bearbeitet: 23.05.2020
Der fragwüdige Umgang mit Kennwörtern
bei zahlreichen Unternehmen
Kennwörter, auch Paßwörter genannt, sind einzugebende Sicherheitssequenzen, die benutzereigene Daten vor Fremdzugriff
schützen, weil die Kennwortsequenz nur dem Benutzer allein bekannt ist.
Wirklich? Meine Erfahrungen sehen aber ganz anders aus. Bei Microsoft zum Beispiel findet man einen völlig anderen, für
mein Verständnis absurden Umgang mit Kennwörtern vor. Bei der Anmeldung auf meinem Microsoft-Konto bin ich zur
Festlegung eines Kennwortes verpflichtet. Das akzeptiere ich, es ist völlig richtig. Nun gebe ich ein Kennwort ein und erhalte unverzüglich
die Antwort: "Ihr Paßwort ist zu einfach. Verwenden Sie ein sicheres Paßwort." Dann wird mir beschrieben, wie ein Paßwort
auszusehen hat. Ich werde also bei der Eingabe meines Paßwortes überwacht. Nun könnte man ja beschwichtigen, es werden nur
Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen unterschieden, das Paßwort werde nicht erkannt. Schön. Wer die
Ausrede glaubt! - es kommt nämlich gleich noch schlimmer. Ich habe nun die Absicht, mein Paßwort zu ändern. Ich gebe also ein
anderes ein und erhalte sofort die Antwort: "Sie haben ein altes Paßwort verwendet. Geben Sie ein neues ein, das Sie
noch nicht verwendet haben." Hallo!? Jetzt funktioniert aber die Ausrede nicht mehr: Alle Paßwörter, die ich jemals
verwendet habe, sind also bei Microsoft nachgewiesen. Ich stelle also fest: Die völlig unzulässige Überwachung der
Benutzerkennwörter ist bei Microsoft Standard. Meine Kennwörter unterliegen dort der lückenlosen Aufbewahrung.
Und ich kann nichts dagegen tun.
Die gleiche Vorgehensweise herrscht bei Vodafone. Ich komme in eine Filiale, sage meine Kundennummer an, der Mitarbeiter
öffnet meine Kundendatei und liest mir mein Kennwort vor. Das heißt also, die Kennwörter Hunderter Kunden liegen
auf den Computern in der Vodafone-Filiale unverschlüsselt im Klartext vor. Die Computer sind alle vernetzt, wo also
liegen sie noch herum? Es ist nicht abzuwenden, daß Hacker sich dafür interessieren.
All diese Verfahrensweisen führen insgesamt das Einrichten von Paßwörtern ad absurdum. Noch mehr Unsinn: Schon
in Windows der verschiedensten Versionen wird man bei der Eingabe eines Paßwortes gefragt, ob man das Paßwort
speichern will. Mit Verlaub: Paßwort speichern kommt mir vor wie die Tür zuschließen und den Schlüssel steckenlassen.
Oder käme etwa jemand auf die Idee, die PIN seines Bankkontos auf die Kontenkarte zu schreiben und die dann gleich
neben dem Geldautomaten zu deponieren, damit sie immer da ist, wenn er kommt?
Ich bin der Meinung, daß für den Umgang mit Paßwörtern ganz grundsätzliche Änderungen herbeigeführt werden
müssen. All die vielen Erklärungen über die Sicherheit meiner Daten bei den großen Firmen und Einrichtungen entlarven
sich doch als sinnentleertes Geschwätz unter dem Eindruck solcher Praktiken. Der große Aufwand, der bei der
Wiederherstellung verlorener Paßwörter betrieben wird, begonnen beim Versand von Sicherheitscodes auf Mobiltelefone
oder an E-Mail-Adressen bis hin zur selektiven Auswahl vorgegebener Bildeigenschaften in gerasterten Bildern, mit
denen erkannt werden soll, daß ich kein Roboter bin (Captcha-Bilder), sind doch angesichts dieser Praktiken völlig nutzlos.
