Become a Creator today!Start creating today - Share your story with the world!
Start for free
00:00:00
00:00:01
#003 Gib Hackern und Datendieben keine Chance image

#003 Gib Hackern und Datendieben keine Chance

S1 E3 · Der Privacy Podcast (by Privatopia)
Avatar
197 Plays1 month ago

In dieser Folge erfährst du, wie du deine aktuelle Privacy analysieren und bewerten kannst. Danach kannst du konkrete Schritte ableiten und deine individuellen Baustellen optimieren. Außerdem gehen wir durch die verschiedenen Methoden, deine Online Konten mit einem zweiten Faktor abzusichern.

Werde Club Member und stelle deine Fragen in Live-Konferenzen: https://privatopia.de/member

Überprüfe, ob deine Mailadressen oder Passwörter schon in Hacker-Datenbanken auftauchen: https://haveibeenpwned.com

Schaue dir unsere Software-Empfehlungen an: https://privatopia.de/empfehlungen

Finde gute Open-Source Alternativen zu deinen aktuellen Apps (Englisch): https://alternativeto.net

Recherchiere nach weiteren Anbietern, die Privacy-Enthusiasten empfehlen (Englisch): https://www.privacyguides.org

Transcript

Einführung in den Privacy Podcast

00:00:10
Speaker
Hallo und willkommen zu der Privacy Podcast, deine Quelle für Sicherheit, Privatsphäre und Anonymität mit Timo und Nino.
00:00:18
Speaker
Super.
00:00:20
Speaker
Was haben wir uns vorgenommen diese Woche, Timo?
00:00:23
Speaker
Ja, also in dieser Folge wollen wir uns einmal anschauen, wie man jetzt dieses Bedrohungsmodell, das wir in der letzten Folge angeschaut haben, umsetzen kann.
00:00:31
Speaker
Also was für Schritte wir empfehlen, mit was man anfangen soll und wie man weitermacht und welchen Zeithorizont man sich auch vielleicht aufsetzen sollte.

Zwei-Faktor-Authentifizierung: Arten und Empfehlungen

00:00:39
Speaker
Und dann gehen wir in eine Empfehlung, eine Software, und zwar Zwei-Faktor-Authentifizierung.
00:00:45
Speaker
Also was für verschiedene Arten von Zwei-Faktor-Authentifizierungen es gibt und dann auch ein paar konkrete Empfehlungen, was ihr da umsetzen könnt.
00:00:54
Speaker
Wir haben uns viel vorgenommen.
00:00:55
Speaker
Ich bin mal gespannt, ob wir die 3-4-E-Stunde diesmal schaffen.
00:00:58
Speaker
Ich bezweifle es, aber wir werden es sehen.
00:01:01
Speaker
Ja, Timo, magst du gleich mal einleiten?

Apps und Software für bessere Privatsphäre aufräumen

00:01:02
Speaker
Was hast du denn für eine Technik oder für Ideen, wenn wir jetzt unser Threadmodel so ganz grob zusammengestückelt haben?
00:01:09
Speaker
Wir wissen, wo wir unsere Prioritäten setzen.
00:01:12
Speaker
Wie gehe ich jetzt vor?
00:01:14
Speaker
Genau.
00:01:14
Speaker
Also was ich immer empfehle, erstmal sich anzuschauen, was man überhaupt jetzt alles benutzt an Software, Betriebssystem, Hardware und so weiter.
00:01:22
Speaker
Was ich dann gerne in den Terminen, die ich zum Beispiel mache, ist einmal alles aufzuschreiben.
00:01:27
Speaker
Also zum Beispiel, jetzt habe ich einen Windows-Computer, ich benutze Google Chrome, meine E-Mail ist bei Gmail.
00:01:34
Speaker
Und das empfehle ich als allerersten Schritt, einmal aufzuschreiben, was man überhaupt alles verwendet und dann vielleicht auch anzuschauen, was für Apps man dann auf dem Computer hat, was für Apps man auf dem Handy hat und damit man ungefähr einen groben Übersicht darüber hat, was man gerade macht und auch dann im nächsten Schritt zu schauen, was braucht man überhaupt davon.
00:01:57
Speaker
Und zwar der erste Schritt, den ich dann empfehle, ist eben genau dieses Aufräumen, dass man schaut, was man nicht braucht.
00:02:02
Speaker
Das haben wir in der letzten Folge, hat Lino das ja schon angesprochen, dass man wirklich eine Menge Apps auf dem Handy hat oder auf dem Computer überall, die man nicht mal benötigt.
00:02:11
Speaker
Die man mal heruntergeladen hat, vielleicht um einmal ein Restaurantmenü anzuschauen und dann ist es für immer auf dem Handy, sammelt im Hintergrund immer noch Daten, aber man braucht es eigentlich nicht.
00:02:21
Speaker
Das heißt, danach, wenn man mal weiß, was man alles verwendet, würde ich als ersten Schritt empfehlen zu schauen, was braucht man überhaupt und alles, was man nicht braucht, erstmal rauszulöschen.
00:02:31
Speaker
Ich denke auch, das ist der allerwichtigste Schritt.
00:02:34
Speaker
Die meisten Datenlecks oder auch Privatsphäre-Angriffe, die ich so in meinem Umfeld sehe, die kommen von ganz alten Apps, von ganz alten Programmen oder Webseiten, die man noch irgendwie im Hintergrund aktiv hat, die aber gar keinen Sinn mehr erfüllen.
00:02:47
Speaker
Also am besten erstmal aufräumen, Frühjahrsputz machen und alles, was du jetzt seit, sag ich mal, ein paar Monaten nicht mehr benutzt hast, kann ja auch runter.
00:02:55
Speaker
Vielleicht kannst du sogar einen Schritt weiter gehen und dir überlegen, wo reicht es vielleicht aus, wenn ich die Webseite einfach benutze?
00:03:01
Speaker
Denn wenn ich die Webseite in dem Brave Browser zum Beispiel aufrufe, weil ich das eh nur alle paar Wochen oder Monate brauche, dann ist das ein besserer Schutz, weil die App sehen könnte, was da sonst noch auf dem Smartphone installiert ist, die vielleicht auf deine Fotos zugreifen kann oder Kontakte, die kann jetzt nur noch innerhalb dieses Webbrowsers funktionieren und ist da eingesperrt in der Sandbox.
00:03:21
Speaker
Deshalb nutzt man immer möglich gar keine App oder gar keinen Service, aber das ist natürlich nicht schön.
00:03:26
Speaker
Da, wo es dir Komfort bringt oder wichtig oder notwendig ist, da schau, kann ich auch die Webseite nutzen und erst dann in letzter Instanz, wenn die App das Praktischste oder das Sinnvollste für dich ist, dann machst du die App.

Webbrowser statt Apps für soziale Medien verwenden

00:03:38
Speaker
Ja, genau.
00:03:38
Speaker
Vor allem bei Social Media macht das meiner Meinung nach ziemlich viel Sinn.
00:03:41
Speaker
Also wenn ihr Social Media verwenden wollt, wie zum Beispiel X, YouTube, Instagram und so weiter.
00:03:47
Speaker
Denn diese Apps, die sammeln enorm viele Daten.
00:03:50
Speaker
Und wenn man die dann einfach über den Browser darauf immer zugreift, ist zwar nicht so schön wie über die App, aber dafür hat man eine deutlich höhere Privatsphäre und hat trotzdem noch vollen Zugriff auf alle Funktionen, die eben diese Dienstleister anbieten.
00:04:04
Speaker
Ja, ich denke da auch gerade.
00:04:05
Speaker
Ich glaube, beim Facebook Messenger ist das ähnlich.
00:04:07
Speaker
Ich habe es jetzt nur bei WhatsApp gesehen.
00:04:09
Speaker
Das funktioniert ja gar nicht, ohne dass du dein komplettes Kontaktbuch auf dem Handy freigibst.
00:04:14
Speaker
Die ganzen Daten landen dann natürlich bei Facebook, bei Meta am Ende des Tages.
00:04:18
Speaker
Und da gibt es Gegenmaßnahmen, wenn man

