Wurde das Unternehmen gehackt oder meine Daten verkauft?
Für nahezu alle digitalen Produkte oder Dienstleistungen gibt es einen Account auf der jeweiligen Webseite, sei es Facebook, Amazon oder ein x-beliebiger Anbieter mit einem Benutzerportal. Doch was passiert eigentlich mit den personenbezogenen Informationen wie Email-Adresse nach der Account-Erstellung?
Werden diese Daten weiter verkauft oder was passiert, wenn diese Daten durch einen Einbruch in die Unternehmens-IT kopiert wurden – wird dann der Endverbraucher benachrichtigt?
In diesem Artikel soll eine Möglichkeit vorgestellt werden, wie Benutzer sich schützen und sogar selbst feststellen können, ob ein Unternehmen private Informationen wie Email-Adressen weitergegeben hat, freiwillig oder unfreiwillig!
Anmeldeinformationen oder einfach "Login"
Das Zugriffskriterium zu einem geschlossen Benutzerportal sind die Login-Daten. Das bedeutet, dass nur der Inhaber des Accounts bestimmte Aktionen ausführen kann, zum Beispiel bei einem Onlineshop bestellen. Häufig handelt es sich dabei um eine Kombination aus Email-Adresse und einem Passwort. Das Passwort alleine ist nichtssagend! Vielleicht enthält es das Geburtsdatum, einen Namen oder eine beliebige Zusammensetzung von Schriftzeichen. Aber ein Passwort sagt in den meisten Fällen nichts über eine Person aus.
Oder welche Informationen können anhand des am häufigsten verwendeten Passworts 123456 entnommen werden? – KEINE, außer das diese Person sehr leichtsinnig handelt.
Eine Email-Adresse hingegen ist deutlich interessanter, denn dabei handelt es sich um ein Kommunikationsmedium, sodass eine Person kontaktiert werden kann. Zudem können auch Rückschlüsse auf die jeweilige Person dahinter gewonnen werden.
max.mustermann@email.de zum Beispiel macht deutlich, dass diese Person wohl Max Mustermann heißt.
Und wie eingangs beschrieben, gibt es für jede erdenkliche Webseite schon einen eigenen Account. Nachdem nun die meisten Anwender eine eindeutig identifizierbare Email-Adresse besitzen, wird diese demnach mehrfach verwendet und mit einen (hoffentlich anderem) Passwort für die Account-Erstellung kombiniert.
Email-Adressen als Ankerpunkt
Wenn also ein Unternehmen Email-Adressen besitzt und mit anderen Unternehmen austauscht oder diese Information anderweitig bekannt ist, dann können so ziemlich präzise Interessen mit einer Person verknüpft werden. Diese Interessen sind natürlich für Marketing-/Werbeunternehmen wie Google gold wert! 🤑
Man bedenke wie viele Email-Adressen es von Google Mail (@gmail.com) allein gibt und wie viele Webseiten einen "Login mit Google" anbieten. Welche Informationen Google hier über diese Person sammeln kann ist gewaltig und erschreckend.
Natürlich können Webseitenbesucherinnen auch ohne "Login mit Google" sich auf einer entsprechenden Webseite registrieren, sodass Webseitenbetreiberinnen die Anmeldeinformationen selbst in einer eigenen Datenbank speichern. Häufig stellt dies jedoch die Hürde, einen weiteren Benutzeraccount mit Passwort zu erstellen.
Wird nun für jede Onlinepräsenz oder App dieselbe Email-Adresse verwendet, kann dadurch ein Netz bezüglich Interessen geschaffen werden, welche Onlineanbieter*innen mit einer Email-Adresse verbinden.
Weitergabe oder Diebstahl von Account-Informationen
Die Risiken, wenn "falsche" an eine Email-Adresse kommen können fatal sein.
Man bedenke nur das Ausmaß, wenn Anwender*innen dann auch noch überall das selbe Passwort verwenden!