All diese Maßnahmen, die zur Identifizierung meiner Person als berechtigte dienen, sind reine Augenauswischerei, mit
denen den Benutzern eine Sicherheit vorgegaukelt wird, die es gar nicht gibt. Bei den beschriebenen Umgangsmethoden
mit den Paßwörtern kann man sie auch gleich unverschlüsselt über einen offenen Kanal versenden. Was nützen denn
die hochgestochenen Paßwortmanager mit all den ausgeklügelten Sicherheitsroutinen, wenn danach die Paßwörter
möglicherweise überall auf der Welt im Klartext herumliegen?
Das gesamte System, das mit Paßwörtern und ihrer Handhabung umzugehen hat, ist völlig undurchdacht und läßt jegliche
Logik vermissen. Streng genommen ist es kriminell, denn es verletzt elementare Persönlichkeitsrechte bei der Gewährleistung
der Sicherheit persönlicher Daten. Es kommt der Verletzung des Postgeheimnisses gleich. In diesem Instrumentarium müssen
zwingend neue, wissenschaftlich tragfähige Grundsätze erarbeitet werden, damit ein Paßwort auch ein Paßwort ist, mit dem
ich ganz persönlich in der Lage bin, meine Daten für mich behalten zu können, weil es außer mir niemand kennt. Mit dem
gegenwärtigen System ist das in keiner Weise garantiert. Die wichtigsten Grundsätze dazu könnte ich nennen, würde
man mich danach fragen.
+ * + * + * +
Am 03.04.2021 habe ich einen Versuch unternommen, mit dem Unternehmen Microsoft in Deutschland zu dieser Frage
einen Kontakt herzustellen.
E-Mail an kunden@microsoft.com:
Sehr geehrte Damen und Herren,
ich bitte Sie, den von mir erarbeiteten Beitrag unter http://hauptplatz.unipohl.de/Kennwoerter.htm (der obige Beitrag) auf
meinem privaten Internetportal zu lesen und mir mitzuteilen, welche Auffassungen Sie dazu haben. Ich hielte es für
vorteilhaft und konstruktiv, würden Sie einen Mitarbeiter benennen, der eine Verbindung mit mir herstellt, damit ich
das Problem mit Ihnen beraten kann. Da es sich in dieser Sache um ein grundsätzliches Problem mit großer Tragweite
handelt, ist möglicherweise eine längere Zusammenarbeit erforderlich, um eine außergerichtliche Lösung herbeizuführen.
Mit freundlichen Grüßen
Dr. Manfred Pohl
Am 06.04.2021 habe ich dann die folgende Antwort erhalten:
Sehr geehrter Herr Dr. Pohl,
so gerne ich Ihnen behilflich sein möchte, muss ich Sie aber informieren, dass wir uns mit der technischen Hilfe für
Herunterladen, Installation und Aktivierung von Windows und Office-Paketen für Privatkunden beschäftigen.
Diesbezüglich kann ich Ihnen gerne unser Microsoft Community empfehlen. Dort finden Sie auch u.a. Techniker und
Hobby-IT-Spezialisten, die sich im Thema auskennen und Programmnutzer, die mehrere Funktionen kennen:
answers.microsoft.com/de-de.
Ansonsten befinden sich sehr viele Tipps, Hinweise und Anleitungen direkt auf der Microsoft Seite: support.microsoft.com/de-de.
Mit freundlichen Grüssen
Microsoft Support
Microsoft Deutschland GmbH (oder MCIO oder System Marketing)
Walter-Gropius-Straße 5, 80807 München
Danach auch gleich noch die Bestätigung, daß man sich im weiteren nicht mehr damit befassen werde:
Support
Hallo,
vielen Dank, dass Sie Microsoft-Produkte und Dienste verwenden. Wir schätzen Sie als Geschäftspartner. Mit dieser
E-Mail möchten wir bestätigen, dass Ihr Supportfall geschlossen wurde. Dies sind die Details der Serviceanfrage:
* Serviceanfragenummer: 1520749871
* Abschlussdatum: 06.04.2021 07:54:37 UTC
Konnten wir Ihr Problem beheben?
