Viele der in der Broschüre enthaltenen Tipps sind entweder nutzlos, unpraktikabel oder gefährlich. Bei vielen der Ratschläge fragt man sich, wie ein unbedarfter Nutzer sie praktisch umsetzen soll. So heißt es etwa: „Laden Sie nur Programme aus vertrauenswürdigen Quellen herunter“ oder „Löschen Sie verdächtige E-Mails sofort und ohne sie zu öffnen“. Woran man eine vertrauenswürdige Quelle erkennt oder was eine E-Mail verdächtig macht, erfährt man hingegen nicht.

Keine Passwörter in „freien“ WLANs eingeben?

Eine große Bedrohung sind laut der Broschüre unsichere WLANs. Hier wird noch vor dem unsicheren WEP-Standard gewarnt, der inzwischen so alt ist, dass man ihm nur noch selten in der realen Welt begegnet. Auch der im Dokument als sicher beworbene Standard WPA2 hat bekanntlich seine Probleme, doch das hier nur am Rande.

Die Eingabe von Passwörtern in „freien WLANs“ soll man laut der Broschüre vermeiden. Gemeint sind damit wohl unverschlüsselte WLANs, doch unbedarfte Leser dürften ein unverschlüsseltes, aber bezahltes WLAN im Hotel wohl kaum als „frei“ ansehen.

Was die Broschüre komplett ignoriert

Im heutigen Internet sind die Risiken unverschlüsselter WLANs kaum noch relevant, da fast alle Webseiten HTTPS verwenden und man inzwischen von Browsern bei Passworteingaben, die unverschlüsselt verschickt werden, mehr als deutlich gewarnt wird. Gefährlich ist vor allem, die Passwörter auf der falschen Webseite einzugeben, doch davor schützt eine WLAN-Verschlüsselung nicht.

Nie gehört von Password Stuffing

Apropos Passwörter: Hier wird die Broschüre richtiggehend gefährlich. Nicht nur enthält sie den obligatorischen und von den meisten IT-Sicherheitsexperten für kontraproduktiv gehaltenen Ratschlag, Passwörter regelmäßig zu ändern, und verweist auf die ebenfalls sehr fragwürdigen Ratschläge des BSI. Sie rät auch explizit davon ab, Passwörter und andere Zugangsdaten auf Geräten zu speichern. Im Klartext: Der Bundesdatenschutzbeauftragte rät von der Verwendung von Passwortmanagern ab.

Eines der größten Risiken in Sachen Passwörter ist heutzutage das sogenannte Password Stuffing. Dabei verwenden Kriminelle Zugangsdaten aus Datenlecks und versuchen, sich mit diesen bei anderen Services einzuloggen

Ein sehr effektiver Schutz vor Password Stuffing ist es zwar, einmalige Passwörter zu verwenden – aber niemand kann sich Passwörter für Hunderte Services merken, daher ist es absolut sinnvoll und wünschenswert, wenn Passwörter auf Geräten gespeichert werden, entweder im Browser oder in einem speziellen Passwortmanager. Im Idealfall sollten sie dann durch ein starkes Masterpasswort geschützt werden.

Doch weder enthält die Broschüre einen Verweis auf Password Stuffing, noch gibt sie Nutzern den absolut grundlegenden Ratschlag mit, immer einmalige Passwörter zu verwenden.

Dokument wirkt aus der Zeit gefallen

Auch wenn das Dokument angeblich aktualisiert wurde – es wirkt insgesamt aus der Zeit gefallen. So listet die Broschüre als Bedrohungen – nicht unberechtigt – Phishing und Spyware auf, aber heute sehr gängige Phänomene wie das genannte Password Stuffing oder auch Ransomware finden keinerlei Erwähnung.

Die Broschüre (BfDI) ist nicht nur ärgerlich, weil sie schlechte Ratschläge gibt. Sie widerspricht auch heute gängigen und in der IT-Sicherheitsgemeinschaft weitgehend unumstrittenen Empfehlungen. Dass im Büro des Datenschutzbeauftragten niemand bei der Arbeit an der Broschüre „Stopp“ gerufen hat, ist beunruhigend.

Denn Datenschutz ist zwar mehr als IT-Sicherheit – aber IT-Sicherheit gehört zum Datenschutz integral dazu. Wenn der Behörde des Bundesdatenschutzbeauftragten die Kompetenz hierfür fehlt, stimmt etwas nicht.

Nachtrag vom 5. Februar 2021, 20:17 Uhr

Der Bundesdatenschutzbeauftragte Ulrich Kelber hat am Freitag abend auf Twitter angekündigt, auf die Kritik zu reagieren, die Broschüre vorerst vom Netz zu nehmen und zu überarbeiten

• Hier geht es zu Hacking & Security: Das umfassende Handbuch