Datenexposition prüfen und E-Mail-Sicherheit stärken

00:04:20
Speaker
möchte.
00:04:20
Speaker
Da kommen wir sicher in ein paar Wochen nochmal zu, wenn es um das Betriebssystem geht auf dem Handy.
00:04:24
Speaker
Da gibt es tolle Tools.
00:04:25
Speaker
Aber...
00:04:26
Speaker
Für die meisten Menschen da draußen gilt, die doxen erstmal sich und ihr ganzes Umfeld, wenn sie WhatsApp das erste Mal starten.
00:04:33
Speaker
Heißt natürlich auch, mit diesen Aktionen und mit diesem Bewusstsein unterstützt du nicht nur dich, sondern auch dein Umfeld.
00:04:39
Speaker
Das muss halt nicht an jeden großen Konzern da draußen gehen.
00:04:42
Speaker
Jetzt haben wir, angenommen, das Ganze über einen Vormittag gemacht, haben uns alles aufgeschrieben, haben die ganzen Apps aufgeräumt, die wir nicht mehr brauchen.
00:04:50
Speaker
Was mache ich jetzt, Timo?
00:04:52
Speaker
Ja, dann als nächsten Punkt würde ich mal sagen, zu schauen, wo überhaupt die Daten jetzt schon überall liegen.
00:04:59
Speaker
Also man schaut einmal im Internet oder auch es gibt gewisse Webseiten dazu, um zu sehen, wer hat denn überhaupt meine E-Mail-Adresse, wer hat denn überhaupt meine Telefonnummer, sind die öffentlich einsehbar in irgendwelchen Datenbanken und da gibt es eigentlich zwei oder eine ziemlich gute Webseite und die nennt sich Have I Been Pawned.
00:05:18
Speaker
Die können wir dann auch in die Shownotes runterpacken.
00:05:21
Speaker
Und da kann man wirklich seine E-Mail-Adresse reinpacken, verschiedene persönliche Daten.
00:05:25
Speaker
Und dann sieht man direkt, ob die schon öffentlich sind, ob die geleakt worden sind und auch wie oft.
00:05:32
Speaker
Und das ist ein guter Startpunkt, weil ziemlich viele Datenbanken werden eben durch diesen Service Have I Been Porned durchsucht.
00:05:40
Speaker
Und dann weiß man schon, ob die E-Mail schon komplett geleakt ist, jeder sie hat, oder ob man noch ziemlich gut dabei ist.
00:05:48
Speaker
Und dann als nächsten Schritt würde ich empfehlen, einmal zu googeln.
00:05:51
Speaker
Also nicht bei Google natürlich, sondern zum Beispiel bei einer privaten Suchmaschine wie Brave oder DuckDuckGo.
00:05:57
Speaker
Mal zu schauen, was findet man, wenn man seinen eigenen Namen eingibt.
00:06:00
Speaker
Oder wenn man seine Telefonnummer eingibt, wenn man seine E-Mail angibt.
00:06:04
Speaker
Und schaut, was da die allerersten Suchergebnisse sind.
00:06:08
Speaker
Und dann da anfängt, eben diese Daten langsam rauszulöschen.
00:06:14
Speaker
Macht dich auf einen kleinen Schock gefasst.
00:06:16
Speaker
Also die Erwartung, wenn du eine E-Mail-Adresse jetzt schon viele Jahre benutzt und auch immer die gleiche, so ging es mir am Anfang, dann habe ich die da mal eingegeben bei Heiferbin-Porn und dann waren sofort 14 verschiedene Daten-Lags, wo mein Account mal gehackt wurde oder alle möglichen Webseiten irgendwann einen Daten-Breach hatten.
00:06:34
Speaker
Ja, und dann bleibt das Ganze erstmal da draußen.
00:06:37
Speaker
Du kannst auf der Seite übrigens auch dein Passwort checken, falls du mittlerweile ein altes Passwort noch im Kopf hast, was du überall verwendet

Maßnahmen bei Datenlecks und Passwörtern

00:06:44
Speaker
hast.
00:06:44
Speaker
Kannst du das da auch eingeben und schauen, gibt es dieses Passwort in den bekannten Datenbanken, wo dann Brutforstattacken, die alles ausprobieren, sich einer Liste bedienen, wo dein Passwort mit drauf steht.
00:06:56
Speaker
Ja, und der schlimmste Fall wäre, wenn die E-Mail sehr, sehr oft geleakt worden ist und auch das Passwort, weil dann sollte man wirklich direkt handeln und ein paar Sachen ausändern.
00:07:06
Speaker
Wenn es nur die E-Mail ist, wie Nino schon gesagt hat, es kommt einfach vor, dass die verschiedenen E-Mails, Telefonnummer und so weiter geleakt werden.
00:07:14
Speaker
Das passiert einfach über die Zeit, desto mehr Unternehmen oder desto mehr Webseiten man besucht hat, desto mehr Anmeldungen man hat, passiert es einfach.
00:07:22
Speaker
Aber wenn das Passwort geleakt ist mit der E-Mail,
00:07:25
Speaker
Das ist der schlimmere Fall und dann sollte man direkt was versuchen zu ändern.
00:07:30
Speaker
Dein E-Mail ist ja dein Zugang zu allem und viele Anbieter machen es dir ja auch einfach, weil wir gehen davon aus, dass viele Menschen auch mal ihren Zugang vergessen.
00:07:38
Speaker
Dann muss man halt von dem dümmsten anzunehmenden User ausgehen als Entwickler und hat ganz einfach einen Prozess, wie du deinen Account wiederherstellen kannst.
00:07:47
Speaker
Schick mir einfach eine Erinnerung oder einen Link per E-Mail und dann kann ich ihn das Passwort verändern.
00:07:53
Speaker
Meistens ohne irgendwas anderes machen zu müssen.
00:07:55
Speaker
Und dann haben wir natürlich das Problem, jemand kann unsere E-Mails abrufen.
00:07:58
Speaker
Dann wird der erstmal gucken, auf welchen großen Plattformen diese E-Mail verwendet wird und überall das Passwort zurücksetzen.
00:08:04
Speaker
Und dann ist es nicht nur so, dass er Zugriff hat, sondern dass wir keinen Zugriff mehr haben, dass wir auf einmal ausgesperrt werden.
00:08:10
Speaker
Und das ist dann richtig bitter, wenn er dann auch noch die E-Mail-Adresse ändert oder so und wir dann gar nicht mehr...
00:08:14
Speaker
drauf zugreifen können und dann ganz, ganz viel im Kundensupport rumhängen dürfen.
00:08:18
Speaker
Also, ganz, ganz wichtig, erste Aktion, wenn du siehst, deinen E-Mail-Provider, wenn das jetzt Web oder Gmx oder Gmail ist, da dann sofort tätig werden und dann das Passwort für deine E-Mail-Adresse ändern.
00:08:30
Speaker
Und wenn wir schon über E-Mails sprechen, können wir vielleicht einen Punkt besprechen, der ein bisschen aufwendiger ist, aber der trotzdem ziemlich sinnvoll ist meiner Meinung

E-Mail-Konten und unnötige Registrierungen überprüfen

00:08:41
Speaker
nach.
00:08:41
Speaker
Und zwar, wenn man alle seine E-Mails einmal durchschaut und schaut, wo man sich überall angemeldet hat.
00:08:46
Speaker
Also der erste Schritt mit Apps runterlöschen, das geht ziemlich schnell, weil man hat nicht so viele Apps, auch wenn man eine Menge Apps hat, geht es trotzdem ziemlich schnell, den Großteil da rauszulöschen.
00:08:57
Speaker
weil das geht mit einem einfachen Klick aufs Deinstallieren, aber die ganzen Accounts, die man online erstellt hat, die dann eben in diesem E-Mail-Postfach zu finden sind, das macht mal deutlich mehr Arbeit, aber macht auch sehr viel Sinn, weil eben desto mehr Accounts es gibt, desto höher ist auch die Wahrscheinlichkeit, dass eben ein paar von denen einen Daten-Lag haben.
00:09:19
Speaker
Deswegen ist das auch ein Punkt, den ich empfehle beim Aufräumen, einmal durch seine E-Mails durchzuschauen und einfach mal pro Woche 10 Accounts, zum Beispiel, die man nicht mehr braucht, rauszulöschen.
00:09:29
Speaker
Ich denke, damit ist man dann auch den Rest der Woche beschäftigt.
00:09:33
Speaker
Ich habe tausende E-Mails in meinem Postfach, zumindest bei dem beruflichen, weil ich da halt auch den Fehler gemacht habe, dass ich die gleiche E-Mail überall verwende.
00:09:42
Speaker
Und dann kommt da auch jede Menge Spam rein.

