Passwort-Sammlung mit 773 Millionen Online-Konten im Netz aufgetaucht

Screenshot des Conrad Info Tickers vom 18.01.2019
von Claudia Grötzebach

 "...eine riesige Sammlung mit Zugangsdaten zu Online-Diensten zirkuliert in Untergrund-Foren. Die Passwörter von Millionen Nutzern sind betroffen."

Das meldete der Conrad Info Ticker am 18.01.2019 zeitgleich mit diversen Nachrichtensendungen.                              

Deutsche ziemlich sicher betroffen

So kann eine Warnung des Hasso-Plattner-Institutes
aussehen von Claudia Grötzebach

Bei dieser Zahl wurde auch mir flau. Die BRD zum Beispiel hat rund 80 Millionen Einwohner, mit 773 Mio. gelisteten eMail-Adressen ist die Zahl der Betroffenen rund zehn mal so hoch, bei 21 Mio. veröffentlichten Passwörtern. 
Die Wahrscheinlichkeit, dass auch Einheimische davon betroffen sind, ist extrem hoch. Das Ergebnis, zwei meiner eMail-Adressen sind betroffen.

So kann eine Warnung des Hasso-Plattner-Institutes
aussehen von Claudia Grötzebach

"Bin auch ich betroffen?" 

"Bin auch ich betroffen?" sollten auch Sie sich fragen, wenn Sie im Internet unterwegs sind oder eMails erhalten. Und doch, so mancher, mit dem ich telephoniere, hat sich nicht schlau gemacht, ja macht sich noch nicht einmal Gedanken...

Screenshot von der
Webseite Troy Hungs

Bitte werden Sie aktiv!

So testen Sie, ob Ihre Adressen kompromittiert sind: 

1. Nutzen Sie die gängigen Seiten, um Ihre eMail-Adressen zu testen.
2. Wählen Sie seriöse bekannte Seiten, auch hier lauern Phishing-Fallen.
3. Grundsätzlich sind deutsche Seiten für Deutschsprachige günstiger, denn:
   a. Wir verstehen die Infos besser, das sollte man nicht unterschätzen.
   b. Deutsche Seiten - mit Ausnahmen - übermitteln die Daten nicht ins Ausland.

Meine Favoriten für den Risikocheck

Meine erste Wahl ist das Hasso-Plattner-Institut der Uni Potsdam. Sie braucht allerdings Geduld. In ein Infofeld geben Sie Ihre eMail-Adresse ein und erhalten später eine eMail mit den Rechercheergebnissen an Ihre angegebene Adresse.
https://sec.hpi.uni-potsdam.de/ilc/search?lang=de

Am bekanntesten ist die Webseite "Have I Been pwned". Dort verläuft die Recherche sekundenschnell. Ich war "pwnd". Doch was heißt "pwned"? Der Google-Übersetzer bietet übrigens "pwned" an. Sehr informativ....

Doch mittlerweile gibt es eine deutsche Variante: www.experte.de. Hier wird Ihnen mitgeteilt, ob und wie oft Sie in "geleakten" Datensätzen gefunden wurden. In Kästen unterhalb dieser Angabe wird Ihnen dann erklärt, worum es dabei geht. Ich war in zwei Fällen in 2012 und 2013 betroffen. Da waren meine Accounts - Gott sei Dank - schon ungültig oder die Passwörter bereits geändert.

Außerdem können Sie über den Firefox Monitor Ihre eMail-Adresse prüfen und herausfinden, was Hacker über Sie wissen. Außerdem können Sie dort auch Sicherheitsberichte abonnieren. Sicher eine gute Maßnahme.

Und - verlassen Sie sich nicht auf die Recherche über nur eine Seite, so die allgemeinen Empfehlungen.

„Oh no – pwned!“

Lesen Sie bei Ihrem Check: „Oh no – pwned!“ dann ändern Sie zügig das entsprechende Passwort. Es empfehlen sich auch weitere Maßnahmen. Wer die Information „No pwnage found!“ erhält, kann sich entspannen, sollte aber trotzdem die Passwort-Sicherheit (siehe: Zwei-Faktor-Authentifizierung) nicht vergessen. Regelmäßige Checks empfehlen sich natürlich auch. Und - meiden Sie offene Netzwerke.

