Comparis war vorletzte Woche das Opfer eines Cyber-Angriffes. Comparis ist DAS meist genutzte Vergleichsportal in der Schweiz und Lichtenstein. Es hat über 80 Millionen Aufrufe im Jahr.
Bei dem Cyber-Angriff wurden Emailadressen und Passwort-Hashes gestohlen. Obwohl Comparis noch versucht hat die mit einem Shutdown zu verhindern. Und diese Woche kamen dann Meldungen, dass betroffene Nutzer bereits Ziel von Betrugsversuchen wurden.
Dieser Vorfall zeigt einmal mehr, auch selbst ein scheinbar einfaches Vergleichsportal gefährdet meine Privatsphäre, wenn es Profile von mir anlegt.
Wie sieht diese Gefährdung konkret aus?
Bei Comparis sind von jedem Benutzer seine Email und seine Vergleichsdaten gespeichert. Bestimmte Funktionen gibt es aber nur gegen die Anlage eines Accounts, also gegen Speicherung eines Passwortes. Glücklicherweise speichert Comparis diese Passworte verschlüsselt (gehasht).
Die eigentliche Schwachstelle liegt aber in der Speicherdauer der Daten. Mir sind Benutzer bekannt, deren letzte Comparis-Nutzung bereits 10 Jahre zurück liegt und die von diesem Vorfall betroffen sind. Diese Speicherdauer ist sehr lang. Und bei regelmässiger Comparis-Benutzung bildet sich also mit der Zeit ein sehr gefährliches und detailliertes Profil über mich.
Dieses Profil kann sensible Informationen über meiner finanziellen Situation bei Versicherungen, bei Hypotheken, bei der Altersvorsorge oder bei Immobilien enthalten. Mit solchen Daten kann ein Dieb mich direkt kontaktieren und einen Betrugsversuch als Versicherungsvertreter oder Bankberater starten. Wenn ich auf den Betrugsversuch hereinfalle, kann mir so erheblicher finanzieller Schaden entstehen. Die Folge: ein scheinbar einfaches Vergleichsportal gefährdet meine Privatsphäre UND meine Sicherheit.
Wie kann ich mich gegen solche Betrugsversuche schützen?
Der wichtigste Grundsatz der digitalen Selbstverteidigung «Datensparsamkeit üben» funktioniert bei Vergleichsportalen sehr schlecht. Denn ein gutes Vergleichsergebnis benötigt möglichst genaue Eingangsdaten für die Vergleiche.
Aber es gibt einen an deren Weg die Profilbildung bei Vergleichsportalen zu erschweren. Ich benutze auf einem Vergleichsportal immer mehrere Emailadressen. Und zwar Emailaliases. Emailaliases haben mehrer Vorteile, sie müssen keine Namensbestandteile enthalten und ich kann diese auf meine Hauptemail umleiten. Mit ihnen erziele ich eine Verschleierung, die es einem Dieb aufwendig macht mich zu identifizieren und Kontakt mit mir aufzunehmen.
Und Emails ohne korrekte Ansprache meiner Person sind zu 99.9% Betrugsversuche. Diese kann ich ohne Probleme direkt löschen.
Was mache ich denn nun mit der Aufforderung das Passwort zu ändern?
Comparis hat vergangene Woche alle Benutzer angeschrieben und dringend empfohlen ihr Passwort zu ändern.
Nun, der Anteil betroffen Benutzer, mit einem Account, sollten dies zur Sicherheit auch tun.
Wie die laufenden Betrugsversuche zeigen, geht nicht immer die Gefahr von einem Identitätsdiebstahls (Missbrauch des Passwortes) aus. Die lange Speicherdauer der Informationen gibt mir hier viel mehr zu Denken.
Noch laufen die Untersuchungen zu diesem Vorfall. Comparis bietet seine Dienste ja in Lichtenstein an und fällt deshalb unter die EWR-DSGVO. Es bleibt abzuwarten ob entweder der EDÖB oder der DSB Lichtenstein sich daher noch zu der Speicherpraxis äussern werden.