Proaktive Schritte zur Verbesserung der Privatsphäre

00:09:44
Speaker
Und daran erkennst du auch schon, dass irgendwann mal deine E-Mail-Adresse veröffentlicht wurde, wenn da auf einmal jede Menge Spam kommt von Anbietern, die du gar nicht kennst.
00:09:52
Speaker
Jetzt möchte ich vielleicht auch wissen, wie geht es weiter, wie kann ich denn jetzt proaktiv hingehen und schauen, was soll ich denn nutzen oder wo sind denn meine größten Datenkraken, die ich vielleicht wechseln möchte, die Anbieter.
00:10:04
Speaker
Hast du dafür einen Tipp, Timo?
00:10:06
Speaker
Ja, genau.
00:10:06
Speaker
Also das, was wir bis jetzt besprochen haben, wie du gesagt hast, war reaktiv.
00:10:10
Speaker
Also wir haben versucht, ein bisschen das aufzuräumen, was wir in der Vergangenheit nicht unbedingt optimal gemacht haben, eben durch das Löschen der Apps, durch das Löschen der Accounts in der E-Mail und auch, um mal zu schauen, ob oder wie oft die E-Mail geleakt worden ist.
00:10:27
Speaker
Und dann der nächste Schritt ist wirklich,
00:10:29
Speaker
proaktiv sich dagegen zu schützen, gegen diese verschiedenen Gefahren und proaktiv etwas für seine Privatsphäre und auch Sicherheit zu machen.
00:10:39
Speaker
Und da gibt es eigentlich zwei verschiedene Wege, die ich gesehen habe, die Personen genommen haben.
00:10:44
Speaker
Und der erste Weg ist, langsam Schritt für Schritt alles umzustellen.
00:10:49
Speaker
Das heißt, hier in unseren Folgen zum Beispiel geben wir in jeder Folge eine kleine Empfehlung, was man eben machen kann.
00:10:55
Speaker
Wir hatten den Passwortmanager in der letzten Folge und auch in den nächsten Folgen werden wir verschiedene weitere kleinere Empfehlungen machen.
00:11:03
Speaker
Und das ist ein Weg, den gerne viele gehen.
00:11:05
Speaker
Die wechseln
00:11:09
Speaker
Zum Beispiel pro Woche wechseln sie zwei, drei Apps durch zu Open-Source-Apps, zu privateren Alternativen und kriegen so eine höhere Privatsphäre über eben den längeren Zeitstrahl.
00:11:20
Speaker
Der Vorteil davon ist, dass es ziemlich einfach ist.
00:11:22
Speaker
Also man muss sich nicht auf einmal sehr viel, man muss sich nicht umstellen auf einmal, sondern kann langsam die verschiedenen Apps sich damit einlernen.
00:11:32
Speaker
Der zweite Weg wäre wirklich alles auf einmal zu machen.
00:11:37
Speaker
Der Vorteil davon wäre, dass man wirklich dann von einem Tag auf den anderen die perfekte Privatsphäre hat.
00:11:41
Speaker
Das hat man bei der anderen Variante nicht.

Die kontinuierliche Reise zur Privatsphäre

00:11:44
Speaker
Aber natürlich ist das eine Menge mehr Aufwand.
00:11:47
Speaker
Man müsste seinen Computer komplett mit einem neuen Betriebssystem ausstatten, sein Handy mit einem neuen Betriebssystem, alle Apps umstellen, alle E-Mails umstellen und so weiter.
00:11:54
Speaker
Das heißt, wenn man mal ein, zwei Wochen Zeit hat und im Urlaub sich darum kümmern möchte, also Urlaub bei sich zu Hause vorm Computer, dann kann man das machen.
00:12:04
Speaker
Sonst ist eben der andere Weg, indem man langsam mit den kleinen Schritten sich umstellt.
00:12:10
Speaker
Ich denke auch, für die allermeisten ist die zweite Antwort, oder die erst genannte von dir, mit dem langsamen, fließenden Übergang besser.
00:12:17
Speaker
Ich habe an vielen Stellen den Extremweg genommen und das war stressig.
00:12:22
Speaker
Ich kann mir auch gut vorstellen, dass es nicht nur besonders stressig ist, sondern dass das auch nicht nachhaltig ist, weil man dann irgendwann aufgibt, weil es dann doch zu anstrengend ist.
00:12:31
Speaker
Man sieht diesen großen Berg vor sich, man sieht den Gipfel, aber der ist so weit weg, wenn man unten steht,
00:12:36
Speaker
Dass man gleich sagt, ach nee, komm.
00:12:38
Speaker
Wenn man aber einfach nur Schritt für Schritt vorangeht und dann immer mal wieder runterguckt und sieht, wie weit man schon hochgekommen ist, dann ist das wieder eine sehr schöne Reise.
00:12:46
Speaker
Und das ganze Thema Privacy ist eine Reise, die du ein Leben lang gehen wirst.
00:12:51
Speaker
Du wirst irgendwann einen Idealzustand haben.
00:12:54
Speaker
der dich glücklich macht, wo du siehst, okay, den erhalte ich jetzt.
00:12:58
Speaker
Aber jetzt ändert sich dein Leben ja.
00:12:59
Speaker
Vielleicht lernst du neue Menschen kennen.
00:13:00
Speaker
Vielleicht wechselst du den Beruf, ziehst um.
00:13:03
Speaker
Und dann gilt es halt wieder zu evaluieren und zu schauen, ist jetzt mein perfekter Privacy-Level erreicht oder muss ich wieder was verändern?
00:13:10
Speaker
Alleine wenn du einen neuen Account irgendwo aufmachst, hast du ja wieder einen ganzen Fragekatalog im Kopf, wie du damit umgehen willst.
00:13:16
Speaker
Oder ob das sich mit deinem Privatsphäre-Modell, mit deinem Threat-Model decken wird.
00:13:20
Speaker
Es sei denn natürlich, du hast jetzt eine Bedrohungssituation, die akut ist.
00:13:24
Speaker
Das wirst du aber dann wissen.
00:13:25
Speaker
Wenn jetzt irgendwas ist, wo du sagst, oh, ich muss wirklich ganz schnell was verändern, kommst du nicht dran vorbei.
00:13:30
Speaker
Und dann werden wir dir auch da helfen.
00:13:32
Speaker
Dann würde ich dir aber auch empfehlen, komm in den Member-Club oder buch mal eine Stunde bei Timo oder bei mir, dass wir da gemeinsam durchgehen, weil dann hast du viel vor dir.
00:13:40
Speaker
Also ich stimme dir auf jeden Fall auch zu, dass es deutlich, deutlich einfacher ist, mit kleinen Schritten seine Privatsphäre zu verbessern.
00:13:47
Speaker
Und ich dachte auch, dass es ziemlich stressig ist, alles auf einmal zu machen.
00:13:50
Speaker
Aber nachdem ich das Buch veröffentlicht habe, das Privacy-Handbuch, haben mir auch Leute wirklich geschrieben, dass sie von vorne bis hinten wirklich alles umgesetzt haben, innerhalb von ein, zwei Wochen.
00:14:01
Speaker
Und das hat mich auch ziemlich überrascht und deswegen wollte ich auch mal diesen Weg zeigen, weil vielleicht für ein paar Menschen ist das auch der bessere Weg und das längerziehende eben nicht.
00:14:11
Speaker
Aber ich bin auch der Meinung, dass für den Großteil es deutlich einfacher ist, langsam eben die verschiedenen Sachen umzusetzen.
00:14:20
Speaker
Wo würde ich denn anfangen, Timo, wenn ich jetzt sage, ich habe meine ganzen Apps gelöscht und möchte jetzt die ersten Apps so Stück für Stück ersetzen mit besseren Alternativen?

Schnelle Erfolge für mehr Privatsphäre

00:14:31
Speaker
Ich würde Apps ersetzen, bei denen man das dann nicht wirklich merkt, dass man irgendwas ersetzt hat.
00:14:36
Speaker
Wenn man jetzt sein komplettes Betriebssystem ersetzt, natürlich ist das mit ein bisschen Aufwand verbunden, aber ich würde verschiedene Quick-Wins eher empfehlen.
00:14:44
Speaker
Wie zum Beispiel den Browser einmal zu wechseln, wenn man bei Google Chrome ist, wenn man da zu dem Brave Browser wechselt, das ist ein sehr, sehr kleiner Schritt, ein Quick Win, den man hat und man hat eine deutlich höhere Privatsphäre und in der alltäglichen Benutzung merkt man da nicht zu viel davon.
00:15:00
Speaker
Das Schöne ist, bei diesem fließenden Übergang kannst du ja parallel auch das alte nochmal behalten.
00:15:05
Speaker
Das empfehle ich generell, gerade wenn man an etwas geht, wie jetzt die E-Mail-Adresse, dass man den Provider wechselt, dass man dann die alte E-Mail trotzdem natürlich noch beibehält und einfach für die Zukunft alles auf dem neuen Provider macht und dann die alten Stück für Stück umzieht.
00:15:20
Speaker
Gleiches bei Geräten.
00:15:21
Speaker
Wenn du ein neues Smartphone brauchst, dann behalt das alte doch noch und lass das noch aktiviert, lass die Apps da drauf installiert.
00:15:27
Speaker
Und dann ziehst du die Schritt für Schritt um und wenn du merkst, oh, jetzt habe ich ein paar Wochen damit gearbeitet und das funktioniert auf dem neuen Gerät alles, kannst du das auf dem alten löschen.
00:15:34
Speaker
Ja, das ist ein wirklich sehr, sehr guter Tipp, weil dann ist auch der Umstieg deutlich einfacher.
00:15:38
Speaker
Weil wenn man jetzt sagt, ich muss jetzt komplett umsteigen auf einmal und komplett mich einlernen in die App, das trauen sich dann viele nicht.
00:15:45
Speaker
Deswegen ist es ziemlich gut, eben diese Backup-Lösung zu haben, nicht direkt alles rauszulöschen, weil dann ist es deutlich einfacher, es umzusetzen und dann hat man auch nicht so viel Angst, dass man dann irgendwas verlieren könnte.
00:15:56
Speaker
Sehr gut.
00:15:57
Speaker
Ich denke, an dem Punkt, also wir werden natürlich diese nächste, übernächste Woche noch immer wieder Empfehlungen haben, konkrete, wie jeder vorgehen kann, wenn du jetzt gar keine Orientierung für dich hast oder nicht weißt, wo bei dir die nächste Baustelle ist.