Mein Fazit zum Umgang mit Passwörtern:

1. Ändere Dein Passwort. 
2. Jeder Account/Zugang - ein Password - konsequent.
3. Lege eine "geheime" eMail-Adresse an, die nur für Logins genutzt wird und sonst unbekannt bleibt.
4. Wähle "lange" Passwörter, auch wenn manche Anbieter keine "langen" Passwörter akzeptieren. (Ja, das gibt es wirklich!) Empfohlen sind 8-20 Zeichen. 
5. Wähle keine einfallslosen Passwörter wie "123456".
6. Integriere Zahlen oder Sonderzeichen, auch Groß- und Kleinschreibung. 
7. Notiere Passwörter nicht, oder wenn - halte die Liste unter Verschluss.
8. Nutze ein System, aber kein einfaches - oder einen Passwortmanager. 

Einmal ist kein Mal

Datensicherheit ist keine Einmalaktion. Sie muss regelmäßig wiederholt werden. Deshalb habe ich jetzt meinen Terminkalender bereichert: Ich plane Sicherheitsrecherchen ein.

Webseiten und Hintergrundinfos

Möchten Sie mehr wissen? Dann lesen Sie den Sachstand ausführlicher auf der Heise Webseite nach. Dort gibt es auch weitere Seiten mit Passwort-Ratgebern und mehr. 

Nützlich fand ich auch die Tipps von der Webseite "Onlinewarnungen". Die informierte mich zum Beispiel über die deutsche Variante von "Have I Been Pwned". 

Wer mehr über die Bedeutung wissen will, für den lohnt sich ein Blick auf "bedeutungonline".

Und nutzen Sie den einen oder anderen Technik-Newsletter, auch wenn es manchmal die Geduld strapaziert:

Mein Informationsfavorit

Auch wenn die Conrad-Werbung mit täglich zwei Newslettern die Geduld strapaziert, der Conrad TechTicker war es bislang Wert. Der überarbeitete Conrad Info Ticker (seit 1.1.2019) ist schlechter: Die Anreißer sind zu allgemein und die Zahl der Meldungen ist reduziert. Früher - im Tech Ticker - reichte ein Blick für eine umfassende Information, jetzt braucht es den Klick auf die Webseite. Und auch dann erscheinen sie mir schlechter aufbereitet. Dennoch - seriöse Infos frei Haus sind nicht so häufig. Hier finden Sie den Heise-Artikel mit Hintergrundinfos.

Autor: Claudia Grötzebach

Der inspirierend herzliche Berufsverband für Trainer Organisationsberater und Coaches

Ein denk- und merkwürdiger Workshop mit Lisa Boje

Am Beginn stand Skepsis, am Ende Begeisterung. Dazwischen lagen drei Fragen, eine Auswertung, Lachen, Scherzen, Herzeln und Brüten.

schnell begeistern die Ergebnisse
Sabine Theisen-Schwede, Dr. Inge Osthoff

Auch Vereine müssen sich ab und zu neu positionieren

Wer von uns kennt das nicht? Wir arbeiten gut, wir überzeugen, die Teilnehmer sind zufrieden, aber wie sage ich es „meinem Kinde“? Mal hat sich unsere Expertise geändert oder wir brauchen ein Lifting. - Den eigenen Standort neu zu bestimmen und seine Selbstdarstellung zu optimieren, ist für die meisten von uns eine echte Herausforderung. Vereinen geht es nicht anders.

Fünf Aktive zu Gast bei Lisa Boje

Roland Schulz, Ines Schulze-Schlüter,
Sabine Theisen-Schwede, Inge Osthoff

Deshalb trafen sich fünf Aktive des T.O.C. e.V. an einem schönen Maisonntag in Krefeld zu einem Corporate-Strategie-Workshop bei Lisa Boje. Die Marketing-Expertin aus der Schweiz ist eine ausgewiesene Expertin für die Corporate-Strategie und hatte dem T.O.C. e.V. ein Sponsoring angeboten.

Aufwärmen ist bei T.O.C.isten nicht nötig

Die geplante Aufwärmrunde war bei uns überflüssig, so locker, herzlich und entspannt wie es sofort startete. Da bekamen die vorbereiteten Motivpostkarten eine andere Bedeutung: Wer fand das spannenste, witzigste oder treffendste Motiv. In der Sache ging es wortreich zu. 