+ Ja, bei meinem ersten Kontakt.
+ Ja, nach mehreren Kontakten.
+ Nein
Vielen Dank im Voraus für Ihr hilfreiches Feedback und dass Sie sich Zeit genommen haben.
- Microsoft-Kundendienst und Support.
So sieht man, daß eine eventuelle Weiterleitung des Problems an eine dafür zuständige Stelle erst gar nicht in
die Nähe einer Absicht gerückt worden ist. Offenkundig ist nicht erwünscht, über diese Probleme eine inhaltliche
Diskussion zu führen. Was ist nun zu tun? Ich weiß es nicht. Da ich keine Lobby mit vielen tausend
Benutzern habe, die dasselbe Problem haben, werde ich vermutlich aufgeben müssen. Was bleibt, ist die bittere
Erkenntnis, daß die Sicherheit der Kundenpaßwörter bei den großen Unternehmen eine Farce ist. Es gibt nur dick
aufgetragenes Sicherheitsgerede mit vollmundigen Versprechungen ohne einen tatsächlichen Hintergrund mit
Sachverstand.
Eine letzten Versuch werde ich noch unternehmen, indem ich die Bewertung der Antwort an Microsoft sende:
Von: unipohl@aol.com
An: CS3TS.GNRL.EU.00.DE.TPR.WAR.TS.1FL.ADK.SG.PI@css.one.microsoft.com
Datum: 08.04.2021
Betreff: Re: SRX1520749871IG - Ihre Support-Anfrage
Sehr geehrte Damen und Herren,
ich habe nun Ihre Antwort auf meine Anfrage bearbeitet und bitte Sie erneut, meinen Beitrag unter
http://hauptplatz.unipohl.de/Kennwoerter.htm zu lesen und mir möglicherweise eine andere Antwort zu übersenden.
Die Herangehensweise in Ihrer Antwort vom 06.04.2021 befriedigt mich in keiner Weise.
Mit freundlichen Grüßen
Dr. Manfred Pohl
Die Antwort auf mein erneutes Anschreiben sieht so aus:
Von: CS3TS.GNRL.EU.00.DE.TPR.WAR.TS.1FL.ADK.SG.PI@css.one.microsoft.com
An: unipohl@aol.com
Datum: 10.04.2021
Betreff: Re: SRX1520749871ID - Ihre Supportanfrage
Sehr geehrter Herr Dr. Pohl,
das ist alles eine Privatsache, wir haben keinen Einfluss darauf.
Wir bitten um Verständnis.
Mit freundlichen Grüssen,
Microsoft Support
Danach auch sofort wie oben die Mitteilung über den Abschuß meiner Anfrage:
Support
Hallo,
vielen Dank, dass Sie Microsoft-Produkte und Dienste verwenden. Wir schätzen Sie als Geschäftspartner. Mit dieser
E-Mail möchten wir bestätigen, dass Ihr Supportfall geschlossen wurde. Dies sind die Details der Serviceanfrage:
* Serviceanfragenummer: 1520749871
* Abschlussdatum: 06.04.2021 07:54:37 UTC
Konnten wir Ihr Problem beheben?
+ Ja, bei meinem ersten Kontakt.
+ Ja, nach mehreren Kontakten.
+ Nein
Vielen Dank im Voraus für Ihr hilfreiches Feedback und dass Sie sich Zeit genommen haben.
- Microsoft-Kundendienst und Support.
Ich gewinne aus dieser Antwort die Erkenntnis, daß die angeschriebenen Mitarbeiter gar nicht verstehen
(oder nicht verstehen wollen), worum es in meinem Beitrag geht. Es ist also nicht zu erwarten, daß sich irgendwer
dieser Sache annehmen wird. Weil das ja "alles eine Pivatsache" ist, wird der Microsoft-Kunde somit auf Dauer
den rechtswidrigen Verhaltensweisen des Unternehmens ausgeliefert sein. Es ist bestätigt, was ich oben sagte:
Ich kann nichts dagegen tun.