“Anmelden ist sicherer als draußen zu bleiben”

WhatsApp, Facebook & Co.: Wie man die eigene virtuelle Identität schützt

Interview mit Dirk Liebich, Geschäftsführer Digital Tempus Deutschland

Dirk LiebichDer eine löscht in Panik seinen WhatsApp-Account. Der andere meldet sich bei Facebook lieber gar nicht erst an. Der dritte hält Online-Shopping für die Wurzel allen Übels. – Sind die Datensammler wirklich so gefährlich? Kann man die eigene Identität heute überhaupt noch schützen? Und, wenn ja: Wie macht man das am besten? Worauf muss man achten? Ich habe Dirk Liebich gefragt. Er ist Geschäftsführer der amerikanisch-deutschen Unternehmensberatung Digital Tempus GmbH & Co. KG, beschäftigt sich beruflich mit dem digitalen Wandel und ist unter anderem darauf spezialisiert, aus Unmengen von Daten verwertbare Informationen zu gewinnen – beziehungsweise sensible Daten und Informationen zu schützen.

Dirk Liebich kenne ich seit mehreren Jahren, und wann immer ich eine Frage aus diesem Themenbereich habe, frage ich ihn; so auch als der jüngste WhatsApp-Abmeldehype umging und erneut die Panikmache um die Verwertung persönlicher Daten durch Social-Media-Anbieter einen Höhepunkt erreichte. Seinen Standpunkt finde ich so interessant, dass ich dazu ein Interview für dieses Blog mit ihm geführt habe. Hier ist es. Kernaussage: Wer sich von allem fernhält, gefährdet die Kontrolle über die eigene Identität mehr als jemand, der sich in der virtuellen Welt moderat bewegt.

Kürzlich hat Facebook WhatsApp gekauft. Daraufhin ging ein Aufschrei der Empörung durch die virtuelle Welt, und manche Leute haben sich regelrecht in Panik abgemeldet, weil sie sich vor Missbrauch ihrer Daten fürchteten. Ist das gerechtfertigt?

Dirk Liebich: WhatsApp ist ein klassisches Beispiel für eine App, die von vielen ohne Nachdenken auf dem Smartphone installiert wurde. Anwender wollen alles einfach haben. Da lädt einen der Kumpel zu WhatsApp ein, und wir übertragen automatisch das Vertrauen zu dieser Person auf die App, ohne uns zu fragen: Sind meine Daten da sicher? Oder kann sie sich jemand anders zunutzen machen? Wieso will diese App mein Adressbuch auslesen? Kann sie womöglich mein ganzes Handy scannen, und tut sie das auch? – Was für Daten beispielsweise WhatsApp abfragt, ist ja nicht erst seit gestern bekannt. Darüber wurde bereits gleich zu Beginn ausführlich geschrieben. Aber die meisten Leute wollen das gar nicht wissen. Erst wenn jemand irgendwo Panik verbreitet, reagieren sie. Aber sie reagieren auch dann irrational. Mit Panik ist keinem geholfen.

Jetzt heißt es überall: “Wir nehmen dann Threema. Das hat eine Verschlüsselung von Benutzer zu Benutzer, und damit ist es sicher.”  Aber damit ist es gar nicht getan. Erst einmal muss man sich ja fragen: Ist denn das, was ich da sende, überhaupt relevant? Wenn ich schreibe: “Ich komme eine halbe Stunde später”, dann ist das keine sensible Nachricht.

Wirklich funktionale Verschlüsselung mit der Zielsetzung, dass nur die gewünschten Empfänger die Informationen erhalten, ist ohnehin extrem komplex und daher fast unmöglich. Wir sprechen hier nicht nur über Technik, sondern über die gesamte Kommunikationskette, die in allen Teilen gesichert sein muss, inklusive der menschlichen Faktoren.

Dann sind wir dem Daten-Diebstahl längst hilflos ausgeliefert und können sowieso nichts machen?

