Es ist nur ein paar Tage her, da wurde ich – mal wieder – von Have I been pwned? darüber informiert, dass meine E-Mail-Adresse in einem Datenleak entdeckt wurde. Ein Anbieter hatte Millionen Kundendaten schlecht gesichert und diese geistern nun frei im Internet herum.
Man mag darüber streiten ob Namen, Geburtsdatum und E-Mail-Adresse nun Daten sind deren Verlust besonders tragisch ist. In anderen Fällen könnten aber auch Passwörter betroffen sein. Auch der Verkauf der Kontaktdaten, mehr Spam oder gezieltere Phishing-Versuche sind ärgerlich.
Mein Lösungsansatz: Viele E-Mail-Adressen!
Ich verwende seit einiger Zeit inzwischen nicht nur gute und einmalige Passwörter, ich verwende für die meisten Registrierungen auch eine individuelle E-Mail-Adresse. Damit kann ich gezielt geleakte oder von Spam betroffene E-Mail-Adressen löschen. Auch so mancher unseriöse Anbieter der nicht gewillt war meine E-Mail-Adresse aus seinem Verteiler zu entfernen hat so schnell eine unbrauchbare E-Mail-Adresse und ich weniger unerwünschte E-Mails.
Sind so viele E-Mail-Adressen nicht mühsam?
Im Grunde klingt das zunächst einmal nach viel Arbeit. Dutzende E-Mail-Adressen einrichten und abrufen. Wer mit Freemail-Angeboten wie GMX, Web.de und Co. arbeitet tut sich hier recht schwer. Zum Glück geht das für Besitzer von Webspace und Domain einfacher. Wie gut, das hängt vom verwendeten Anbieter/Server ab, denn es braucht im Grunde nur eine Mailbox und viele Weiterleitungen.
Der Königsweg – Zugriff auf den Mailserver
Im Fall eines eigenen Servers oder eines guten Managed Servers hast du eventuell – wie ich – Zugriff auf den Mailserver und kannst individuelle Einstellungen treffen. Ich habe hier schlicht eingestellt, dass E-Mail-Adressen die einem bestimmten Schema folgen (z.B. hallo-*@webdesign-heger.de) an eine bestimmte Mailbox weitergeleitet werden. Bei der Registrierung auf einer Plattform oder beim Abonnieren eines Newsletters ersetze ich dann schlicht das Sternchen durch den Namen des Anbieters. Änderungen am Mailserver sind dafür gar nicht nötig, ob nun hallo-google@webdesign-heger.de oder hallo-wordpress@webdesign-heger.de, die E-Mails kommen immer in einer (geheimen) Mailbox an.
Bekomme ich nun Spam auf eine dieser Adressen weiß ich nicht nur wo das Datenleck sitzt, ich kann auch diese eine E-Mail-Adresse dann abschalten.
Etwas mühsamer – Die Catch-all-Mailbox
Bei den meisten Anbietern lässt sich eine Mailbox als „Catch-all“-Postfach festlegen. Diese Mailbox sammelt schlicht ALLE E-Mails die keiner anderen Mailbox zugeordnet werden können. Im Grunde kannst du hier ähnlich vorgehen wie oben erwähnt und jedem Anbieter eine passende E-Mail-Adresse geben, diese landen dann alle in der Catch-all-Mailbox. Der große Unterschied ist, dass hier kein Schema notwendig ist damit die E-Mail ankommt.
Wird eine E-Mail-Adresse geleakt oder mit Spam bombadiert richtest du eben diese Adresse als Weiterleitung ein. Entweder kannst du die E-Mails direkt ablehnen, auf eine nicht existierende Mailbox umleiten oder eben in eine separate Spam-Mailbox umleiten die dann eben voll läuft.
Abstufung nach Relevanz
Nicht ganz so effektiv: Du kannst auch eine Hand voll E-Mail-Weiterleitungen manuell einrichten. Ich würde hier vorschlagen, dass du diese nach Relevanz und Vertrauen unterteilst. Für irgendwelche Foren oder Dienste im Internet die dir nicht wichtig sind kannst du eine Adresse nutzen, für wichtigere Dienste eine andere und für alles mit hoher Priorität wie Zugang zum Internetauftritt oder zur Bank eine individuelle Adresse.
Das macht zugegeben deutlich mehr Arbeit, trotzdem geistert dann nicht die wichtige oder Haupt-E-Mail-Adresse im Internet herum wenn irgendeine kleine Seite gehackt wurde.
Datensparsamkeit - Nicht jede Frage muss man beantworten
Ein Fehler der mir selbst immer wieder unterläuft: Ich fülle bereitwillig alle als Felder bei einer Registrierung aus. Dabei stellt sich eigentlich die Frage ob diese Daten relevant sind, erhoben werden dürfen bzw. die Erhebung dem Zweck dient. Eigentlich gilt der Grundsatz der Datensparsamkeit. Seitenbetreiber dürfen nur die Daten erheben die sie auch zu einem legitimen Zweck benötigen. Daran wird sich allerdings häufig nicht gehalten.
Altersverifikation über das Geburtsdatum ist rechtlich nicht zulässig und die Abfrage daher in vielen Fällen sogar ein Datenschutzverstoß. Auch Namen, Ortsangaben und das Geschlecht kann man in vielen Fällen einfach leer lassen. Klar, wer Pakete erhalten möchte muss eine korrekte Anschrift hinterlegen, bei Online-Foren, Social Media etc. ist es allerdings fraglich welchen Zweck der Anbieter damit verfolgt – und welchen Vorteil du dabei hast.
Im Zweifel würde ich also Felder soweit möglich leer lassen. Sind Felder als Pflichtfeld markiert und du siehst keinen Grund wofür diese Daten wichtig wären (außer der Datensammelwut des Seitenbetreibers)? Da sehe ich auch kein Problem darin zu lügen, ein paar Jahre jünger oder älter zu werden (natürlich innerhalb von sinnvollen Grenzen und ohne Schwellen wie die Volljährigkeit zu überschreiten).
Wichtig: Macht man falsche Angaben sollte man sich diese z.B. auch im Passwortmanager notieren. Falls diese einmal beispielsweise zum Zurücksetzen des Passworts abgefragt werden.
Fazit
Hätte ich das alles selbst schon vor Jahren – als ich den geleakten Account angelegt habe – befolgt wäre die Ausbeute beim Datenleck bescheiden: Eine einmalige E-Mail-Adresse die sonst nirgendwo verwendet wird (und ruck-zuck gesperrt wäre), ein falscher Namen und ein falsches Geburtsdatum. Eine ziemlicher Haufen Datenmüll für die Hacker.