefunden, die bereit war das aufzunehmen und weiterzugeben. (Diese Erfahrung haben auch andere gemacht.16)

Daraus folgt aber, dass vor allem Sie selbst als Nutzer*in gefordert sind, Maßnahmen zu ergreifen.

Konsequenzen

Nutzer*innen digitaler Geräte und Dienste sollten das Plaudertaschenproblem ernst nehmen und deshalb folgende Vorsichtsmaßnahmen treffen:

  • Kennwörter sollten, soweit es leicht möglich ist (d. h. insbesondere bei Internetkonten) stark gewählt werden, d. h. sie sollten zufällig generiert werden, mit 128 Bit Entropie. Die Speicherung sollte in einem Passwortmanager und einem sicheren Browser (Firefox, auf Desktop mit Hauptpasswort) erfolgen.
  • Kennwörter, die ohne Hilfe eines Passwortmanagers von Hand eingegeben werden müssen, müssen natürlich merkbar, aber dabei wenigstens so stark wie möglich gestaltet werden. Pseudozufällige Kennwörter eignen sich für diesen Zweck.17
  • Für jeden Zweck sollte ein eigenes Kennwort gewählt werden. Das gilt insbesondere für Internetkonten.
  • Die Kennwörter sollten nur wenn nötig mit anderen (und dann mit möglichst wenigen, aber nicht mehr als zwei) Leuten geteilt werden.
  • Die Kennwörter sollten jeweils nur so lange wie nötig mit anderen geteilt werden. D. h. ist das Teilen nicht mehr erforderlich, sollte das jeweilige Kennwort gewechselt werden.
  • Bevorzugen Sie Dienste, Geräte und Software, deren Hersteller ein hohes Sicherheitsbewusstsein erkennen lassen.18 Vermeiden Sie dagegen unnötige Apps.19
 

1) Man könnte einwenden: "Aber Kennwörter werden doch hoffentlich besser geschützt als E-Mail-Adressen?"

In der Regel ja, schon etwas besser, aber es gibt da gewaltige Unterschiede, wie gut dieser Schutz ist:

  • Der Schutz ist perfekt, wenn das Kennwort sehr stark ist, und mit einem starken Hashing-Algorithmus verschlüsselt wird.
  • Wenn das Kennwort nicht ganz so stark ist, sollte eine zusätzliche Schlüsselstreckung20 zum Einsatz kommen.
  • Kaum ein Dienst verlangt aber ein genügend starkes Kennwort. Dann lässt sich nach Abgreifen der Serverdaten das Kennwort ermitteln.9
  • Es kommt sogar bisweilen vor, dass Dienste Kennwörter im Klartext ablegen. In diesem Fall ist der Schutz der Kennwörter um keinen Deut besser als der der E-Mail-Adressen.
  • Und dann gibt es sogar Dienste, die zunächst völlig seriös erscheinen und man erst nach näherem Hinsehen merkt, dass es sich um Gauner*innen handelt. Bei solchen Leuten muss man durchaus damit rechnen, dass sie E-Mail-Adressen und Kennwörter für die bei ihnen angelegten Internetkonten meistbietend im Darknet verhökern, ohne dass man es ihnen dann direkt nachweisen kann.

2) Im Jahr 2024, dem Zeitpunkt der letzten Komplettüberprüfung dieses Artikels.

3) Es handelt sich vor allem um Datenschutzprobleme. Z. B. darum, ob die Hersteller der großen Betriebssysteme über die Passkeys eine Möglichkeit bekommen, Aktivitäten der Benutzer*innen zu tracken, konkret: mit welchen Geräten Sie ein Konto bei welchen Diensten registrieren.