Ressourcen für datenschutzfreundliche Apps teilen

00:16:12
Speaker
Bleib einfach dran, du kriegst immer wieder neue Tipps.
00:16:14
Speaker
Wenn du aber schon weißt, oh, ich möchte an dieser Stelle, an dieser Baustelle bei mir arbeiten,
00:16:18
Speaker
Dann gibt es ein paar gute Webseiten und Sammlungen, die wir dir empfehlen können.
00:16:23
Speaker
An allererster Stelle, Timo, hast du deine eigene, die wir in die Show Notes packen werden.
00:16:28
Speaker
Was ist das?
00:16:29
Speaker
Genau, also privatopia.de slash Empfehlungen.
00:16:32
Speaker
Da könnt ihr draufgehen.
00:16:33
Speaker
Wie gesagt, der Link ist auch in den Shownotes.
00:16:35
Speaker
Und da sind einfach unsere Empfehlungen da.
00:16:37
Speaker
Was wir empfehlen für Apps, was für Betriebssysteme wir empfehlen, was für Messenger, E-Mail.
00:16:42
Speaker
Also wirklich zu all den Punkten, die man in seinem digitalen Leben hat, haben wir dann ein paar verschiedene Empfehlungen.
00:16:48
Speaker
Und auch für wen wir das empfehlen, wie schwierig die Benutzung ist, ob es Open Source ist, ob es was kostet, ob es kostenfrei ist und so weiter.
00:16:56
Speaker
Das heißt, da könnt ihr einmal hinschauen.
00:17:00
Speaker
Oder wenn ihr dort jetzt nichts findet oder wenn ihr nach einer spezifischen App sucht, zu der ihr eine Alternative haben wollt, gibt es die Website alternative2.net.
00:17:11
Speaker
Packen wir auch natürlich in die Shownotes.
00:17:13
Speaker
Und das ist eine Webseite, bei der man verschiedene Apps oder verschiedene Software, die man verwendet, einmal reinpacken kann.
00:17:20
Speaker
Und dann werden Alternativen dazu vorgestellt.
00:17:22
Speaker
Und man kann auch filtern, dass es eben Open-Source-Alternativen sind, dass die auf die Privatsphäre achten und so weiter.
00:17:29
Speaker
Das heißt, wenn man zum Beispiel Microsoft Word verwendet und nicht weiß, zu was man wechseln soll, kann man das dort einmal reinpacken, nachsuchen und dann werden verschiedene Alternativen dann vorgestellt.
00:17:40
Speaker
Bei Microsoft Word wäre es jetzt zum Beispiel OnlyOffice oder LibreOffice und daher kann man dann ein wenig durchschauen und eben zu den Apps, die man jetzt schon viel verwendet, verschiedene Alternativen raussuchen.
00:17:53
Speaker
Oder was hättest du noch, Nino?
00:17:55
Speaker
Ja, ich finde, die beiden sind die wichtigsten, zumal es gibt auf Deutsch keine andere gute Sammlung.
00:18:00
Speaker
Deshalb haben wir eine eigene aufgebaut.
00:18:01
Speaker
Denn tatsächlich ist das meiste, was man so zum Thema Privacy findet, englischsprachig.
00:18:06
Speaker
Und falls die Zuhörer damit Herausforderungen haben, ist Privatopia sowieso die erste Anlaufstelle.
00:18:11
Speaker
Und Alternative To ist auch eingesprachig, lässt sich aber leicht lesen, gibt einfach die App oder das Programm ein.
00:18:17
Speaker
Und da gibt es vor allem zwei Filter, einmal Open Source und einmal, ich glaube, Privacy Friendly oder Privacy Focused.
00:18:24
Speaker
Genau, richtig.
00:18:24
Speaker
Die kann man aktivieren, um dann zu schauen, gibt es jetzt Alternativen, die ich mir anschauen kann.
00:18:29
Speaker
Wichtig an der Stelle, bevor ich jetzt noch eine dritte oder vierte Seite nenne, diese Filter und diese Open Source Geschichte, da muss man immer den Warnhinweis mitgeben, Open Source ist kein Heilmittel.
00:18:41
Speaker
Es ist für mich mittlerweile ein fast notwendiger Filter, weil ich sehe, dass ein Open-Source-Programm tendenziell privater und sicherer ist, weil der ganze Programmcode ist offen im Internet verfügbar.
00:18:52
Speaker
Jetzt könnte man denken, da können ja Angreifer schneller die Lücken finden.
00:18:56
Speaker
Ja.
00:18:57
Speaker
Aber es können auch viele Leute diese Lücken finden und schnell schließen und dazu beitragen, dass das sicher bleibt.
00:19:03
Speaker
Und selbst bei großen Firmen wie Microsoft oder Apple gibt es ein paar hundert, vielleicht ein paar tausend Entwickler, die die ganze Zeit versuchen, bei sich im stillen Kämmerlein den Code zu fixen und Schwachstellen zu finden und aufzulösen.
00:19:17
Speaker
Und in der Welt gibt es Millionen von Programmierern und Entwicklern, die da beitragen können.
00:19:22
Speaker
Also du hast ein viel, viel größeres Team, was da mitarbeiten kann, potenziell.
00:19:26
Speaker
Potenziell deshalb, weil es gibt auch viele veraltete Open-Source-Programme, die mittlerweile unsicher sind.
00:19:32
Speaker
Es gibt Open-Source-Programme, die sind nicht populär.
00:19:35
Speaker
Die hast du vielleicht gefunden, weil du ein ganz spezifisches Nischenproblem hast.
00:19:38
Speaker
Aber da gibt es ja vielleicht noch drei andere Leute, die das nutzen.
00:19:41
Speaker
Und dann ist auch die Gefahr groß, dass da Fehler übersehen werden.
00:19:44
Speaker
Also die Bedingung, wenn du Open Source als Filter anklickst, achte trotzdem darauf, hat dieses Programm ein Update erfahren in den letzten Monaten, das heißt, es wurde noch aktiv entwickelt, gibt es da viele Nutzer, viele Downloads von dem Programm, das sind immer so Indikatoren, dass du sagen kannst, ja okay, das scheint mir eine gute Alternative zu sein, die du dann ausprobierst.
00:20:05
Speaker
Und wenn du diesen ganzen Weg nicht gehen willst und hast aber ein recht robes Problem, was die meisten Menschen haben, kannst du erst mal die Seite von Timo dir anschauen.
00:20:15
Speaker
Und es gibt eine englischsprachige, die ist Stand, die jetzt, wir sind im Mai 2026, meine Anlaufstelle, nämlich privacyguides.org.
00:20:23
Speaker
Auch das packen wir in die Shownotes.
00:20:25
Speaker
Englischsprachig, da gibt es jede Menge Artikel,
00:20:27
Speaker
Rund um Thema Privacy und dann gibt es oben Recommendations, also Empfehlungen und dann siehst du links eine schön aufgelistete Kategorisierung für alles mögliche, also für E-Mails, Foto-Management sehe ich hier, VPN, KI-Chats, Kryptowährungen haben wir hier auch drin, Navigation, Fitness-Apps, solche Sachen kannst du hier alles mal durchstöbern und die geben, stand jetzt, gute Empfehlungen, ich sage das immer ganz bewusst, weil
00:20:50
Speaker
Es gibt auch viele Anbieter da draußen, aber viele Webseiten, die ich früher gut fand, die auch gut waren, die es jetzt aber mittlerweile nicht mehr gibt oder die aufgekauft wurden oder jetzt anderen Weg gegangen sind.
00:21:00
Speaker
Stand jetzt, Privacy Guides, ansonsten werden wir sicher auch die Shownotes updaten oder da in einer späteren Folge nochmal drauf zurückkommen, wenn es die nicht mehr geben sollte oder wenn die nicht mehr empfehlenswert sind.
00:21:10
Speaker
Ja, das ist für den Einstieg da meine Empfehlung.
00:21:14
Speaker
Mach eine Sache nach der anderen.
00:21:15
Speaker
Seitdem du hast diese zwei Wochen Urlaub und bist halt so extrem drauf, wie die ganzen Leute, mit denen Timo spricht.
00:21:20
Speaker
Ich gehe davon aus, dass wenn du bei der E-Mail ansetzt und bei dem, was wir die letzten Wochen gesagt haben, deinem Webbrowser und deinem Passwortmanager,
00:21:28
Speaker
dann bist du an einer sehr guten Position und kannst da einen nach dem anderen abhaken von den Punkten, die dir gerade wichtig sind.
00:21:34
Speaker
Wir haben aber auch gleich noch eine konkrete Empfehlung, es sei denn, du, Timo, hast noch was für uns bezüglich Threat Modeling?
00:21:41
Speaker
Nein, wir können gerne in die direkte Empfehlung von dieser Folge gehen.