Dirk Liebich: Ganz im Gegenteil. Es ist wichtig, mir zu überlegen, wie ich insgesamt mit meinen Daten umgehe, wie ich sie speichere und wie ich meine virtuelle Identität sichere. Anbietern wie WhatsApp oder eben Facebook wird man keine kriminelle Energie unterstellen. Aber wenn jemand mit den Daten Schindluder treiben will, dann kann er das tun, wenn Sie ihm diese zur Verfügung stellen. Adressbuch oder Passwörter sind die sensibelsten Daten, die es gibt. Vielleicht haben Sie diese irgendwo auf dem Mac-Book, und über die Synchronisation landen sie auf dem iPhone, und wenn jemand Böses vorhat, kann er das nutzen. Social Engineering nennt man das: zu den bestehenden Puzzleteilen die fehlenden Identitätsbestandteile ergänzen und – zack! – hat man Ihr Profil, und jemand kann etwas für unlautere Zwecke nutzen. Die Nachteile sind weitreichend, oft sogar gefährlich.

Also besser so wenige Apps wie möglich auf dem Smartphone?

Dirk Liebich: Das kommt darauf an, wie Sie es nutzen wollen. Wenn Sie nur telefonieren und ins Internet gehen, geben Sie unter normalen Umständen kaum sensible Daten preis. Aber Apps machen ja Dinge einfacher, die ansonsten viel komplizierter sind, und deswegen bringen sie Nutzen. Das verwässert das natürliche Sicherheitsempfinden von Menschen. Darüber hinaus ist das Sicherheitsbedürfnis von Menschen auch unterschiedlich. Beispiel: Wenn Sie Ihren Personalausweis im Restaurant auf dem Tisch liegen lassen, haben Sie dann eine schlaflose Nacht – oder denken Sie sich: “Ach, ich frage morgen mal nach, ob er da noch liegt”?

Viele Menschen tragen ihre Papiere sorgfältig im Brustbeutel mit sich herum. Aber in der virtuellen Welt lassen sie ohne jedes Problembewusstsein ihre Handtasche irgendwo offen genau dort herumstehen, wo sich Taschendiebe herumtreiben.

Wer Ihre Amazon-Zugangsdaten hat, kann damit für hohe Beträge auf Ihre Kosten einkaufen – genauso, als würde er sich an Ihrem Portemonnaie bedienen. Wer in ihren WLAN kommt, kommt über Einkäufe mit Ihrer Telefonnummer an Ihr Geld. Trotzdem benutzen Menschen einfach Passwörter, die eine Maschine in kurzer Zeit knacken kann, und tauschen diese niemals aus. Oder sie benutzen für irgendein zweifelhaftes Login das gleiche Passwort wie für sicherheitsrelevante Bereiche.

Und wie schütze ich mich besser davor?

Dirk Liebich: Indem Sie Ihre Accounts regelmäßig überprüfen. Indem Sie Ihre Zugänge mit jeweils einem anderen starken Passwort sichern, dieses regelmäßig austauschen und idealerweise nirgendwo aufschreiben. Indem Sie sicherheitsrelevante Informationen nicht dort speichern, wo andere Zugang dazu haben.

… und die Daten auf meinem Smartphone?

Dirk Liebich: Sensible Daten kann man auf dem Smartphone sehr gut sichern, zumindest wird das gemeinhin angenommen. Aber diese Annahmen gelten in einem normalen Benutzungsrahmen. Wenn jemand versucht, auf die extrem verschlüsselten Daten zuzugreifen, oder mehrfach das Passwort falsch eingibt, wird das Ding sofort getoastet. Trotzdem: Für einen Hacker mit genügend krimineller Energie stellt so etwas allerdings überhaupt kein Hindernis dar.

Mit Bezug auf Installation einer neuen App muss die Fragestellung lauten: Was sind die schützenswerten Elemente? Sind meine Daten da sicher, oder kann sich die jemand anders zunutze machen? Will ich wirklich für eine App, die Fotos von blau nach grün umfärbt, mein Handy scannen lassen? Sind die Informationen auf meinem Smartphone so gestaltet, dass bei Verlust meine Identität geklaut werden könnte? Wenn ich eine App haben will, schaue ich mir sehr genau den Anbieter an, ob er beispielsweise einen Ruf zu verlieren hat, und im Zweifelsfall installiere ich es nicht. Zeigt die App Werbung, lösche ich sie gleich wieder. Das sind buchstäblich trojanische Pferde! Da zahle ich lieber.

Nur weil eine App kostenpflichtig ist, heißt das ja noch nicht, dass sie keine Daten abgreift, oder?

