Bitte beantwortet keine Sicherheitsfragen auf Social Media

Oder: Don't answer security questions on social media.

Five jobs I’ve had:

1. Don’t
2. answer
3. security
4. questions
5. on Twitter

— Brooke Simmons (@vrooje) 25 April 2019

Also zunächst einmal: Das Problem sind natürlich Webseiten, die immer noch auf so genannte "Sicherheitsfragen" setzen, um etwa beim Verlust eines Passworts sicherzustellen, dass man berechtigt ist, selbiges zurückzusetzen. Das war schon immer eine schlechte Idee, denn die Fragen waren (und sind immer noch) so gestellt, dass man die Antworten mit ein bisschen Suchen im Web oder ein wenig Social Engineering auch so herausfinden kann.

Der Mädchenname meiner Mutter ist keine geeignete Sicherheitsfrage, denn mein Stammbaum steht im Web. Und selbst wenn ich mich nicht vor Jahren mal ein wenig mit Ahnenforschung beschäftigt hätte, wäre diese Information nicht schwer zu finden.

Diese Fragen müssen weg und gegen etwas Besseres ersetzt werden. Etwas, das man nicht so einfach "knacken", sprich: ergooglen, kann. Und wenn eine Webseite so einen Blödsinn dann trotzdem erwartet, manchmal sogar voraussetzt ("Sie haben noch keine Sicherheitsfrage beantwortet!"), dann schreibt man da tunlichst etwas ganz anderes hinein. Mein erstes Haustier hörte daher auf den eingängigen Kosenamen DEZuakyG2A7nx9Jb und der Mädchenname meiner Großcousine ist natürlich 8MMJABt69rPgWWBz. Und ich muss mir das nicht merken, das übernimmt mein Passwort-Safe.

Natürlich besteht für Otto Normaluser jetzt nicht die unmittelbare Gefahr, direkt nach dem Posten solcher Informationen gleich gehackt zu werden. Das Problem ist vielmehr, dass das Internet bekanntlich nichts vergisst. Und mit einem eindeutigen Hashtag daran sind diese Informationen auch leicht zu finden. Wenn - oder sollte man eher sagen: sobald - man einmal jemanden auf die Zehen getreten ist und dasjenige Rachegelüste hegt, kann damit potenziell großer Schaden angerichtet werden. Siehe auch "The Fappening" oder den so genannten Politiker-"Hack" von @_0rbit im Dezember 2018. Da wurden keine Sicherheitslücken ausgenutzt, sondern schlicht Informationen gesammelt, Passwörter erraten oder - eben auch mithilfe der so genannten Sicherheitsfragen - zurückgesetzt.

Ich will niemandem den Spaß vermiesen, seine oder ihre persönlichen Vorlieben für bestimmte Dinge auf Social Media zu posten. Das ist für die Follower ja möglicherweise durchaus interessant oder unterhaltsam. In letzter Zeit nehmen solche Fragenkataloge - gefühlt zumindest - aber zu. Und wenn schon keine finsteren Absichten dahinter stecken, so normalisieren sie zumindest, dass man zunehmend Informationen preis gibt, die einem später einmal auf die Füße fallen könnten.