Die „IT-Genies“ von Google, Apple & Co. drängen uns immer noch ihren halbgaren Zwei-Faktor-Mist auf und behaupten, diese Login-Methode wäre zu unserem Besten. Fakt: sie ist es nicht. Die Zwei-Faktor-Authentifizierung (2FA) ist ein giftiger Cocktail aus Inkompetenz und Überwachungsgier, der das Leben für uns alle zur Hölle macht. US-Tech-Riesen verwandeln unsere Welt in einen Albtraum aus unnötigen Hürden, Datenschutzverletzungen und Sicherheitsfiaskos. Neben E-Mail auch eine Handynummer für Anmeldungen zu verlangen, ist der Schwachsinn, der typisch für die heutige Unternehmenskultur ist. Eine Clowns-Welt, in der Konformismus über gesunden Menschenverstand siegt.
Die Sicherheits-Lüge
Du willst einfach nur deinen kleinen Online-Shop betreiben, aber nein – Mama Big Tech verlangt deine Handynummer, als wäre das ihr Geburtsrecht. Google zwingt dir 2FA für den Zugang zu seinem Werbeprogramm auf, unter dem Vorwand, es ginge um „Sicherheit“. X (dieser umbenannte Twitter-Müll) besteht auf deine Handynummer, um „deine Identität zu verifizieren“, als wäre er der Torwächter zur Realität. Und sprechen wir gar nicht erst vom obligatorischen Apple-ID-Quatsch. Gib deine Nummer her oder wirf dein überteuertes Lifestylegerät auf den Müll! Sogar meine Krankenkasse verlangt 2FA fürs Login, und verwandelt die simple Abrechnung eines Arztbesuchs in eine digitale Inquisition. Amazon will für Prime-Anmeldungen deine Nummer, Facebook und andere soziale Medien setzen dich mit „Konto-Wiederherstellungen“ unter Druck. Warum? Weil diese Narren vorgeben, alles an dein Handy zu binden, mache es „sicherer“. Tatsächlich gibt es ihnen nur eine weitere Chance, dich zu tracken, zu kontrollieren und zu vermarkten.
Das Desaster von 2FA
2FA, besonders die handybasierte Variante, ist eine schlechte Idee. Es ist das, was Techies einen SPOF nennen: einen Single Point of Failure. Du verlierst dein Handy, es geht kaputt oder wird dir gestohlen, und zack – du bist aus deinem digitalen Leben ausgesperrt. Selbstständige sind wirtschaftlich erledigt, wenn sie nicht auf Ads-Dashboards oder Kundenportale zugreifen können. Dabei würde ein solides Passwort plus ein E-Mail-Code für 99% der Fälle ausreichen. Aber nein, es muss alles verkompliziert werden. Einfache Logins werden in eine frustrierende Rube-Goldberg-Maschine verwandelt.
2FA ist eine Datenschutz-Tragödie. Deine Handynummer ist das Ticket für Unternehmen und Geheimdienste, jeden deiner Schritte nachverfolgen zu können. Das ist der wahre Grund, warum sie diesen Mist eingeführt haben – Überwachungskapitalismus in Reinform. Unsere Gewohnheiten und Verbindungen werden getrackt, als wären wir alle Verdächtige in einem dystopischen Schauerroman. Der Staat kann dich mit einem Fingerschnips aus der digitalen Welt ausschließen, indem er deinen Handyanbieter anweist, deinen Vertrag zu kündigen. Das passiert schon in China, wo Dissidenten über Nacht von allen Diensten abgeschnitten werden. Bald auch in „unserer Demokratie“ zu haben, mit freundlicher Unterstützung von Big-Tech.
Und es gibt noch weitere Risiken für den Datenschut, die uns zur neuesten Clowns-Nummer des Silicon-Valley-Zirkus führen…
Google-Fiasko: Unsere Daten sind nicht sicher
Heute habe ich eine E-Mail von Google erhalten. Darin geben sie zu, dass meine Daten geklaut wurden. Gleichzeitig tut der Internetgigant so, als wäre nichts dabei.
Googles angeblich „sicheres“ Salesforce-Setup wird von Hackern per Voice-Phishing ausgesaugt. Die Bastarde nennen sich ShinyHunters. Irgendein armer Tropf bei Google fällt auf einen fake IT-Anruf rein, gibt Zugriff frei, und puff – grundlegende Kontaktdaten strömen ungehemmt raus. Wir reden von Firmennamen, Handynummern und Verkaufsnotizen aus der Google-Ads-Kontaktdatenbank. Für Google wäre es wohl besser, sie würden statt der „Threat Intelligence Group“ eine Intelligence Threat-Abteilung einführen.