Bedeutung der Zwei-Faktor-Authentifizierung

00:21:46
Speaker
Und zwar, wir wollen uns die Zwei-Faktor-Authentifizierung anschauen.
00:21:50
Speaker
Weil aus meiner Erfahrung ist vielen nicht wirklich klar, was die Zwei-Faktor-Authentifizierung gibt, welche Formen es gibt, was da die Vor- und Nachteile sind.
00:21:59
Speaker
Nino, möchtest du mal anfangen mit den verschiedenen Formen?
00:22:03
Speaker
Also es gibt vier verschiedene und wir würden die einfach von am unsichersten bis zum am sichersten erklären.
00:22:10
Speaker
Da bin ich jetzt mal gespannt, weil wir haben nicht abgesprochen, welche Priorisierung wir haben.
00:22:14
Speaker
Aber ich glaube, wir sind uns einig.
00:22:15
Speaker
Da gibt es verschiedene Methoden.
00:22:16
Speaker
Ich kann mir vorstellen, dass die unsicherste in unseren beiden Augen die SMS ist.
00:22:22
Speaker
Die kennst du vielleicht von dem alten Online-Banking.
00:22:25
Speaker
Wenn du dort eine Überweisung machst, dann hast du vorher noch eine SMS bekommen mit einem Code.
00:22:28
Speaker
Meistens sind das sechs Zahlen.
00:22:30
Speaker
Und die Idee von diesem zweiten Faktor ist, du hast jetzt nicht nur etwas, was du weißt, nämlich deine E-Mail und dein Passwort,
00:22:35
Speaker
Sondern du hast jetzt auch noch etwas, was du hast, nämlich deine SIM-Karte, deinen Mobilfunkvertrag, was du besitzt und wo kein anderer rankommt und dann schickt man dir einen Code und den kannst du dann eingeben.
00:22:46
Speaker
Und das ist auch das Bequemste, weil dafür musst du nichts anderes machen.
00:22:48
Speaker
Wahrscheinlich hast du schon eine Mobilfunknummer und hast schon mal eine SMS bekommen.
00:22:52
Speaker
Das heißt, damit kannst du sofort loslegen.
00:22:55
Speaker
Problem dabei ist, SMS, ähnlich wie bei E-Mails, die sind nicht besonders gut verschlüsselt.
00:23:00
Speaker
Man kann relativ leicht, wenn man weiß, was man tut, die abgreifen und dann bei sich auch bekommen.
00:23:06
Speaker
Dafür brauchst du schon einen spezifischen Angebot.
00:23:08
Speaker
Also jemand muss dich spezifisch haben wollen und bei dir in die Accounts einbrechen, aber dann können sie das bei diesem zweiten Faktor am einfachsten schaffen.
00:23:16
Speaker
Was wäre denn die zweite?
00:23:18
Speaker
Ich gebe das jetzt einfach mal an dich zurück, Tim, oder dann wechseln wir uns aber schnell ein bisschen Ping-Pong.
00:23:22
Speaker
Ja, genau.
00:23:23
Speaker
Also ich würde auch E-Mail mit zu der SMS hin dazu holen, dass halt beide nicht wirklich sicher sind.
00:23:29
Speaker
Und vielleicht auch nochmal als...
00:23:31
Speaker
Praxisbeispiel, wieso sowas helfen kann, eine Zwei-Faktor-Interfizierung.
00:23:36
Speaker
Wenn jetzt wirklich die E-Mail und das Passwort geleakt werden, von jetzt sagen wir mal eben einem Bank-Account, dann kann ein Hacker sich eben einloggen in deinem Account, sieht vielleicht, wie viel man hat an Geld, aber er kann nichts absenden, weil fürs Absenden benötigt man nicht nur die E-Mail und das Passwort, sondern eben diesen sechsstelligen Code, der einem zugesendet wird und man muss dann den eingeben, um wirklich die letzte Bestätigung zu machen.
00:24:01
Speaker
Und das bietet halt eben Schutz gegen verschiedene Datenlags.
00:24:06
Speaker
Genau.
00:24:07
Speaker
Dann zur nächsten Empfehlung oder zum nächsten Typ von der Zwei-Faktor-Authentifizierung.
00:24:13
Speaker
Das wäre über die verschiedenen Zwei-Faktor-Authentifizierungs-Apps.
00:24:19
Speaker
Nino, du hast ja gesagt, bei Banken ist früher der Standardfall gewesen, dass SMS und eben auch E-Mail verwendet worden sind.
00:24:27
Speaker
Leider wird es immer noch zu oft verwendet.
00:24:29
Speaker
Aber vor allem, wenn wir uns uns Kryptobörsen anschauen, die sind ein bisschen weiter schon als das traditionelle Banksystem.
00:24:35
Speaker
Die verlangen dann halt eben oft eine Zwei-Faktor-Ontifizierung und das geht dann über eine App, die man sich hier runterlädt.
00:24:42
Speaker
Meistens wird dann eben Google Authenticator oder Microsoft Authenticator vorgeschlagen, aber an sich basieren alle auf dem gleichen System.
00:24:52
Speaker
Das heißt, es ist eigentlich komplett egal, welche App man verwendet.
00:24:55
Speaker
Und was passiert?
00:24:56
Speaker
Man scannt einen QR-Code ein mit dem Handy, dann wird auf dem Handy eben diese Verbindung gespeichert zu diesem Dienstleister, ganz, ganz einfach erklärt.
00:25:04
Speaker
Und dann wird auf dem Handy alle 30 Sekunden ein neuer 6-stelliger Code angezeigt.