Dirk Liebich: Nein, aber zumindest ist das schon einmal ein Signal, dass das Geschäftsmodell ein anderes ist und dass sich die App nicht primär über das Sammeln und Nutzen von Daten finanziert. Aber selbst das ist allenfalls eine relative, moderate Sicherheit. Man kann das Rad nicht zurückdrehen, aber man kann aktiv die eigene virtuelle Identität gestalten. Anders gesagt: Man kann für die virtuelle Welt ähnliche situative Sensitivität gewinnen, wie man sie in der realen Welt schon hat. Da geht man durch ein Viertel und denkt: “Oh, hier liegt Müll herum, Scheiben sind zerschlagen, die Typen sehen zweifelhaft aus – komische Gegend! Aufpassen!” Da ist es auch nicht hilfreich, wenn man sich zitternd in eine Ecke kauert. Aber man tastet sich schrittweise vor und lernt, Situationen einzuschätzen.

Genau das müssen wir für die virtuelle Welt erst lernen. Wenn ich in dieser Welt lebe, und ich existiere nicht als Einsiedler irgendwo in den Rocky Mountains, dann hat mein Leben zum jetzigen Zeitpunkt Anknüpfungspunkte an die virtuelle Welt. Es ist besser, das zu akzeptieren und aktiv teilzunehmen.

Also ist es sicherer, sich in der virtuellen Welt aktiv zu bewegen als sich überall abzumelden – oder gar nicht erst anzumelden?

Dirk Liebich: Ganz genau. Wir müssen ein Gefühl für die eigene virtuelle Identität entwickeln und lernen, diese ebenso bewusst zu steuern wie in der realen Welt. Wir brauchen mehr Anwenderintelligenz. Sicherheit entsteht aus der Gewahrwerdung der eigenen Identität. Sie sind in der virtuellen Welt eine Person. Diese muss nicht identisch mit der realen Person sein. Aber die hat Anknüpfungspunkte an die reale Welt. Das ist die Echtperson, und da wird es interessant. Denn in der virtuellen Welt kann ich ein Avatar sein. Aber in der realen Welt muss ich meine Schulden bezahlen und Verbindlichkeiten erfüllen, und an dieser Stelle wird es interessant, und darum ist es so wichtig, diese Identität zu schützen.

Inwiefern kann man die eigene virtuelle Identität überhaupt gestalten?

Dirk Liebich: Es gibt zwei Möglichkeiten: Entweder Sie übernehmen selbst die Kontrolle über Ihre virtuelle Identität. Dazu müssen Sie im Netz präsent und moderat aktiv sein – und dazu sollten Sie sich vorher einige Fragen stellen. Oder Sie halten sich aus allem heraus. Dann bilden Sie eine Art schwarzes Loch, das andere mit Inhalt füllen können, ohne dass Sie Einfluss darauf haben.

Hinzu kommt: Sie müssen gar nicht selbst irgendwo präsent sein, um sehr weitgehend identifizierbar zu sein. Viele Menschen wären erstaunt, wenn sie wüssten, wie genau Rückschlüsse auf sie selbst allein anhand dessen möglich sind, was ihr Umfeld an Spuren im Internet hinterlässt.

Unternehmen wie Facebook sammeln in großem Stil Daten, führen diese zusammen und werten sie aus – und das in einem Maße, das für Menschen, die nicht vom Fach sind, nicht mehr vorstellbar ist. Aber welches Interesse haben diese Unternehmen an den Daten? Das sind ja vor allen wirtschaftliche. Zumeist geht es darum, ein gezieltes Verständnis vom Verbraucher zu gewinnen, um besser Werbung zu betreiben. Selbst wenn ich nicht persönlich präsent bin, bin ich über diese riesigen Datenmengen meiner realen Kontakte längst in ein Profil gepresst.

Die Veränderung, die längst stattgefunden hat, ist nicht reversibel. Wir werden im immer stärkeren Maße durch Technologie geprägt, und das wird sich weiter verstärken. Man muss sich mit der eigenen Identität in der neugeschaffenen, hinzugewonnenen virtuellen Realität auseinandersetzen. Jemand muss kein Experte sein, um Klarheit für sich selbst zu schaffen, er muss sich nur eben ein paar Fragen stellen.

Gut, also lieber die Selbstbestimmung. Die Fragen, bitte!

Dirk Liebich:  Die erste Frage muss lauten: Wer bin ich? Wie sieht meine eigene virtuelle Identität aus? Die zweite Frage: Was sind meine Kontaktplätze in der virtuellen Welt? Wo muss ich sensibel sein, und was ist ohnehin schon über mich bekannt? Was kann schlimmstenfalls passieren, wenn jemand meine Identität missbraucht? Wie könnte es zu einer Fehlnutzung kommen – und was kann ich tun, um das zu verhindern?