Google beschwichtigt, der Schaden sei „begrenzt“ und „keine Kernsysteme“ seien betroffen. Aber machen wir uns nichts vor: Wenn du ihnen deine private Handynummer gegeben hast (und sie zwingen dich dazu, siehe oben), ist es sicher kein großer Gedankensprung anzunehmen, dass sie mit abgesaugt wurde. Ausdrücklich sagen es die Verantwortlichen bei Google nicht. Aber warum sollten sie auch?
Das ist kein Einzelfall, sondern Teil einer Welle von Salesforce-Attacken, die Konzerne wie Adidas und Qantas schon getroffen haben. Berichte von Krebs on Security oder TechCrunch zeigen seit längerem auf, wie diese Voice-Phishing-Scams grassieren, wie die Opfer massenweise von den Hackern erpresst werden. Googles Blogpost bagatellisiert es, aber unabhängige Artikel wie von BleepingComputer warnen, dass ShinyHunters immer noch unterwegs sind und Daten möglicherweise ins Dark Web dumpen. Selbst wenn Google behaupten würde, 2FA-Nummern seien nicht betroffen, wer kann ihnen noch glauben? Außerdem: Andere Unternehmen könnten nicht so viel „Glück“ haben. Telefonnummern in einer Datenbank sind eine tickende Zeitbombe für Spam, MFA-Fatigue-Attacken oder Schlimmeres. Es ist nur eine Frage der Zeit, bis Scammer die Login-Formulare von Online-Portalen mit deiner Nummer fluten, bis du für immer ausgesperrt wirst. Handynummern sind Daten, die nur darauf warten, gehackt zu werden – Punkt.
Der irische Wachhund schläft
Warum kommen Tech-Giganten wie Google immer wieder mit dieser Inkompetenz durch? Schuld ist die irische Data Protection Commission (DPC), ein Witz von Regulierer nach der DSGVO – dem großen europäischen Datenschutzgesetz von 2018. Google, Amazon, Microsoft, X und Konsorten haben ihren europäischen Sitz in Dublin eingerichtet. Neben niedrigen Steuern lockt eine Datenschutz-Behörde, die im Koma liegt. Die DPC ist wegen ihres Status als „federführende Aufsichtsbehörde“ allein verantwortlich für die Überwachung dieser Riesen. Ein unterfinanziertes Bürokratenbüro in Irland bearbeitet die Beschwerden sämtlicher europäischen Kunden der weltweiten Tech-Giganten. Ergebnis? Endlose Verzögerungen, leichte Schläge auf das Handgelenk und null echte Veränderung. Kritiker wie der Irish Council for Civil Liberties nennen es einen Flaschenhals. Der milde Ansatz der DPC zögert Datenschutz-Untersuchungen jahrelang hinaus und schützt die Profite der Big Tech-Unternehmen, während unsere Daten in alle Welt verteilt werden.
Was hat die DSGVO wirklich erreicht? Nervige Cookie-Pop-ups überall, das war’s. Klick „akzeptieren“ oder werde blockiert – brillant! In der Zwischenzeit rutschen Sicherheitsverstöße wie die bei Google mit einem armseligen Blogpost und einem Schulterzucken durch. Das DSGVO-Regime ist ein Witz, der es den Tech-Titanen erlaubt, uns ohne Konsequenzen zu mobben und zu schädigen.
Stoppt den 2FA-Wahnsinn
Der 2FA-Wahnsinn muss kontrolliert und eingeschränkt werden. Wenn ein Unternehmen keinen verdammt guten Grund hat, Handynummer, Ausweiskopie oder andere Identifikationen zu verlangen (Banken kommen vielleicht gerade so durch), sollte das Erzwingen dieser Daten eindeutig illegal sein. Nötig sind heftige Strafen und automatische, massive Entschädigungszahlungen an betroffene Kunden. Geld regiert und die Konzern-Clowns kapieren es erst, wenn es wirklich wehtut. Die Datensammelwut von Unternehmen und Behörden muss gestoppt werden, bevor sie uns alle noch mehr zu digitalen Leibeigenen macht.