Drei Fragen führen durch den Workshop

Drei Leitfragen prägen die drei der vier Arbeitsphasen eines Corporate-Strategie-Workshops:

Was ist das Leistungsversprechen? (Consumer Benefit) Es brüteten die Anwesenden. Die Ideen sprudelten, Lisa schrieb. Hier ein Einfall. Da ein Gefühl. Dort ein Zweifeln. Lisa hakt nach. Eine neue Sicht auf die eigenen Leistungen und schon kommen scheinbar völlig neue Angebote ins Spiel.

Was ist eigentlich T.O.C.?
Claudia Grötzebach

Womit begründen wir unser Versprechen? Wie können wir unsere Leistungsfähigkeit beweisen? (Reason/why to belief?) Hier füllen Verbandshistorie, persönliche Qualitäten und Qualfikationen, Produkte und Engagement die gelben Post-its.

Wie sprechen wir unseren Kunden und Kollegen an? (Tonality) Wie gehen wie miteinander um? Was erleben wir andernorts? Herzlichkeit, Respekt und Offenheit sind uns am wichtigsten, stellen wir fest. Freundliche Gradlinigkeit statt Schicki Micki und dem Bedürfnis zu beeindrucken. 

Lisa Boje und Inge Osthoff
bereiten das Punkten vor

Punkten führen zu unseren Kernaussagen

Am Ende gilt es, auszuwählen: Wir punkten die Fülle der Ideen und entwickeln so Schwerpunkte und Kernaussagen. 

Einfach aber ganz und gar nicht simpel

Einfach, aber nicht simpel und leichter als es im ersten Moment scheint ist diese Corporate-Strategie, die vorab interessant wirkte, aber inspirierend? Das konnten wir uns noch nicht vorstellen. 

Inspiriert, beschwingt, "high"

T.O.C. beschwingt:
Ines Schulze Schlüter, Roland Schulz

Am Ende sind wir inspiriert, begeistert und ein wenig „high“. Es ist erstaunlich, wie aus Ideen, Erinnerungen, Überzeugungen, persönlichen Bewertungen, kleinen Erlebnissen, Satzfetzen, Gedanken, Formulierungssplittern, Zweifeln, Bedürfnissen und Assoziationen langsam ein gemeinsames Gefühl, eine gemeinsame Perspektive, gemeinsame Bilder und Schwerpunkte heranwachsen. 

Langsam formen sich neue Dimensionen. Es entwickeln sich Zusammenhänge und Schwerpunkte. Der Blick wandert, mal auf Erfahrungen („Das hatten wir mal“), die Kollegen, den persönlichen Gewinn: was wir so schätzen in und an diesem Miteinander.

Plötzlich ist die gemeinsame Vision da

Und plötzlich ist sie da - die alle überzeugende, gemeinsame Vision, in Worte gegossen - inspirierend. Jetzt wussten wir - schwarz auf weiß - , warum wir miteinander arbeiten und gerne miteinander arbeiten (wollen). - 

Was ist eigentlich T.O.C. e.V.? 
Freunde, Austausch, Ideen, Projektschmiede, lebendig, warm, freundlich, herzlich, beschwingend, belebend, motivierend, aktivierend.

Corporate-Strategie? - Das muss man einfach erleben!
- Und Lisa Boje auch...

Autor: Claudia Grötzebach

Und wo war jetzt der Workshop?

Zertifizierung light? - Die GRETA-Kompetenzbilanzierung vielleicht doch noch nicht ganz ausgereift? Eindrücke von dem Greta-Workshop am 22. Juni 2018 in Soest.

„Und wo war jetzt der Workshop?“ Diese Frage ist ein wenig symptomatisch für den Eindruck, den die Greta-Roadshow in Soest hinterlies. Eine wichtige Teilnahme, denn bislang hat sich der T.O.C. e.V. keinen rechten Eindruck machen können von diesem Projekt, das mal als Zertifizierung, mal als Kompetenzbilanzierung bezeichnet wird.

Noch schwieriger wird es, wenn plötzlich die Begutachtung von Lehrenden Thema ist und im nächsten Moment die Begutachtung von Veranstaltungen und eine Reorganisation und Bilanzierung von Fortbildungsinstituten.

Kurz: Wer sich bislang mit dem Projekt noch nicht beschäftigte, dem wird es nicht leicht gemacht. Dieser Ferneindruck ließ sich in Soest eher bestätigen als wiederlegen. 

Was ist Greta?

GRETA ist ein vom Bildungsministerium gefördertes Forschungs- und Entwicklungsprojekt. Die Aktiven arbeiten seit 2014 daran, ein Anerkennungsverfahren für Lehrende zu entwickeln. Dieses Verfahren will die Kompentenzen von Lehrenden erfassen, daraus Standards entwickeln und dann in einem Beratungs- bzw. Validierungsprozess jedem interessierten Trainer, Dozenten, Referenten... die Möglichkeit geben, sich bilanzieren zu lassen.

„Was läuft aktuell?“

Aktuell ist die öffentliche Förderung diesen Projektes ausgelaufen. In der Endphase präsentierten die Projektverantwortlichen seit Mai die Ergebnisse ihrer Arbeit, und damit das entwickelte Kompetenzmodell, in öffentlichen „Workshops“ an verschiedenen Standorten. Der T.O.C. e.V.. hat in Soest an einer der letzten öffentlichen Präsentationen teilgenommen.

Wie sah der „Workshop“ aus?

Von 11:00 bis 15:00 war der „Workshop“ ausgeschrieben. Ein Zeitraum, der  für einen Workshop etwas knapp bemessen schien, aber praktisch ist, wenn man den Focus auf Alltagstauglichkeit legt: So braucht es keine Übernachtung. Es bleibt bei einer Tagesveranstaltung. Zu erwarten ist dann aber ein ziemlich vollgepackter Tag. So war es auch.

Ziemlich pünktlich begann es um 11:00 mit der Eröffnung durch das gastgebende Institut, die Supportstelle Weiterbildung im Tagungshaus der Qualitäts- und UnterstützungsAgentur - Landesinstitut für Schule in Soest. Bis zur Mittagspause folgte dann eine rund einstündige Präsentation des Projektes in Interviewform.

Um 13:00 starteten dann zwei parallele „Workshops“, in denen sich die Teilnehmer entweder über das Anerkennungsverfahren oder über die Einführung in die Praxis informieren konnten.

Und schließlich gab es eine rund halbstündige Diskussion zum Abschluss der Veranstaltung. 

Und was genau wurde entwickelt?

Entwickelt wurde das GRETA-Kompetenzmodell in Anlehnung an jene Kompetenzmodelle, die den Pisa-Reformprozess prägten, entwickelt nach Franz Weinert. Das vorliegende Modell versuchte zunächst einmal  zu erfassen, über welche Handlungskompetenzen professionell Lehrende verfügen sollten. Dies Kompetenzen bildet das Modell in einem Kompetenzkreis ab, der sich in vier Felder und drei Ringe gliedert.

Auf der Basis dieses Modells wurden dann de facto zwei Produkte entwickelt: erstens eine Kompetenzbilanzierung der Lehrenden (PortfolioPlus) und zweitens die Einordnung von Veranstaltungen innerhalb des Kompetenzmodells. Hierbei geht es darum, Veranstaltungen im Hinblick darauf, welche Kompetenzen sie fördern, einzuordnen. Es kann also als Steuerungsinstrument für Bildungsanbieter dienen. 

Angestestet wurde PortfolioPlus

In einer Testphase wurde vor allem das PortfolioPlus, also das Diagnosemodell für Lehrende ausprobiert, anscheinend mit positiver Rückmeldung, denn die identifizierten Kompetenzen deckten sich weitgehend mit den von den Probanten selbst wahrgenommenen und bestätigten wohl weitgehend das Selbstbild der Testpersonen.

Und warum das Ganze?

Der Ausgangspunkt ist sympathisch: Die vorgestellte Form der Kompetenzbilanzierung will den Lehrenden aber auch Auftraggebern, z.B. Instituten und Bildungseinrichtungen, Orientierung geben. Standards sollten ermöglicht werden, die eine Vergleichbarkeit im Know How der Lehrenden schaffen und damit auch allgemein zu einer Anerkennung der Qualifikation der Lehrenden führen. Vielleicht, so schimmert die Hoffnung der Initiatoren heraus, kann das auch zu einer Befreiung aus den prekären Arbeitsverhältnissen in weiten Teilen der Weiterbildung schaffen. 