Dann spielt eine Rolle dass man ja nach Verlust oder Zerstörung eines Geräts wieder auf die Internetkonten von einem neuen Gerät aus zugreifen können will. Dazu muss aber zuvor eine Sicherung der Passkeys erfolgen. Da es (zumindest derzeit2) keine Export/Import-Funktion für Passkeys gibt, müsste diese über die Cloud erfolgen. Und da bestehen ebenfalls Datenschutzbedenken, wenn bei der Datensicherung nicht ausgeschlossen werden kann, dass auch personenbezogene Daten mitgesichert werden. (Unternehmen müssen nach der DSGVO für die Sicherung personenbezogener Daten, auch wenn diese verschlüsselt sind, einen rechtssicheren Auftragsdatenverarbeitungsvertrag abschließen. An diesem Punkt gab es jedoch Probleme. Siehe z. B. AG DSK "Microsoft-Onlinedienste").

4) Das ist nicht immer der Fall. Wenn z. B. der Internetdienst die Kennwörter im Klartext (oder nur grob verschleiert21) ablegt, dann müsste man wohl zunächst diesen prügeln. Die Kund*in müsste schon als Kennwort eins der bekanntesten Passwörter verwenden, um das noch zu toppen.
Wenn wir von Internetnutzer*innen als grob fahrlässig ansehen, allseits bekannte Kennwörter zu verwenden, sollte man von Webprogrammierer*innen erwarten können, dass sie für einen Mindestschutz der kritischen Daten sorgen.

5) Was oft nicht bedacht wird: Für eine Hacker*in ist es meist gar nicht so wichtig, zu wissen, wem das Passwort gehört oder für was es gebraucht wird. Es reicht zu wissen, dass es gebraucht wird. Es wird dann in eine Wörterliste eingefügt und mit regelmäßigen Brute-Force-Angriffen bei beliebigen Diensten und Konten automatisch ausprobiert.

6) Früher wurde deshalb bereits vorsorglich ein häufiger Wechsel von Kennwörtern empfohlen. Aber es hat sich gezeigt, dass diese Regel eher kontraproduktiv ist: Sie führt nämlich dazu, dass dann – wegen der hohen Belastung für die Nutzer*innen – eher zu schwache Kennwörter gewählt werden. Und die Schwäche von Kennwörtern ist eben auch eine Form des "Ausplauderns", wenn auch nur im weiteren Sinn des Wortes.

Deshalb sollte man ein Kennwort meist erst dann wechseln, wenn ein Verdacht auf mögliche Offenlegung besteht. Ansonsten hat die Stärke von Kennwörtern und das Achten auf Geheimhaltung Priorität.

7) Für das Teilen von Geheimnissen gilt: Sowenig wie möglich, nur so viel (und auch nur solange) wie nötig.

Ein Geheimnis erster Ordnung (Kennwörter, bei deren Missbrauch erheblicher Schaden entsteht), sollten nicht mehr als drei Personen kennen. Nur so ist der Druck, Stillschweigen zu üben (weil sonst für die Plaudertasche die Gefahr der Entdeckung besteht) aufrecht zu erhalten.

Ein Abweichen von dieser Regel würde den Mitwisser*innen fatalerweise signalisieren, dass das Geheimnis eben doch nicht ganz so streng geheim zu halten ist.

8) Eine sichere Aufbewahrung ist nur digital durch einen Passwortmanager (mit einem starken Hauptpasswort verschlüsselt) oder analog (schriftlich) in einem Tresor gegeben.

Es muss einer Datendieb*in sehr schwer gemacht werden, die Daten zu stehlen. Sollte es ihr dennoch gelingen, muss zumindest sichergestellt sein, dass der Einbruch als solcher rasch entdeckt wird.

Mit einem für andere zugänglichen Passwortbuch sind diese Forderungen jedenfalls nicht erfüllt.

9) Internetdienste und Betriebssysteme von Geräten schützen (wenn sie es richtig machen) deren Passwörter über eine krytografische Hashfunktion. Doch wenn ein Passwort schwach ist, kann dieser Schutz versagen.

10) Als "Kerngeheimnisse" oder "Geheimnisse erster Ordnung" sehen wir Passwörter und alle ähnlich kritischen Daten an, die also streng geheim zu halten sind, weil deren Offenlegung wesentlichen Schaden anrichten könnte.
Im Blog-Artikel "Persönliche Daten schützen" grenze ich diese zu Geheimnissen zweiter Ordnung ab, die nicht ganz so geheim sind, aber auch zu den zu schützenden personenbezogenen Daten gehören.