Empfehlungen für Open-Source-2FA-Apps

00:25:10
Speaker
Und wenn man dann sich jetzt eben einlauben möchte, wie zum Beispiel jetzt das Beispiel der Kryptobörse, gibt man seine E-Mail an, sein Passwort an und dann schaut man auf dem Handy, auf der App und schaut sich den aktuellen Code an, den man eben eingeben muss.
00:25:26
Speaker
Und das ist eine deutlich sicherere Möglichkeit der Zwei-Faktor-Undifizierung als SMS und als E-Mail, denn dort braucht jemand wirklich physischen Zugriff auf das Handy und muss diese App auch öffnen können.
00:25:38
Speaker
Das heißt, er braucht auch das Passwort von dem Handy, um eben Zugriff darauf zu haben.
00:25:44
Speaker
Und was wir dort empfehlen, wie schon vorhin gesagt, es gibt eben Microsoft Authenticator, Google Authenticator, die werden am meisten empfohlen von eben auch diesen Webseiten, die das anbieten, wie Kryptobörsen zum Beispiel.
00:25:56
Speaker
Aber da das ein offener Standard ist, kann man hier auch zu Open-Source-Apps greifen und auch zu privateren Alternativen.
00:26:03
Speaker
Und vielleicht Nino, was wären da die Empfehlungen und was sind da die Unterschiede?
00:26:08
Speaker
Ja, ein Schritt noch kurz zurück.
00:26:10
Speaker
Moderne Banken machen mittlerweile auch App-gesteuerte zweite Faktoren, allerdings meistens über deren eigene Apps.
00:26:15
Speaker
Also eine Direktbank oder eine Neobank, ich denke jetzt mal so die meistverbreiteten sind die Inc.
00:26:20
Speaker
oder N26 oder C24 oder wie die alle heißen Revolut.
00:26:25
Speaker
Die arbeiten dann oft mit der App, dass du in der App einen Code bekommst und auch nochmal eine Bestätigung machen musst, wenn du das versuchst online abzuschicken.
00:26:33
Speaker
Was du gesagt hast mit dem offenen Standard, der ist tatsächlich fast immer der gleiche.
00:26:37
Speaker
Der heißt TOTP, Time-Based One-Time-Passport.
00:26:40
Speaker
Jetzt kann ich auch mal ein bisschen mit Wissen angeben.
00:26:43
Speaker
Dieser Standard, den wirst du wahrscheinlich auch mitbekommen.
00:26:46
Speaker
Also wenn du irgendwo in deinen Accounts bei den Sicherheitseinstellungen 2FA siehst, also Two-Factor-Authentification, kannst du sehen, ob das eine SMS ist, ob das TOTP ist.
00:26:57
Speaker
Und wenn es TOTP ist,
00:26:59
Speaker
Oder wenn Google Authentifizierte vorgeschlagen wird, dann kannst du jede Open-Source-App benutzen, die das macht, weil das ist etwas, was offline auf deinem Handy in der App generiert wird.
00:27:09
Speaker
Das ist nichts, was wie bei der SMS oder E-Mail erst mal von dem Anbieter des Accounts an dich geschickt wird und dann im Transit vielleicht auch abgefangen werden könnte, sondern am Anfang bei der Einrichtung einigt man sich darauf auf ein Geheimnis und dieses Geheimnis, daraus werden alle 30 Sekunden sechs neue Zahlen errechnet.
00:27:26
Speaker
Und diese Zahlen, die sind dann auch gültig für die 30 Sekunden, die angezeigt werden und dann noch weitere 30 Sekunden.
00:27:32
Speaker
Das heißt, zu jeder Zeit hast du eine Minute die Möglichkeit, diesen sechs Zahlencode zu verwenden und falls jemand anders versucht, den abzugreifen, dann hat er halt auch nur diese begrenzte Zeit, sich einzuloggen und dann beim nächsten Mal nicht mehr.
00:27:44
Speaker
Dann wird was anderes abgefragt.
00:27:45
Speaker
Die App, die ich dafür verwende, die heißt Aegis, also A-E-G-I-S.
00:27:50
Speaker
Das ist eine Open Source App, die genau das macht.
00:27:52
Speaker
Ist schön anzusehen, hat alle Funktionen, die ich brauche.
00:27:55
Speaker
Es gibt auch noch eine zweite App, wenn man auf Privacy Guides guckt, dann findet man die beiden auch.
00:27:59
Speaker
Die nutzt der Timo.
00:28:00
Speaker
Welche ist das?
00:28:01
Speaker
Ja, das ist Ente Authenticator und die empfehle ich eigentlich den meisten.
00:28:06
Speaker
Vielleicht, was die Unterschiede sind oder was gleich ist, ist einfacher zu erklären, eben dieser Grundstandard mit TOTP.
00:28:13
Speaker
Beide Apps zeigen diese sechsstelligen Codes an.
00:28:15
Speaker
Man kann bei beiden Apps das importieren, exportieren.
00:28:18
Speaker
Das heißt, man kann auch an sich beide Apps gleichzeitig verwenden, weil der Code, der angezeigt wird, wird immer der gleiche sein.
00:28:25
Speaker
Nur der Unterschied in den beiden Apps ist, dass bei Aegis alles nur lokal auf dem Handy gespeichert wird.
00:28:31
Speaker
Das heißt, es ist nur auf dem Handy und immer wenn man sich irgendwie einloggen muss, muss man sein Handy rausholen und schauen, was der Code ist.
00:28:39
Speaker
Das hat natürlich Vorteile, weil ein Angreifer hat dann halt auch eben nur Zugriff, wenn er Zugriff auf das Handy hat.
00:28:46
Speaker
Aber wenn man jetzt am Computer arbeitet und gerade nicht das Handy zur Verfügung hat, dann kommt man nicht unbedingt in den Account.
00:28:53
Speaker
Und das ist der Vorteil von EnteAuthenticator.
00:28:56
Speaker
Die bieten eine Synchronisation an zwischen verschiedenen Geräten, die komplett Ende zu Ende verschlüsselt ist.
00:29:02
Speaker
Das heißt, der Anbieter sieht wirklich nichts von diesen Codes, von den Geheimnissen und von den Zahlen, die ihm angezeigt werden, aber trotzdem auf den verschiedenen Geräten, die man hat, zum Beispiel auf dem Laptop, auf dem Handy, werden auf beiden Geräten die Codes angezeigt und so ist man nicht von einem Gerät abhängig.
00:29:19
Speaker
Also das sind die beiden Unterschiede.
00:29:20
Speaker
Beide Apps sind komplett kostenfrei, sind Open Source, basieren auf dem gleichen Standard.
00:29:25
Speaker
Nur die Frage ist, wollt ihr etwas, was nur lokal auf dem Handy ist, was natürlich auch Vorteile hat, oder etwas, was verschlüsselt synchronisiert wird.
00:29:34
Speaker
Die verschlüsselte Synchronisierung, die muss man ja auch gar nicht aktivieren, glaube ich, bei Ente.
00:29:37
Speaker
Das stimmt auch, ja.
00:29:39
Speaker
Also du könntest Ente auch vollständig so benutzen wie Aegis oder Aegis.
00:29:43
Speaker
Ich weiß es jetzt gar nicht, jetzt hast du es anders genannt.
00:29:45
Speaker
Mal gucken, was die Leute dazu sagen.
00:29:47
Speaker
Ich habe es immer als Aegis gekannt.
00:29:49
Speaker
Naja, du brauchst unbedingt, unbedingt, unbedingt, das ist jetzt ganz wichtig, sowohl in deinem Passwortmanager als auch in deiner Zwei-Faktor-App das Backup, weil wenn dein Handy dann mal kaputt ist oder verloren geht oder irgendwas passiert und du kannst nicht mehr auf die App zugreifen, dann kommst du auch nicht mehr in die Accounts rein.
00:30:08
Speaker
Da kann der Anbieter dich nicht mehr reinlassen, weil nur du dieses Geheimnis kennst und diese Codes errechnen kannst.
00:30:15
Speaker
Deshalb, wichtig, mach auf jeden Fall ein Backup.
00:30:17
Speaker
Die Apps erlauben das auch einfach, ein verschlüsseltes Backup zu machen mit Passwort und das dann irgendwo abzuspeichern, natürlich dann außerhalb von dem Smartphone.
00:30:24
Speaker
Und du kannst halt auch, falls du so verrückt bist wie ich und hast zwei Handys, dann kannst du auch natürlich zweimal Aegis installieren auf beiden Geräten und bei der Einrichtung von beiden immer installieren.
00:30:34
Speaker
den Code abscannen und hast eine 1 zu 1 Kopie auf beiden Geräten und dann nochmal ein externes Backup auf einer Festplatte, weil die beiden Handys trage ich auch auf beide mit mir rum, dann ist es wichtig, dass du ein Backup wieder einspielen kannst.
00:30:47
Speaker
Genau.
00:30:48
Speaker
Bei Ente Authenticator, wenn man die Synchronisation eben nimmt, ist das Risiko nicht so hoch.
00:30:53
Speaker
Das heißt, wenn man halt eben diesen Account hat, auf dem Laptop, auf dem Handy oder auf seinen Geräten, dann passiert es halt nicht oft, dass man alles auf einmal verliert.
00:31:01
Speaker
Aber man sollte trotzdem auch dort ein Backup machen, vielleicht nicht so häufig.
00:31:05
Speaker
Und es hat nicht so eine höhere Priorität wie jetzt bei Aegis.
00:31:08
Speaker
Aber trotzdem, wenn jetzt Ente verschwinden sollte oder man eben einen anderen Anbieter verwendet,
00:31:14
Speaker
sollte man trotzdem eben noch auf einer externen Festplatte das Speichern alle drei Monate zum Beispiel.
00:31:20
Speaker
Alles klar.
00:31:21
Speaker
Ja, Backups, wichtiges Thema, wird sicher auch mal eine ganze Folge in der Zukunft tragen.
00:31:28
Speaker
So, jetzt haben wir den zweiten Faktor mit dem TOTP-Standard.

