Ich bin schon in gewisser Weise technisch interessiert, das gebe ich zu. Doch immer die neuesten Geräte, das aktuelle, was der Markt gerade beschreit, das muss ich nicht immer unbedingt sofort haben. Gerade bei meinem Smartphone, da ich es pfleglich behandele mit Panzerglas Folie und Bumber-Hülle, lasse ich mir schon so bis zu drei Jahre Zeit, bis ich mich mal wieder nach einem neuen Gerät umsehe.
Natürlich habe ich den Anspruch, dass ich mich beim Einsatz mit dem Gerät keinen Cybergefahren aussetze oder meine Daten ungefragt abfließen (Phishing Attacks / Man-in-the-Middle Angriffe). Davor schütze ich mich mit einem zweiten Faktor. Entweder über meinen YubiKey, dem „Schweizer Taschenmesser in der Zweifaktor-Welt“ oder aber auch mit der Authenticator App (bspw. von Microsoft oder Google).
Bei meinem Smartphone nutze ich (derzeit*) hauptsächlich die App. Primär verwalte ich damit den zweiten Faktor für Webportale und gebe bei jedem Login kurz das 6-stellige Einmalkennwort (oft auch aus dem englischen abgekürzt mit OTP = one-time-password) ein, um zu bestätigen, dass ich es tatsächlich bin, die sich jetzt in diesem Moment einloggt. Man kann die App auch bspw. zum direkten Login an seinem persönlichen Microsoft-Konto nutzen, allerdings dann zusammen mit seinem Fingerabdruck, der Gesichtserkennung oder einer PIN. Doch was das für Risiken birgt, später mehr.
So weit so gut. Jetzt hatte ich mich Anfang des Jahres dazu entschlossen mein Gerät zu erneuern. Mit einem Klick bestellt und zwei Tage später hielt ich es auch schon in den Händen. Sicherheitshalber habe ich noch einmal ein Backup der Daten auf dem alten Gerät erstellt, bevor ich dann das neue eingerichtet habe – mit der „Schnellstart“ Funktion war das ganz einfach! Schön! Alles da! Die Bilder, die Mails, die Chatnachrichten. Wunderbar! Dann habe ich – zack – schnell das alte Gerät zurückgesetzt und zum Verkauf angeboten.
War tatsächlich alles auf dem neuen Gerät? Ja? Oh nein! Natürlich nicht alles!
Meine angelegten Accounts in der Authenticator App waren nicht mehr da! Ist auch logisch, wie mir leider erst dann einfiel! Die App und ihre Funktionen hängt mit dem Gerät zusammen. So musste ich also alles neu einspielen. ☹ Dazu hatte ich nicht so große Lust, das sage ich euch ganz ehrlich! Aber nun ja, es half nichts, da musste ich durch.
Also bin ich in all meine Online-Portale, authentifizierte mich mit meinem „alternativen“ Zweiten Faktor (das können bspw. persönliche Fragen, Handynummer oder zweite E-Mailadresse oder natürlich auch der YubiKey sein), habe dort neue QR-Codes für das Einrichten des zweiten Faktors für die App generiert und somit mit dem neuen Gerät und der Authenticator App verbunden. Sofern nötig und möglich, habe ich in dem Zuge auch das alte Gerät entfernt. Das ging im Grunde doch recht schnell und Sicherheit geht vor!
Bei einem Online-Konto wurde es jedoch kniffelig. Bei PayPal hatte ich KEINEN alternativen Zweiten Faktor hinterlegt! Und selbstverständlich konnte ich so auch nicht über die Menüführung auf der Webseite, den bis dato eingerichteten zweiten Faktor zurücksetzen / erneuern! So versuchte ich es über die Kundenhotline von PayPal. Die freundliche Dame wusste auch erst nicht, wie sie es anstellen sollte. Doch dann kam das, was man ja eigentlich gar nicht will: Sie setzte meinen Account bei PayPal zurück! Das heißt die Mitarbeiterin der Kundenhotline hatte direkten Zugriff auf meinen Account! So geschockt, wie ich war, so schnell generierte ich auch ein neues Kennwort und anschließend dann auch wieder den zweiten Faktor und selbstverständlich den Alternativen auch gleich noch dazu!
Ergänzend zu alle dem musste ich für meine „richtige“ Online-Banking Security App die Zugangsdaten für das neue Gerät auch neu anfordern – die kamen dann per Post.
Jetzt merke ich mir also: Bevor ich mein nächstes neues Mobilgerät einrichte und das alte zurücksetze, kontrolliere ich nochmal genau, was das für welche Authentifizierungsmethode für Auswirkungen haben könnte und dass sie ggf. für einen Moment oder ein paar Tage nicht anwendbar ist.
Alles in allem ist es nochmal gut gegangen! Doch das zog jetzt schon einen Rattenschwanz nach sich, findet ihr nicht auch?
*Mit dem YubiKey als zweiten Faktor wäre mein „neues Gerät-Szenario“ vermutlich anders und „eleganter“ gewesen.
Auch im Hinblick auf die aktuelle geopolitische Lage möchte ich folgenden Artikel gerne mit euch teilen: Warum an Multifaktor-Authentifizierung kein Weg vorbei führt (netzpalaver.de).
Hier könnt ihr nachlesen, dass man leider beim Verwenden von Authenticator Apps nicht umfänglich gegen Man-in-the-Middle Angriffe geschützt ist!
Last but not least gebe ich euch noch meinen fest verankerten Standpunkt mit: IT-Security geht jeden etwas an! Schützt euch und eure Accounts! Beruflich wie privat! Eine weitere Erfahrung zu diesem Thema berichtete ich in diesem Blog Artikel: Shame On Me!
Was mich interessiert:
Ist es euch auch schon mal so gegangen? Wart ihr schon mal genervt davon, was man alles einrichten und beachten muss, damit man den Umgang mit IT und allem drum herum im World Wide Web gut absichert und vor Angreifern schützt? Oder habt ihr schon mal Schaden genommen? Wie seid ihr damit umgegangen?
Ich bin neugierig auf eure Geschichten! Schreibt mir doch gerne eine Nachricht!
Diana Velican
Diana ist mit ganzem Herzen Business Developerin. Dabei nimmt sie sich nicht nur der Geschäftsentwicklung an sondern bringt als Head of Sales auch Partner, Kunden und Neukunden mit den Experten von PLANET 33 zusammen.
Diana Velican
Diana ist mit ganzem Herzen Business Developerin. Dabei nimmt sie sich nicht nur der Geschäftsentwicklung an sondern bringt als Head of Sales auch Partner, Kunden und Neukunden mit den Experten von PLANET 33 zusammen.