DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Pass­wort­ma­nager – der digitale Schlüs­selbund

imobile sitter

Hase, Rex oder 12345 – viele Men­schen nutzen ein­fache Pass­wörter für Zugänge zu E‑Mail-Postfach, Amazon-Account oder Online-Banking. Solche Pass­wörter sind zwar leicht zu merken, aber auch leicht zu knacken. Aktu­ellstes Bei­spiel dafür, welche Sicher­heits­lücken durch Kom­bi­na­tionen ent­stehen, die leicht in Erfahrung gebracht werden können, ist die Kurz­nach­rich­ten­an­wendung Whatsapp. Der Dienst ver­wendet einfach zu erra­tende Pass­wörter, sodass schon mit ein­fachen Werk­zeugen Accounts von Whatsapp-Nutzern über­nommen werden können.

Pass­wörter sicher ver­walten
Ein sicheres Passwort ist mög­lichst lang, beinhaltet Zahlen und Buch­staben sowie Son­der­zeichen (mehr dazu: s. www.sicherespasswort.com). Es ist aber uto­pisch, für jeden Zugang jeweils ein Passwort wie Wrgs09ß2F3gste??f§Rrr zu erstellen und sich am nächsten Tag auch noch daran zu erinnern. Hier helfen Pass­wort­ma­nager dem mensch­lichen Gedächtnis auf die Sprünge. Sämt­liche Zugangs­codes, PINs und Daten sind hier gespei­chert und mit einem Master-Passwort gesi­chert.

Vom Prinzip her ähnelt ein solcher Pass­wort­ma­nager einem klas­si­schen Schlüs­selbund. Geht dieser einmal ver­loren, hilft ein Schlüs­sel­dienst weiter. Wenn man ganz sicher gehen möchte, tauscht man dann auch noch die Schlösser aus. Bei einem digi­talen Schlüs­selbund ist – im über­tra­genen Sinn – aber nicht immer klar, wann „Schlösser aus­ge­tauscht“, sprich Pass­wörter geändert werden müssen, denn es kann sein, dass der Nutzer nicht unbe­dingt merkt, wenn seine Daten in fremde Hände gelangen: Es ist möglich, dass ein Fremder sich einfach eine Kopie der gespei­cherten Zugangs­daten ver­schafft, ohne dass der eigent­liche Besitzer etwas davon mit­be­kommt.

Zum Schutz gegen solche Angriffe werden die Zugangs­ge­heim­nisse im Pass­wort­ma­nager ver­schlüsselt. Viele Pass­wort­ma­nager ver­wenden hierfür kon­ven­tio­nelle Ver­schlüs­se­lungs­me­thoden. Doch selbst diese können mitt­ler­weile leicht auf­ge­brochen werden, es gibt digitale „Auf­bruchs­werk­zeuge“ und Dienstan­gebote, die Wör­ter­buch­an­griffe oder Brute-Force-Angriffe nutzen, um den Schlüssel zur Ent­schlüs­selung der im Con­tainer geschützten Geheim­nisse zu knacken. (www.elcomsoft.com/PR/PK_120316_en.pdf).

Falsche Fährte für den Hacker
Am Fraun­­hofer-Institut für Sichere Infor­ma­ti­ons­tech­no­logie SIT hat man zur Lösung dieses Pro­blems ein cle­veres Ver­fahren ent­wi­ckelt, an dem sich Hacker (oder eine Hacker­software), die Zähne aus­beißen: Die Brute-Force-Angriffe oder Wör­ter­buch­an­griffe, mit denen die kon­ven­tio­nellen Pass­wort­ma­nager heute erfolg­reich ange­griffen werden können, funk­tio­nieren bei der Fraun­­hofer-Lösung nicht mehr. Ein Hacker oder seine Software kann nämlich bei der Eingabe eines Master-Pas­s­­worts für den Pass­wort­con­tainer nicht erkennen, ob er den Con­tainer nun geknackt hat oder nicht. Nach der Eingabe eines Master-Pas­s­­worts öffnet sich der Speicher und es werden ent­schlüs­selte Daten ange­zeigt. Diese sehen tat­sächlich so aus, als könnten sie die rich­tigen sein. Wurde bei­spiels­weise eine vier­stellige PIN-Nummer wie für EC-Karten gespei­chert, dann wird immer eine Zah­len­kom­bi­nation zwi­schen 0000 und 9999 ange­zeigt. Der Angreifer kann nicht erkennen, ob er den Pass­wort­con­tainer geknackt hat oder nicht. Erst am Geld­au­to­maten stellt sich heraus, dass er eine falsche PIN gefunden hat. Ein recht­mä­ßiger Besitzer kann jedoch immer an einem ein­ge­bauten Trick erkennen, ob er das richtige Master-Passwort in seinen Pass­wort­ma­nager ein­ge­geben hat.

Die Software iMo­bi­le­Sitter des Fraun­hofer SIT ist gegen einen geringen Betrag als App erhältlich. Eine Version für Android ist in Ent­wicklung. Mehr Infor­ma­tionen zur App gibt es unter www.imobilesitter.com oder unter www.sit.fraunhofer.de.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Anna Spiegel, Fraun­hofer SIT

Anna Spiegel ist Online-Redak­teurin beim Fraun­hofer-Institut für Sichere Infor­ma­ti­ons­tech­no­logie. Seit 2011 ist sie bei Fraun­hofer zuständig für den Online-Auf­tritt und die Betreuung der Social Media-Kanäle. Davor war sie tätig als Redak­teurin bei einer Fach­zeit­schrift für Geo­in­for­ma­ti­ons­systeme in Köln. Zuvor absol­vierte sie ein Volon­tariat bei der Rhein-Zeitung in Koblenz.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.