Einführung in Passkeys als Passwortersatz

00:31:32
Speaker
Was passiert denn jetzt, wenn wir sagen, wir wollen es noch sicherer haben?
00:31:36
Speaker
Oder es wird gar nicht angeboten.
00:31:37
Speaker
Wir können nur E-Mail, SMS wählen und nicht TOTP, aber es gibt vielleicht noch was anderes, was wir nutzen können.
00:31:44
Speaker
Was wäre das dann?
00:31:45
Speaker
Ja, das sind die sogenannten Pass-Keys.
00:31:48
Speaker
Vielleicht möchtest du ein bisschen was dazu erzählen.
00:31:50
Speaker
Das ist ein ziemlich neueres Technologie, also die wird noch nicht von so vielen Webseiten akzeptiert.
00:31:56
Speaker
Ja, gerne.
00:31:57
Speaker
Also Passkeys sind die modernen Passwörter.
00:32:00
Speaker
Das ist der Nachfolger.
00:32:01
Speaker
Vielleicht werden wir in Jahren alle nur noch Passkeys verwenden, weil sie so schön einfach sind und du dir nicht mehr Passwörter merken oder irgendwo abspeichern musst.
00:32:09
Speaker
Du kannst dich dann mit einem Klick anmelden und bist trotzdem sicherer, als wenn du ein Passwort eingibst und dann zum Beispiel noch eine SMS bekommst, mit der du dich dann mit einem zweiten Faktor einloggst.
00:32:19
Speaker
Das ist die moderne Kryptografie, das nennt sich asymmetrische Kryptografie, falls man das mal nachschlagen möchte und unterm Strich funktioniert das aber für uns jetzt hier in diesem Kontext wie ein zweiter Faktor, weil beide Faktoren, das was ich weiß und das was ich besitze, schon in diesem Passkey in der Technologie mit drin sind.
00:32:38
Speaker
Wenn ich mich also bei einem Account irgendwo registriere, dann werde ich heutzutage immer noch meine E-Mail eingeben und ein Passwort festlegen und dann aber in den Sicherheitseinstellungen, dort wo ich auch den zweiten Faktor finden würde, da dann einmal einen Passkey erstellen.
00:32:51
Speaker
Und wir empfehlen, dass du das Ganze mit Bitworden machst, weil du den wahrscheinlich schon nutzt, den Passwortmanager, ProtonPass kann den auch.
00:32:57
Speaker
Und dann wirst du einen Passkey erstellen.
00:33:00
Speaker
Das ist ein privater Schlüssel, den nur du kennst und den auch nur du bei dir abgesichert im Passwortmanager dann speicherst und der dann auch nicht mehr in Kontakt kommt mit dem Internet oder mit dem Account.
00:33:11
Speaker
Dieser private Schlüssel, der ist nur dafür da,
00:33:14
Speaker
damit rumzuwedeln quasi und zu zeigen, ich bin ich, ich darf das wirklich.
00:33:17
Speaker
Kannst du dir vorstellen, wie wenn dein Passwort so ein Zahlenschloss wäre an deiner Haustür und wenn halt du den Code kennst, kommst du rein, wenn jemand anders den Code kennt, kommt der rein, ist dein Passkey der Haustürschlüssel, den du mit dir rumträgst und von dem es auch nur dieses eine Modell gibt und das Schloss ist dann der öffentliche Schlüssel, der liegt bei dem Account.
00:33:37
Speaker
Wenn zum Beispiel Amazon oder Shopify wissen möchte, ob du da rein darfst, dann zückst du quasi deinen Schlüssel, schließt das Schloss auf und dann weiß der Account, das bist du, du darfst da rein.
00:33:48
Speaker
Obwohl dieser Schlüssel gar nicht gesehen wird oder gar nicht übergeben wird, sondern du hast den einfach und schließt damit ein Schloss auf und dadurch, dass du diese Fähigkeit hast, dieses Schloss aufzuschließen, darfst du eben eintreten.
00:33:59
Speaker
Das ist die Idee hinter Passkeys.
00:34:02
Speaker
Und da es erstmal sehr von der Mathematik dahinter und von der Technologie ein bisschen schwierig ist, das zu verstehen, ist es auch noch nicht so weit verbreitet.
00:34:12
Speaker
Das ist auch die größte Herausforderung von den Passkeys, dass sie im Moment nicht überall angeboten werden und deshalb nicht dein Standard werden können.
00:34:19
Speaker
Und wahrscheinlich musst du dann eh verschiedene Sachen nutzen, weil je nach Anbieter gibt es halt nur einen von diesen vier Kategorien, die wir heute nennen.
00:34:28
Speaker
Ein großer Vorteil von den Passkeys, auch gegenüber diesem TOTP und natürlich auch der SMS, ist, dass du nochmal gegen weitere Attacken abgesichert bist, nämlich gegen das Phishing.
00:34:39
Speaker
Wenn jemand eine Webseite baut, die genauso aussieht wie Amazon und auch die Domain genauso aussieht, weil da einfach ein anderes Alphabet verwendet wird, aber für das menschliche Auge sieht die Domain halt exakt so aus wie Amazon.de,
00:34:52
Speaker
dann könnte jemand, der sich die Mühe macht und diese Seite erstellt und dich darauf führt, dafür sorgen, dass er deine Daten abgreift.
00:34:58
Speaker
Du gibst dann dein Passwort ein und gibst dann vielleicht auch deinen zweiten Faktor, deine SMS oder deinen Code von deinem Handy ein und im Hintergrund schafft er es aber, das abzugreifen und eine Sekunde später sich einzuloggen in deinem Account.
00:35:11
Speaker
Und da kannst du dann nichts gegen tun.
00:35:12
Speaker
Und dieser Angriffsvektor, der funktioniert bei Passkeys tatsächlich nicht mehr,
00:35:16
Speaker
weil dieser private Schlüssel, der ist exklusiv für die richtige Domain.
00:35:19
Speaker
Der Computer sieht sofort, dass diese Domain nicht Amazon ist, sondern vielleicht ein kyrillisches A hat und dann halt nicht die richtige Domain ist und verbietet dir dann den Zugriff, weil der Schlüssel einfach nicht mehr passt.
00:35:30
Speaker
Und dafür bist du dann abgesichert.
00:35:32
Speaker
Das ist das besonders Schöne bei PASCYs.
00:35:34
Speaker
Sie sind sicherer und einfacher.
00:35:36
Speaker
Und das einzige Problem, was sie haben, ist, sie sind noch nicht so weit verbreitet.
00:35:41
Speaker
Ja, Timo, möchtest du da vielleicht noch was ergänzen?
00:35:44
Speaker
Ich stimme da eigentlich komplett zu.
00:35:45
Speaker
Also ich habe nichts zu ergänzen.
00:35:48
Speaker
Gut, technisch kann man da halt noch tiefer rein.
00:35:50
Speaker
Vielleicht machen wir das auch mal in so einer richtigen Nerd-Folge, dass wir so in die Themen reingehen, wie das auf einer technischen Ebene funktioniert.
00:35:55
Speaker
Wichtig ist einfach, du hast eine einfache Benutzerführung und es ist nochmal doppelt abgesichert wegen diesem Schutz, dass niemand versuchen kann, deine Menschlichkeit auszunutzen.
00:36:06
Speaker
Jetzt gibt es aber noch einen weiteren Weg und das sind die Fido 2-Schlüssel, die Hardware-Schlüssel.
00:36:14
Speaker
Was ist das denn, Timo?

