Es heisst immer wieder, meine Daten bedeuten nichts, meine Daten interessieren niemanden und vieles mehr. Und mit dieser Ausrede wird dann alles geteilt, die Boardkarte vom Flug, die Emailadresse und das Passwort, eine Kopie der medizinischen Untersuchungen, die zeigen, wie fit und gesund man ist. Manche scannen ihren neu erworbenen, die älteren von uns auch unseren wieder zurück erhaltenen, Führerschein.
Wenn Sie Ihre Boardkarte posten, können Hacker darüber bei vielen Airlines viel mehr Daten über Sie in Erfahrung bringen, als Ihnen lieb ist, u.a. Ihre Reisepasssnummer, Ihre Telefonnummer und Ihre Adresse. Vielleicht wollen Sie das aber auch. Als normalsterblicher Mensch ist das vielleicht egal, aber als Mensch, der in der Öffentlichkeit steht, Sportlerinnen, Schauspieler, Politikerinnen, Richter, Anwältinnen, … Vielleicht sollten diese vorsichtiger sein.
Damit übersehen die Poster, dass all das Teil Ihrer Identität ist und daraus vieles abgeleitet werden kann. Oftmals werden sog. Sicherheitsabfragen am Telefon oder im Internet als zusätzlicher Schutz verwendet.
„Was ist das Geburtsdatum Ihrer Mutter?“
„Was war der Name Ihres ersten Hundes?“
Dort tragen wir die richtigen Antworten ein und vergessen es. Dann gehen wir auf Facebook oder andere Plattformen (ich kann mich nicht dazu bringen, die meisten als sozial zu bezeichnen) und zeigen ein Bild unseres ersten Hundes.
„Schaut mal, gerade gefunden, mein erster Hund Lassie.“
„Heute hat Mom ihren 60sten.“
Doch worauf ich hinaus will:
Für all diese Daten bezahlen Kriminelle Geld.
Ein paar Beispiele:
Ihre Kreditkarte ist zwischen $8-$22 wert. Das sind Daten, die Sie einfach bei jedem Kauf abgeben, Nummer, Name, CCV Code. Auch wenn Kreditkartenangriffe vor zehn Jahren mehr und erfolgreicher waren, gibt es sie noch und die Daten werden bezahlt.
Zum Vergleich: Paypal Zugangsdaten schlagen nur mit $1,50 zu buche. Warum?
Weniger Gewinnmöglichkeiten? Einfacher an die Daten zu kommen? Angebot und Nachfrage?
Ein Führerschein ist $20 wert? Warum? Weil er oftmals wie ein Ausweis eingesetzt werden kann.
Medizinische Daten, einzeln, schlagen nur mit $1,50-$10 zu buche, aber eine komplette medizinische Akte mit bis zu $1000.
„Also, schaut her, mein Bluttest, ich bin gesund habe kein Aids und Corona Antikörper.“
Ich nehme an, das kostet dann $20. Wobei Sie solche Daten oftmals auch umsonst auf den Accounts der User finden.
Jetzt stellt sich die Frage, ob es illegal ist, Daten, die im Internet veröffentlicht werden zu sammeln, zu verkaufen oder zu einem Profil zu aggregieren und dann zu verkaufen. Und mit illegal erworbenen Daten?
Die restlichen Daten zu einem Profil kaufen Sie dazu. Aggregiert können diese dazu führen, das Sie gehackt werden, erpresst werden oder Ransomware auf Ihrem Rechner erfolgreich landet. Die Summe der Informationen, die man über Sie hat, macht erfolgreiche Angriffe auf Sie wahrscheinlicher. Da bezahlt man doch gerne mal $20, wenn man von Ihnen $300 erpressen kann. Aber Sie haben ja ein Backup und sind nicht betroffen.
Die Tools, um an diese Daten zu gelangen, legal oder illegal, gibt es im Internet zu kaufen.
- Sie benötigen ein Tool um einen Facebook Account zu hacken: $19,99 für drei Monate. Wahrscheinlich heisst es dort auch: Buy one, get one free.
- Eine Stunde Training, wie Sie einen verteilten Angriff auf eine Webseite orchestrieren, damit sie abstürzt oder nicht mehr antwortet (ein sog. Distributed Denial of Service, DDOS), zum Beispiel Ihre Firma, die Sie entlassen hat, bekommen Sie für $20.
- Haben Sie einen Gmail Account? $90, und das Projekt startet.
Ihre Daten und Ihr Datenschutz hat einen echten monetären wert. Diesen werden Sie erst erkennen, wenn der Schaden eingetreten ist. Versichern Sie sich, in dem ein wenig, nur ein wenig Zeit investieren, Ihre Daten ein bisschen sicherer zu machen, ein bisschen weiter im Internet unterzutauchen. Setzen Sie eine „digitale FFP3 Maske“ auf, um sich ein wenig vor Viren und anderen Schädlingen zu schützen.
Empfehlung:
Wenn Sie Sicherheitsfragen beantworten müssen, weil die Dienste nichts anderes, wie z.B. Zwei-Faktor-Authentifizierung (2FA), anbieten, beantworten Sie diese nicht ehrlich. Niemand verlangt das, es ist nicht illegal. Nehmen sie eine zufällige Antwort und speichern das in Ihrem Passwortmanager ab.
Und wo immer denkbar und möglich, verwenden Sie die 2FA.