Deshalb ist es an dieser Stelle schon einmal mehr zu empfehlen eine Zwei-Faktor-Authentifizeriung zu aktivieren – vorausgesetzt es wird vom Anbieter unterstützt. Unter folgender Liste, können Anbieter entnommen werden, welche überhaupt eine 2FA-Authentifizierung anbieten. Dafür wird für jeden Anmeldeversuch ein einmaliger Sicherheitstoken bestehend aus ca. 6-8 Nummern generiert und via Email oder Handynummer an den Benutzer gesendet.
Abhilfe durch Alias-Adressen
Um das abstrakte Netz anhand einer Email-Adresse wie oben illustriert zu entzerren, können sogenannte Alias-Email-Adressen verwendet werden.
Ein Alias für eine Google Mail-Adresse könnte demnach wie folgt aussehen:
max.mustermann +facebook @gmail.com
Dafür muss lediglich vor dem @-Zeichen ein "+" und ein beliebiger Text angefügt werden. Die ursprüngliche Email-Adresse, beziehungsweise der vordere Teil ("max.mustermann") entspricht der tatsächlichen Email und bleibt unverändert. Das heißt die originale unveränderte Email-Adresse ist nach wie vor max.mustermann@gmail.com, an welche Alias-Email-Adressen weitergeleitet werden.
Allerdings unterstützen nicht alle Email-Anbieter die Erstellung von Aliasen. Optional kann auch eine eigene Domain bezogen werden und anschließend ganz persönliche Email-Adressen inklusive Aliase in Form von max@mustermann.de verwenden.
Wofür braucht man eigentlich eine Domain?
Angenommen es werden nun für jeden erdenklichen Online-Account Email-Aliase verwendet, können Datenweitergaben oder sogar Datenlecks von Benutzer*innen selbst identifiziert werden!
Zum Beispiel zwei Online-Shops mit jeweils einer eigenen Alias-Email-Adresse, welche für die Account-Erstellung verwendet wurde:
| Online-Shop | Email-Adresse (eigene Domain) |
|---|---|
| Amazon | amazon@mustermann.de |
| Zalando | zalando@mustermann.de |
Alternativ:
| Online-Shop | Email-Alias (Google) |
|---|---|
| Amazon | max.mustermann+amazon@gmail.com |
| Zalando | max.mustermann+zalando@gmail.com |
Wird nun eine Email, beispielsweise eine Werbe-Email von Amazon oder sogar Spam in Form einer Rechnungen
zalando@mustermann.de / max.mustermann+zalando@gmail.comversendet, kann anhand der Empfänger Email-Adresse bereits festgestellt werden, dass etwas nicht stimmt! Entweder hat Amazon die Benutzerkonteninformationen von Zalando "gekauft", um es für Werbezwecke zu verwenden oder es wurde in das IT-System von Zalando eingedrungen. Denn die Email-Adresse
zalando@mustermann.de / max.mustermann+zalando@gmail.comist ausschließlich bei Zalando gespeichert und sonst nirgendswo! Wie kommt also Amazon oder der Absender an diese individuelle Email-Adresse?
Demnach ist festzuhalten, dass bei dieser Praxis – also der Vergabe von individuellen Aliasen für jeden Anbieter – ein kleiner Extraaufwand notwendig ist, allerdings dadurch auch erkannt werden kann, wenn Unbefugte an etwaige Email-Adressen gelangen. Mit dieser Methode, der Erstellung von Alias-Adressen kann aber auch der Klassifizierung von Interessen entgegen gewirkt werden, da nun Accounts nicht mehr über eine einzige Email-Adresse in Zusammenhang gebracht werden können. Privatsphäre und der damit verbundene Datenschutz sollte also nicht blind in die Hände des Online-Anbieters gelegt werden. Viel mehr sollten sich Nutzer*innen proaktiv vor Datenweitergabe – freiwillig oder unfreiwillig – schützen und noch heute Alias-Email-Adressen für bestehende und zukünftige Accounts verwenden.