Um in der virtuellen Welt zu bestehen, darf ich durchaus auch einmal lügen – oder muss zumindest nicht immer gleich die ganze Wahrheit ins Internet schreiben.

Wer lügen will, muss aber ein gutes Gedächtnis haben …

Dirk Liebich:  Darum geht es nicht. Es geht darum, nicht gleich alles preiszugeben. Wenn Sie beispielsweise von einer unbekannten Seite ein Dokument herunterladen wollen, dafür aber persönliche Daten eingeben sollen, können Sie da auch erstmal probeweise behaupten, Sie wären Paul Blau, der Erfinder der Brotsuppe. Sie müssen in solchen Fällen nicht immer gleich Ihre richtige Mailadresse eingeben. Dafür gibt es Anbieter wie 10 Minute Mail. Wenn Sie dann sehen, dass da alles professionell gehandhabt wird, können Sie immer noch echte Daten preisgeben, und wenn nicht, ist kein Schaden entstanden.

Und wenn doch bei allen Vorsichtsmaßnahmen und der bewussten Gestaltung jemand meine Identität stiehlt?

Zunächst einmal kann er, wenn Sie mit Ihren Daten sensibel umgehen – also, bildlich gesprochen, Ihren Personalausweis nicht irgendwo herumliegen lassen – nicht Ihre Identität stehlen. Er kann allenfalls vorgeben, Sie zu sein. Wenn Sie ein moderates Maß an Identität in der virtuellen Welt aufgebaut haben, wird genau das passieren, was auch in der realen Welt passiert, wenn Sie sich mit anderen verbinden: Ihre Nachbarn und Freunde stehen als erste auf und bezeugen dass das nicht Sie sind und helfen Ihnen. Auch deswegen mache ich also besser aktiv und differenziert mit, statt mich zu verweigern. Denn dann entscheide ich, wer meine Freunde und Nachbarn sind, und damit helfe ich mir selbst, meine Identität zu schützen. Damit schaffe ich mir Personen, die mich kennen, für mich einstehen, für mich bürgen. Ganz wie im richtigen Leben!


Dr. Kerstin HoffmannDie Autorin: Dr. Kerstin Hoffmann berät und unterstützt Unternehmen sowie Persönlichkeiten des öffentlichen Lebens in Kommunikations- und Social-Media-Strategien, Public Relations, Corporate Blogs, Marketing und Text. Sie gibt Workshops, hält Vorträge und schreibt Bücher. Sie wollen mehr darüber erfahren, was Kerstin Hoffmann mit ihrem Team für Ihr Unternehmen tun kann? Hier geht es zum Beratungsangebot. »

kontakt(at)kerstin-hoffmann.de | Kontaktformular »


Offenlegung: Digital Tempus GmbH & Co. KG ist ein Kunde von Dr. Kerstin Hoffmann Unternehmenskommunikation.

  3 comments for ““Anmelden ist sicherer als draußen zu bleiben”

  1. Hans Maerker
    20. März 2014 at 10:34

    Ein sehr interssanter Artikel, den ich hundertprozentig unterstütze. Ich bin selber in der Elektronik seit Jahren zu Hause bin, und habe auch viele Jahre in den U.S.A. gelebt. Vielleicht habe ich daher ein ähnliches verständnis dafür. Umsomehr, da ich als Copy Editor alle meine Kontakte (national und international) über das Web abwickle.

    Die moderate Präsenz im Internet ist wirklich ein besserer Schutz. Herr Liebich hat mir da aus der Seele gesprochen. Vor Jahren wurde bereits propagiert ein Facebook Konto, Twitter Konto, oder ähnliches anzulegen. Selbst wenn es niemals genutzt wird.

    Der Grund ist einfach. Wenn man ein Konto mit seinem Namen eröffnet hat, dann kann niemand sonst ein Konto mit dem Namen anlegen und sich als Herr oder Frau xyz ausgeben. Ein Impersonator kann jede Menge an Rufschädigung anrichten. Die alte Weisheit, das Vorsorge besser ist als eine Schadensbegrenzung, ist – in der digitalen Welt – heutzutage wichtiger denn je zuvor.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *