c't 7/2020
S. 3
Auf den Punkt

Webhosting: Ein Faktor ist einer zu wenig

Liebe Webhoster, realistisch betrachtet muss ich leider davon ausgehen, dass selbst mein bestes Passwort früher oder später Online-Gaunern in die Hände fällt. Die Datenleaks der vergangenen Monate und Jahre sprechen eine deutliche Sprache, ­inzwischen kursieren Milliarden Passwörter im ­Darknet. Ich habe mich damit arrangiert. Mein Passwortmanager generiert für jeden Dienst ein anderes, zufälliges Passwort, damit der Schaden im Fall der Fälle überschaubar bleibt und die Ganoven mit einem erbeuteten Passwort nicht von Dienst zu Dienst ziehen können.

Meine Online-Accounts schütze ich zudem wann immer es geht per Zwei-Faktor-Authentifizierung. So können sich die Ganoven selbst dann nicht einloggen, wenn sie Username und Passwort kennen. Doch das klappt nicht immer. Einige Online-Dienste leben offenbar noch in der Security-Steinzeit und bieten keine Absicherung durch einen zweiten Faktor an. Dazu zählen leider auch zwei Webhoster, die für mich etwas Webspace und ein paar Domains verwalten. Liebe Hoster, für den Fall, dass es Euch nicht bewusst ist: Hosting-Pakete sind richtig brisant und müssen so gut es irgendwie geht geschützt werden.

Wer einen Hosting-Account übernimmt, der hat die Macht über das digitale Leben des Besitzers. Nutzt der den Account geschäftlich, ist sogar seine Existenz gefährdet. Ein Angreifer kann Domains entführen, Mail-Adressen kapern, Kundendaten abgreifen und vieles mehr. Wer einen solchen Account nicht mit einem zweiten Faktor absichert, handelt leichtsinnig. Selbst meine Nextcloud-Installation kann ich inzwischen per 2FA schützen. Doch was ist das wert, wenn der Webspace, auf dem die Nextcloud läuft, eine ­tickende Zeitbombe ist?

Die DSGVO verlangt, dass Daten "nach Stand der Technik" zu schützen sind. Der Stand der Technik ist in diesem Fall die Zwei-Faktor-Authentifizierung – und das schon seit Jahren. Liebe Hoster, wollt Ihr nicht mal in ein zeitgemäßes Schutzkonzept investieren? Es muss ja nicht mal das aktuelle FIDO2-Verfahren sein, ich wäre schon mit U2F oder OTP zufrieden. Mir sind meine Daten etwas wert. Euch auch?

Ronald Eikenberg

Kommentare lesen (3 Beiträge)