11) Siehe Wikipedia "Stille Post".

12) Ob das Weitererzählen sich totläuft und schließlich doch nur eine begrenzte Anzahl von Personen das wahre Geheimnis kennt oder ob es sich nach dem Schneeballeffekt weit verbreitet, hängt in der Regel davon ab, wie originell und wie gut merkbar und wie leicht schreibbar das Kennwort ist. Das Passwort "iloveyou" (nach der Betreffzeile des Computerwurms "Loveletter", die "I LOVE YOU" lautete) wurde in mehr als zwei Millionen Datenbreschen entdeckt, das Passwort "ILoveYou" mehr als 2000 Mal und "I LOVE YOU" mehr als 800 Mal.

Sehr viele Menschen empfanden es also als originell, "I LOVE YOU" nur leicht abgeändert als Kennwort zu benutzen. Und fielen damit deutlich auf die Schnauze.

Die Originalität fördert das Interesse und damit das Merken und auch das Ausplaudern. Die Merkbarkeit fördert die korrekte Weitergabe, die leichte Schreibbarkeit fördert die eigene Übernahme (und damit auch die Weiterverbreitung).

Verfremdungen wie ich sie für pseudo-zufällige Kennwörtern17 vorgeschlage, besonders wenn sie in der Summe das Kennwort stark verkomplizieren, fördern dagegen den Stille-Post-Effekt und damit das sich Totlaufen einer potenziellen Weiterverbreitung.

13) Es sollte bei allen Passwortmanagers so sein, aber das stimmt leider nicht. Siehe den Blog-Artikel "Sicherheitsbresche bei LastPass".

14) Hinweise zu Marken Drit­ter:
"iOS" ist eine Marke oder registrierte Marke von Cisco in den U. S. und anderen Ländern und wird von der Apple Inc. lizensiert genutzt.
"Android" ist eine Marke der Google LLC.
"Firefox" ist eine eingetragene Marke der Mozilla Foundation.

15) IT-Profis sind keineswegs von Haus aus sicherheitsbewusster als Laien: Computer-Begeisterte wollen zunächst Funktionalität sehen. Sicherheit steht für sie hintan. (Es sei denn sie haben sich auf Cybersicherheit spezialisiert. Aber selbst bei diesen, kann es vorkommen, dass sie nicht auf der Höhe der Zeit sind.)

16) Immer wieder mal, wenn über eine solch skandalöse Schwachstelle in den Medien berichtet wird, meldet sich auch jemand, der sagt, er*sie hätte schon vor längerer Zeit das betreffende Unternehmen darauf aufmerksam gemacht, aber nichts sei passiert.
Das ist leider ein häufig Phänomen, und wird als Eisberg der Ignoranz bezeichnet.

17) Siehe Blog-Artikel "Das gute Kennwort" (Abschnitt "Das starke, aber dennoch merkbare Kennwort").

18) Das ist nicht immer leicht zu festzustellen. Jeder Hersteller gibt sich sicherheitsbewusst. Da hilft nur die aufmerksame Beobachtung und die Bewertung nach dem Spruch "An ihren Früchten sollt ihr sie erkennen". (Ich bevorzuge z. B. einen Browser und eine Suchmaschine, deren Hersteller im Geschäftsmodell auf Tracking verzichten.)

19) Das BSI hat schon vor Jahren vor unnötigen Apps auf Smartphones gewarnt, da diese das Risiko der Installation von Malware erhöhen.

20) Siehe Siehe Wikipedia "Schlüsselstreckung".

21) Ein Kennwort einfach in Hex-Ziffern umzuwandeln oder mit Base64 zu kodieren bringt gerade mal so viel, wie wenn man einen Haustürschlüssel unter die Fußmatte legt, anstatt ihn gleich stecken zu lassen.


>> Zurück zum Artikelverzeichnis >>