Die Konsequenzen im Video sind doch eigentlich so auch wieder vermeidbar. Wenn ich Datenverlust vorbeugen will, stellt sich halt die Frage ob ich alles in der Cloud haben muss bzw. wie gut meine Backupstrategie dann ist.
2FA oder was auch immer ist doch auch nur ein Riegel, der irgendwo umgangen werden kann, weil eben ein Gerät das schwächste in der Kette ist. Hier eben der verlorene Entsperrcode oder Bildschirmzeitcode.
Das gleiche Problem in schwarz bauen grade Banken auf. Meine Hausbank zum Beispiel stellt mit ende Juni SMS Tan Verfahren komplett ein. Alles ist dann an ein Gerät, sprich das Smartphone und die Banken App für Freigaben und Login, gebunden. Habe ich keine Kontrolle mehr über die App, habe ich verloren. Ja es geht dort mit der Sicherheit soweit, dass kein Webbrowser Gerät ein sicheres Gerät ist und jeder Login mit der App erst genehmigt werden muss.
Eine andere Bank lässt bspw. den Wechsel seiner Security App erstmal gar nicht zu. Bei Smartphonewechsel muss hier der Support der Bank kontaktiert werden um die App zu reseten. Telefonisch steht und fällt hier alles mit der Kenntnis von einem 4 stelligen PIN, den die Bank vorgibt und dem Abgleich von Wohnadresse und Geburtsdatum. Bin ich in Kenntnis dieser Daten kann ich die erzwingen, dass ich eine neue App einrichten darf für das jeweilige Bankkonto. Kontodaten oder Loginnamen werden dabei im vorhinein telefonisch nicht geprüft.
Im Endeffekt gehts bei den ganzen MFA Gesichten und Securecodes oder was auch immer, vor allem im Bankwesen, die Haftung der Bank auf den Kunden umzuwälzen, denn eigentlich ist ja nur der Kunde im Besitz von Gerät und Login.
Allein schon der Schwachsinn bei Apple, dass ich für erweiterten Datenschutz einen Wiederherstellungskontakt oder Wiederherstellungsschlüssel brauche. Auch hier könnte man noch beim Ändern zusätzliche Hürden einbauen.
Ein Wechsel dieses Codes kann bspw. nicht von dem Gerät freigegeben werden, dass den Wechsel veranlasst. Hat jemand nur ein Gerät, dann vielleicht abgleich wie bei Banken mit einem ID Verfahren oder was auch immer. Nur einfach so einen essentiellen Code ändern zu können ohne grossartig Hürden zu haben ist halt schwach.
Es ist ja nicht nur das Passcode eine schwäche. Sachen wie TouchID oder FaceID sind ja das nächste Problem. Die sind ja auch alles andere als sicher. Bspw. konnte meine Tochter, ohne ihre FaceID Daten am jeweiligen Gerät hinterlegt zu haben, das Gerät der Mutter mit FaceID entsperren.
Generell, egal mit welchen Verfahren gearbeitet wird, es gibt immer einen Singlepoint of failure in der Kette. Dieser Tatsache sollte man sich bewusst sein und für den Fall des Falles vorbereitet sein um etwaigen Datenverlust entgegen zu wirken. Gegen Identitätsverlust ist man sowieso nie geschützt. Was hilft einem selbst das Beste Konzept, wenn dann Unternehmen wie die GIS in Österreich sämtliche Meldedaten bei einem Hack verlieren, oder 3 Vertragspartner von Mobilfunk unternehmen gültige Ausweisdaten verlieren, weil sie über Jahre hinweg irgendwo Ausweiskopien, die bei Vertragsabschluss nötig waren, danach aber fragwürdig archiviert wurden, verlieren.