Überblick über Fido 2 Hardware Keys

00:36:16
Speaker
Also vielleicht, wenn wir ein paar Zuhörer aus dem Bitcoin-Bereich haben, da ist ja der Standard, dass man immer eine Hardware-Wallet hat.
00:36:22
Speaker
Weil da der Vorteil ist, dass man wirklich physischen Zugriff darauf braucht und dass eben nichts auf dem Gerät gespeichert wird.
00:36:29
Speaker
Und ähnlich ist es eben auch bei dieser Zwei-Faktor-Authentifizierung durch eben Hardware-Schlüssel.
00:36:35
Speaker
Technisch gesehen ist es etwas ganz anderes, aber an sich die Idee ist das Gleiche.
00:36:38
Speaker
Man hat ein physisches Gerät, das man benötigt, um sich eben in einen Account einzuloggen.
00:36:45
Speaker
Und leider wird es auch noch nicht bei so vielen Webseiten akzeptiert, aber zum Beispiel bei Kryptobörsen wird es ziemlich oft akzeptiert.
00:36:53
Speaker
Also immer wenn es, oder bei E-Mail, bei Protomail akzeptiert es, Gmail akzeptiert es auch.
00:36:58
Speaker
Es sind wenig Webseiten, die du akzeptierst, aber die, die das akzeptieren, da macht es Sinn, sowas zu verwenden.
00:37:02
Speaker
Also wie das genau funktioniert,
00:37:05
Speaker
Man steckt so einen Schlüssel zum Beispiel in seinen Computer oder in sein Handy.
00:37:09
Speaker
Das sieht so aus wie ein ganz normaler USB-Stick.
00:37:12
Speaker
Und dann meldet man sich eben an mit E-Mail und Passwort und bestätigt dann nochmal auf diesem physischen Schlüssel, in den man zum Beispiel einmal draufdrückt.
00:37:19
Speaker
Oder zum Beispiel ein paar haben auch einen Fingerabdrucksensor.
00:37:22
Speaker
Die gibt es in wirklich vielen verschiedenen Formen.
00:37:24
Speaker
Oder zum Beispiel mit NFC-Chip.
00:37:26
Speaker
Und dadurch, dass man halt eben physisch einmal das bestätigen muss, hat man eine deutlich höhere Sicherheit.
00:37:34
Speaker
als wenn es jetzt über eine App geht.
00:37:37
Speaker
Du hast dieses Prinzip von zweiten Faktor, etwas, was du weißt und etwas, was du besitzt, par excellence gelöst.
00:37:43
Speaker
Weil du hast jetzt ein Hardwaregerät, ein physisches Bauteil, was dieses zweite Geheimnis kennt und für dich sicher speichert.
00:37:49
Speaker
Da gibt es verschiedene Anbieter.
00:37:51
Speaker
Zwei stechen hervor in aller Regel.
00:37:54
Speaker
Das ist YubiKey, das ist so der größte, und das ist NitroKey.
00:37:58
Speaker
Die sind vergleichsweise neu in meinen Augen die bessere Alternative, aber das ist, glaube ich, streitbar.
00:38:03
Speaker
Da gibt es viele Diskussionen zu,
00:38:05
Speaker
Der Unterschied ist, YubiKey ist nicht Open Source.
00:38:09
Speaker
Da ist die Firmware abgeschlossen.
00:38:11
Speaker
Das ist ja für mich immer so ein rotes Tuch.
00:38:14
Speaker
Aber vor allem, was die als Sicherheitskonzept haben, ist, dass du die Firmware auch gar nicht updaten kannst.
00:38:21
Speaker
Das ist ein Konzept, dass niemand sich deinen YubiKey schnappt und dann darauf irgendwas hardwaremäßiges installiert und dann versucht, das abzugreifen.
00:38:29
Speaker
Der Nachteil ist aber, wenn ein größerer Bug entsteht, eine Sicherheitslücke, die man ausnutzen kann, dann kannst du die nicht fixen.
00:38:37
Speaker
Dann kannst du halt kein Update durchführen für diesen Stick und dann brauchst du ein neues Gerät.
00:38:41
Speaker
Dann musst du warten, bis neue Geräte rauskommen und dann die neuen kaufen.
00:38:44
Speaker
Das ist auch eine Art Geschäftsmodell, wie so ein Abo, dass du alle paar Jahre einen neuen Key kaufen musst, weil deiner veraltet ist.
00:38:51
Speaker
Bei NitroKey ist das anders.
00:38:52
Speaker
Die unterstützen für einen Großteil die gleichen Standards, was das angeht.
00:38:55
Speaker
Also die kannst du in der Regel benutzen, musst du dich mal informieren bei deinen Accounts, was da der Standard ist.
00:38:59
Speaker
Meistens ist es Fido 2 und da ist die Firma updatebar.
00:39:04
Speaker
Aber das muss halt jeder für sich wissen.
00:39:06
Speaker
Dafür gibt es die Firma noch nicht so lange und hat halt noch nicht die Reputation aufgebaut.
00:39:10
Speaker
Und es gibt noch andere da draußen, Only Key, Open Key und noch jede Menge mehr.
00:39:14
Speaker
Die funktionieren aber ein bisschen anders und ich glaube, da müssen wir gar nicht so tief rein.
00:39:18
Speaker
Wichtig ist, du guckst einfach mal Yubi Key, mit Y wird das geschrieben, oder eben Nitro Key.
00:39:24
Speaker
Ja, und auch hier nochmal, wie auch vorhin bei den TOTP-Apps, hier sind Backups besonders wichtig.
00:39:30
Speaker
Also es reicht nicht, wenn man nur einen Schlüssel hat, weil wenn man den verliert, ist dann jeglicher Zugriff auf die Accounts, die eben mit diesem Schlüssel erstellt worden sind, auch weg.
00:39:39
Speaker
Das heißt, da macht es Sinn, wirklich zwei oder drei verschiedene Schlüssel zu haben, die man dann auch miteinander synchronisiert ist, wirklich alle auch die gleichen Geheimnisse haben, damit man, falls man mal einen Schlüssel verliert, dass man trotzdem noch Zugriff eben auf diese Accounts hat.
00:39:53
Speaker
Ja, jetzt haben wir vier verschiedene Möglichkeiten.
00:39:56
Speaker
Und das Blöde ist, diese Standards haben sich nie so richtig durchgesetzt, dass man sich auf einen einigen könnte.
00:40:02
Speaker
Du kannst gucken in deinen Accounts, vor allem die, die du am meisten verwendest, welche zweiten Faktoren, wenn sie denn welche haben, erlauben sie dir.
00:40:11
Speaker
Und dann suchst du dir da das raus, was für dich am besten passt.
00:40:13
Speaker
Von der Sicherheit her ist der Hardware-Schlüssel der beste, gefolgt von den Pass-Keys.
00:40:20
Speaker
gefolgt von dem TOTP, wo du auf einer App diese sechs Zahlen generierst und dann das Schlusslicht, aber immer noch besser als nichts, ist die E-Mail oder die SMS, die du bekommen kannst.
00:40:30
Speaker
Dein Zugang ist halt immer nur so stark wie das schwächste Glied in der Kette.
00:40:35
Speaker
Bei Amazon ist mir das aufgefallen, als ich TOTP verwendet habe, fast immer beim Login haben sie gefragt, hey, willst du nicht uns deine Handynummer geben, um deine Sicherheit zu erhöhen?
00:40:43
Speaker
Und das war halt echt fies.
00:40:46
Speaker
Ich habe immer gedacht, wollt ihr mich verarschen?
00:40:48
Speaker
Weil wenn ich euch die Handynummer gebe, dann aktiviert ihr automatisch als Möglichkeit reinzukommen, diese SMS, dass wenn ich meine App deinstalliere oder mein Handy verliere, dass ich dann Amazon sagen kann, schickt mir doch einfach eine SMS.
00:41:01
Speaker
Aber in dem Moment, wo ich das mache, ist das halt auch meine geringste Barriere.
00:41:05
Speaker
Dann bringt dieser zweite Faktor über die App nicht mehr so viel, weil dann ist SMS einfacher anzugreifen.
00:41:11
Speaker
Genau.
00:41:12
Speaker
Aber wie du schon gesagt hast, am besten ist es, man sollte lieber irgendeine Zwei-Faktor-Authentifizierung verwenden als gar keine.
00:41:19
Speaker
Und aus meiner Erfahrung ist eben dieser TOTP-Standard über diese verschiedenen Apps, also zum Beispiel Aegis oder Enteauf, am weitesten verbreitet und die meisten Apps akzeptieren den.
00:41:31
Speaker
Das heißt, das ist ein wirklich guter Startpunkt, weil man muss jetzt auch nicht investieren in eben so einen Hardware-Token und...
00:41:38
Speaker
ist auch ziemlich einfach zu verstehen, wie genau das dann funktioniert.
00:41:41
Speaker
Das heißt, das würde ich als ersten Schritt empfehlen.
00:41:45
Speaker
Klasse.
00:41:46
Speaker
Ich glaube, dann sind wir auch schon durch mit dieser Folge.
00:41:49
Speaker
Es ging wieder mal blitzschnell vorbei für mich.
00:41:52
Speaker
Die Zusammenfassung wäre jetzt, du kümmerst dich um dein Threatmodel, also die Zuhörer hier können jetzt ihre Prioritäten nochmal genau studieren, überlegen, was kann ich alles rauswerfen aus meinem Leben, was ich nicht mehr brauche.
00:42:04
Speaker
Dann schaue ich nach, wo habe ich denn besonderen Bedarf,
00:42:08
Speaker
und finde Alternativen dafür.
00:42:11
Speaker
Dafür gibt es die diversen Webseiten, die wir genannt haben oder auch verlinken.
00:42:14
Speaker
Und dann ist ein guter nächster Schritt, wenn du jetzt unserer Anleitung, sage ich mal, folgen möchtest.
00:42:19
Speaker
Du hast mit dem Brave Browser angefangen, dann hast du dir BitWord installiert.
00:42:22
Speaker
Dann mach doch als nächstes mal den zweiten Faktor bei den wichtigsten Accounts bei dir.
00:42:26
Speaker
Durchschauen, was wird da angeboten.
00:42:28
Speaker
Alles ist besser als nichts.
00:42:29
Speaker
Und wenn du einen Favorit hast, dann wählst du den halt.
00:42:33
Speaker
Was haben wir uns denn vorgenommen für die nächste Woche, Timo?
00:42:36
Speaker
In der nächsten Folge wollen wir jetzt ein Deep Live machen in VPNs.
00:42:40
Speaker
Das haben wir ja schon in der letzten Folge angekündigt, dass es kommen wird, weil bei den VPNs gibt es sehr, sehr viele Mythen.
00:42:46
Speaker
Es wird sehr viel darüber erzählt im Internet und nur weniger als die Hälfte davon ist wahr.
00:42:52
Speaker
Das heißt, wir wollen in der nächsten Folge einmal ganz genau erklären, was ist ein VPN, wie funktioniert ein VPN, vor was schützt der VPN und dann auch natürlich, was für VPNs wir empfehlen oder von welchen VPNs man besser die Finger lassen sollte.
00:43:07
Speaker
Das zähle ich nach, ob es wirklich genau dir hilft oder weniger als dir hilft.
00:43:12
Speaker
Nein, genau, der VPN ist ein Tool, was uns irgendwie überall verfolgt.
00:43:17
Speaker
Auf YouTube, in anderen Podcasts, überall wird man damit konfrontiert.
00:43:21
Speaker
Ständig gibt es Werbeanzeigen.
00:43:22
Speaker
Ja, dann wird einem das Blau vom Himmel versprochen, dass man anonym ist, dass man vor Hackern sicher ist und so weiter.
00:43:28
Speaker
Pustekuchen, schauen wir uns nächste Woche an.
00:43:30
Speaker
Ich bin gespannt.
00:43:31
Speaker
Ja, Timo, dann hast du wie immer das letzte Wort bzw.
00:43:35
Speaker
das vorletzte Wort.
00:43:35
Speaker
Ich sage dann immer noch Tschüss am Ende.
00:43:37
Speaker
Dann leg los.
00:43:39
Speaker
Ich freue mich auf jeden Fall auf die nächste Folge, denn das wird nochmal ins Detail gehen und das ist dann nicht nur eine kleine Empfehlung, sondern wirklich detailliert, dass ihr dann auch versteht, wie die VPNs funktionieren.
00:43:50
Speaker
Alles klar.
00:43:51
Speaker
Ciao.
00:43:52
Speaker
Ciao.