Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Passwort: Verändere dich!
Allenthalben wird dafür geworben, keine trivialen Passwörter zu verwenden und diese regelmäßig zu wechseln. Es geht dabei nicht nur um Wirtschaftsspionage, sondern auch um den eigenen guten Namen.
An der CeBIT mag es wohl schwerlich liegen, dass das Jahr 2013 dem geneigten Internet-Nutzer nicht nur mit ständigen Updates einiges an Arbeit abverlangt. Die Absicherung der unternehmenseigenen Endgeräte und Netzwerke im Zuge aktueller Einbrüche in Unternehmens-IT tun ihr Übriges – und verschafft den Admins eine echte Existenzberechtigung.
Die Übernahme fremder Accounts, sei es bei Internet-Diensten, bei Zugangsberechtigungen zum Unternehmensnetz oder der dem Zugriff auf sensible Unternehmensdaten innerhalb des Netzwerks, wird zunehmend zum Problem. Data Loss Prevention ist eines der Stichworte, Identitätsmissbrauch ein anderes. Beim Identitätsmissbrauch kann noch unterschieden werden zwischen Schädigung des eigenen Unternehmens und der Schädigung Ihrer Geschäftspartner.
Es kann jeden treffen.
Wenn Sie jetzt glauben, Sie sind außen vor, nur weil Sie zu klein und zu unbedeutend sind oder keine Malware finden, möchte ich Ihnen Ihre Illusion nicht rauben. Das dürfen andere:
Der Zoll beispielsweise entdeckt regelmäßig gefälschte ‚Alltagsgegenstände‘ (nicht nur Hightech- oder Rüstungsgüter) also beispielsweise Schüsseln und Pfannen.
Es ist auch kein Hexenwerk, Geschäfte in fremdem Namen und auf fremde Rechnung zu tätigen. Wenn Geschäftspartner von Ihnen E‑Mails erhalten oder über soziale Medien in Ihrem Namen kommuniziert wird, wird es schon spannender: In den Augen Dritter werden Sie zum Hort des Bösen! Sie verteilen schließlich Spam und Malware!
Auch einige der großen Fälle der letzten Monate zeigen eindrucksvoll, dass selbst schwergewichtige Unternehmen nicht vor Angriffen gefeit sind. In den vergangenen Monaten wurden einige IT-Größen gehackt, die man wegen ihres IT-Know-hows bislang sicher wähnte. Mit Facebook und Twitter auch die zwei großen Social Media Player. Mit EADS und ThyssenKrupp wurden Unternehmen angegriffen, bei denen man Wirtschaftsspionage problemlos nachvollziehen kann.
Also ist es eigentlich egal, ob man etwas dagegen tut? Mitnichten! Je mehr Sie tun, desto geringer ist die Wahrscheinlichkeit, dass Sie betroffen sind und die Schäden werden deutlich reduziert.
Passworte sind wichtiger Teil des Bollwerks
Passworte sind die digitalen Ausweise, die sowohl den Zugriff und die Nutzung von Ressourcen steuern als auch den Zugriff auf Daten. Soweit leidlich bekannt. Aber: Können Sie überhaupt feststellen, ob Sie (noch) der Herr über Ihre Accounts sind? Wissen Sie, wer wann auf welche Inhalte zugreift? Und vor allem: Wissen Sie, ob derjenige der sich anmeldet, tatsächlich der Inhaber des Accounts ist?
Sind Sie sich auch im Klaren darüber, dass nur eine Benutzerverwaltung mit einer sauberen Trennung von Admin und Benutzer sowie vernünftigen Passworten überhaupt erst sicherstellt, dass ein lokaler Virenscanner und weitere Sicherheitssoftware überhaupt richtig funktioniert? (Siehe Beitrag: “Zusammenspiel von Virenschutz und Berechtigungen”).
Innerhalb des Unternehmens obliegt es dem Admin seinen Nutzern ein gutes Passwort abzuringen – und dieses dann auch noch regelmäßig zu wechseln. Endgeräte schützen Sie so vor unberechtigter Nutzung und sichern auch die Nutzung von Anwendungen und den Zugriff auf Daten. Entsprechende „Policies“, Standarddreingaben des MS-Betriebssystems leisten hier gute Dienste. Wird ein Passwort erraten (weil zu leicht), gefunden (weil unter der Tastatur etc.), geknackt (weil zu kurz) oder war keines vorhanden (abgesicherter Start, als Admin etc.) hat ein Angreifender leichtes Spiel. Ist ein Admin-Benutzerkonto unberechtigter Weise zugänglich, kann sich ein Angreifer an verschiedenen Stellen „einnisten“ und sich nachhaltig Zugriff von extern verschaffen, selbst wenn er nicht mehr physisch anwesend ist. Keylogger oder Trojaner sind z. B. ebenso schnell installiert wie ein WLAN bzw. Bluetooth-Accesspoint. Auch die eingesetzte Sicherheitssoftware ist so schnell wie nachhaltig manipuliert.
Bei Kommunikation via Internet und Verwendung sozialen Medien ist es da schon schwerer. Immer wieder werden Online-Spiele, Shops, Dienstleister und soziale Medien im Internet angegriffen, um an die Konten der Nutzer zu gelangen und diese zu missbrauchen. Eine so beliebte, wie verständliche Unsitte kann dem User zum Verhängnis werden: Der Einsatz ein und desselben Passwortes für unterschiedliche Dienste. Ist einer der Accounts erst einmal kompromittiert, können auch weitere Dienste missbraucht werden. Besonders beliebt ist hierbei der Versand von E‑Mails, Messages, Tweets etc. an Freunde, Bekannte und Geschäftspartner. Auch wenn die Schutzvorkehrungen der (E‑Mail-)Provider immer besser werden und Spam und E‑Mails, die Malware beherbergen bzw. darauf verlinken, zunehmend besser ausgefiltert werden, besitzen „echte Accounts“ noch eine Sonderstellung – hinsichtlich Sicherheitssoftware und dem Umgang durch den Empfänger.
Eine besonders dreiste wie einfache Möglichkeit, per sozial Engineering an ein Passwort zu gelangen, zeigt folgende Meldung aus Heise: Ist auch mein Passwort mit dabei?
Die Lösungen:
Unterschiedliche Passworte für verschiedene Programme und Dienste sowie deren regelmäßiger Wechsel (Siehe Beitrag: “Passwortsicherheit II: Passwortwechsel!”); eine ausreichende Länge sowie Komplexität. Nur so kann im Zweifel der Schaden begrenzt werden. Natürlich stoßen wir dabei auf menschliche Grenzen und Unzulänglichkeiten. Daher sind Tools zur Passwortverwaltung und automatischer Einsteuerung hilfreich; besonders geschickt ist dabei ein Passwortsafe, der an eine SmartCard gekoppelt ist. Bitte nicht: Speichern von Passwörtern im Browser.
Die besonders sicherere Variante: Zusätzlich zum Passwort(speicher) ein Hardwaretoken als Besitzkomponente.
Bild: © Gerd Altmann / pixelio.de

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unterschiedliche DATEV IT-Lösungen. Nach seinem Studium zum Informatik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kommunikation zu Sicherheitsthemen und die übergreifende Vermarktung der entsprechenden Sicherheitsprodukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicherheitsthemen im Unternehmensalltag” tätig; seine Spezialität sind Vorträge mit Live-Demos und –Hacking.

Neueste Kommentare