Kritikpunkte

Das Ganze ist derzeit noch viel zu diffus und unsauber ausgerichtet, so der Eindruck. Man präsentiert ein Produkt, doch de facto sind es mehrere, derzeit zwei, potentiell drei. Da sind begriffliche Unsauberkeiten wie der Bezeichnung „Workshop“ für diese Präsentation. Erarbeitet wurde nichts, ergebnisoffen war auch nichts... Also war der Begriff „Workshop“ schlicht falsch gewählt, vielleicht weil er so schick ist? Gespielt mit dem Zielbegriff der „Anerkennung“ als Ziel/Sinn der Kompetenzbilanzierungen. Das suggeriert Nähe zu einer Zertifizierung. Dafür aber fehlen Know How und klare Standards.

Zielgruppe?

„Wer ist die Zielgruppe?“ - Anwort: „Alle Lehrenden... 530.000 derzeit statistisch geführte.“ Die Frage nach der Zielgruppe konnte also nicht wirklich beantwortet werden. Grundlage eines jeden Marketings ist eine Zielgruppendifferenzierung. Hier macht das Bildungsmarketing keine Ausnahme. Haben sich die Entwickler wirklich nicht mit Konkurrenzprodukten oder aktuellen Trends beschäftigt? Haben Sie nicht recherchiert, wie Bildungsanbieter ihre Qualität sichern und ihre TOC-Partner auswählen? Wäre es nicht wichtig zu klären, ob es Unterschiede in den Kompetenzen von Trainern, OrganisationsBeratern, Coaches, Dozenten, Referenten gibt? Passt das Modell auf alle? Gibt es zu identifizerende Unterschiede in den Benchmarks? Lassen sich Unterschiede feststellen zwischen z.B. formell ausgebildeten Lehrenden und nicht bzw. punktuell ausgebildeten? In der Roadshow blieb der Eindruck, man beschäftige sich damit nicht. Falls die Aktiven es nicht thematisieren wollten, haben Sie sich keinen Gefallen getan.

Was machen Sie anders?

Frage: "Wie grenzen sich die beiden Produkte von bestehenden Zertifizierungen ab? Was ist da angedacht?" - Antwort: "De facto nichts, darum könnten sich ja der T.O.C. e.V. und der DVWO e.V. kümmern." Das klingt wenig solide. 

Ein zarter Hauch von Schein statt Sein

Handwerklich wirklich sauber? Kompetenzen zu definieren, statt Wissensprüfung und Arbeitsprobe... Ist die heutige TOC-Qualifizierung nicht schon weiter? Bei aktuellen Ansätzen werden beide, Wissens- und Kompetenzbilanzierung miteinander kombiniert. In den Beschreibungen der GRETA-Kompetenzbilanzierung klingt es eher nach Bilanzierung auf der Grundlage von Selbstauskünften. Das wirkt eher wie eine Scheinzertifizierung.

Viel Geld für nichts?

Ein Preis von 500,-- Euro ist für einen VHS oder IHK-Trainer viel. Eine Refinanzierung erscheint aber wenig realistisch. Wo soll es herkommen, wenn Honorare nicht verhandelbar sind?

Annerkennung von Lehrqualifikationen erreicht man üblicherweise durch Standards, Zugangsbeschränkungen und differenzierte, durchdachte Angebote, nicht durch „nice-to-have“-Konzepte.

Damit wirkt die Kompetenzbilanzierung eher als ein Analysetool für Lehrende ähnlich wie sie auf der Basis von Persönlichkeitsmodellen z.B. DISG-Profile entwickelt werden.

Zukunftsperspektive?

Das Projekt hat tatsächlich Potential. Es könnte ähnlich wie ein Persönlichkeitsmodell eine Art Kompetenzenmodell für Lehrende sein. Als Diagnose- und Steuerungselement nicht schlecht. Doch bevor das tatsächlich Verbreitung finden könnte, müssten die Unklarheiten aufgearbeitet werden. Vielleicht stellt sich im Zuge der ARbeit heraus, daß eine Differnzierung z.B. der Lehrenden nach Coaching, Training, Seminardozent... irrelevant ist, da sich laut Analyse keine Unterschiede feststellen lassen. Doch das sollte dann als Ergebnis eines Validationsprozesses formuliert werden und nicht, weil es nicht bedacht wurde oder nicht bearbeitet werden soll, will, wird...

Jeder Lehrende muss hart für sein Geld arbeiten und wenn er es so investiert sollte er ein wirklich ausgereiftes Produkt mit klaren Profil, klarem Erkenntnisgewinn und klaren Refinanzierungsmöglichkeiten durch echte Wettbewerbsvorteile erhalten. Es gibt also noch Luft nach oben.

Autor: Claudia Grötzebach