Passwort: Ver­ändere dich!

Allent­halben wird dafür geworben, keine tri­vialen Pass­wörter zu ver­wenden und diese regel­mäßig zu wechseln. Es geht dabei nicht nur um Wirt­schafts­spionage, sondern auch um den eigenen guten Namen.

An der CeBIT mag es wohl schwerlich liegen, dass das Jahr 2013 dem geneigten Internet-Nutzer nicht nur mit stän­digen Updates einiges an Arbeit abver­langt. Die Absi­cherung der unter­neh­mens­ei­genen End­geräte und Netz­werke im Zuge aktu­eller Ein­brüche in Unter­­nehmens-IT tun ihr Übriges – und ver­schafft den Admins eine echte Exis­tenz­be­rech­tigung.

Die Über­nahme fremder Accounts, sei es bei Internet-Diensten, bei Zugangs­be­rech­ti­gungen zum Unter­neh­mensnetz oder der dem Zugriff auf sen­sible Unter­neh­mens­daten innerhalb des Netz­werks, wird zunehmend zum Problem. Data Loss Pre­vention ist eines der Stich­worte, Iden­ti­täts­miss­brauch ein anderes. Beim Iden­ti­täts­miss­brauch kann noch unter­schieden werden zwi­schen Schä­digung des eigenen Unter­nehmens und der Schä­digung Ihrer Geschäfts­partner.

Es kann jeden treffen.

Wenn Sie jetzt glauben, Sie sind außen vor, nur weil Sie zu klein und zu unbe­deutend sind oder keine Malware finden, möchte ich Ihnen Ihre Illusion nicht rauben. Das dürfen andere:

Der Zoll bei­spiels­weise ent­deckt regel­mäßig gefälschte ‚All­tags­ge­gen­stände‘ (nicht nur Hightech- oder Rüs­tungs­güter) also bei­spiels­weise Schüsseln und Pfannen.
Es ist auch kein Hexenwerk, Geschäfte in fremdem Namen und auf fremde Rechnung zu tätigen. Wenn Geschäfts­partner von Ihnen E‑Mails erhalten oder über soziale Medien in Ihrem Namen kom­mu­ni­ziert wird, wird es schon span­nender: In den Augen Dritter werden Sie zum Hort des Bösen! Sie ver­teilen schließlich Spam und Malware!

Auch einige der großen Fälle der letzten Monate zeigen ein­drucksvoll, dass selbst schwer­ge­wichtige Unter­nehmen nicht vor Angriffen gefeit sind. In den ver­gan­genen Monaten wurden einige IT-Größen gehackt, die man wegen ihres IT-Know-hows bislang sicher wähnte. Mit Facebook und Twitter auch die zwei großen Social Media Player. Mit EADS und Thys­sen­Krupp wurden Unter­nehmen ange­griffen, bei denen man Wirt­schafts­spionage pro­blemlos nach­voll­ziehen kann.

Also ist es eigentlich egal, ob man etwas dagegen tut? Mit­nichten! Je mehr Sie tun, desto geringer ist die Wahr­schein­lichkeit, dass Sie betroffen sind und die Schäden werden deutlich redu­ziert.

Pass­worte sind wich­tiger Teil des Boll­werks

Pass­worte sind die digi­talen Aus­weise, die sowohl den Zugriff und die Nutzung von Res­sourcen steuern als auch den Zugriff auf Daten. Soweit leidlich bekannt. Aber: Können Sie über­haupt fest­stellen, ob Sie (noch) der Herr über Ihre Accounts sind? Wissen Sie, wer wann auf welche Inhalte zugreift? Und vor allem: Wissen Sie, ob der­jenige der sich anmeldet, tat­sächlich der Inhaber des Accounts ist?

Sind Sie sich auch im Klaren darüber, dass nur eine Benut­zer­ver­waltung mit einer sau­beren Trennung von Admin und Benutzer sowie ver­nünf­tigen Pass­worten über­haupt erst sicher­stellt, dass ein lokaler Viren­scanner und weitere Sicher­heits­software über­haupt richtig funk­tio­niert? (Siehe Beitrag: “Zusam­men­spiel von Viren­schutz und Berech­ti­gungen”).

Innerhalb des Unter­nehmens obliegt es dem Admin seinen Nutzern ein gutes Passwort abzu­ringen – und dieses dann auch noch regel­mäßig zu wechseln. End­geräte schützen Sie so vor unbe­rech­tigter Nutzung und sichern auch die Nutzung von Anwen­dungen und den Zugriff auf Daten. Ent­spre­chende „Policies“, Stan­dard­drein­gaben des MS-Betriebs­­­systems leisten hier gute Dienste. Wird ein Passwort erraten (weil zu leicht), gefunden (weil unter der Tas­tatur etc.), geknackt (weil zu kurz) oder war keines vor­handen (abge­si­cherter Start, als Admin etc.) hat ein Angrei­fender leichtes Spiel. Ist ein Admin-Benut­­zer­­konto unbe­rech­tigter Weise zugänglich, kann sich ein Angreifer an ver­schie­denen Stellen „ein­nisten“ und sich nach­haltig Zugriff von extern ver­schaffen, selbst wenn er nicht mehr phy­sisch anwesend ist. Key­logger oder Tro­janer sind z. B. ebenso schnell instal­liert wie ein WLAN bzw. Blu­e­­tooth-Acces­s­­point. Auch die ein­ge­setzte Sicher­heits­software ist so schnell wie nach­haltig mani­pu­liert.

Bei Kom­mu­ni­kation via Internet und Ver­wendung sozialen Medien ist es da schon schwerer. Immer wieder werden Online-Spiele, Shops, Dienst­leister und soziale Medien im Internet ange­griffen, um an die Konten der Nutzer zu gelangen und diese zu miss­brauchen. Eine so beliebte, wie ver­ständ­liche Unsitte kann dem User zum Ver­hängnis werden: Der Einsatz ein und des­selben Pass­wortes für unter­schied­liche Dienste. Ist einer der Accounts erst einmal kom­pro­mit­tiert, können auch weitere Dienste miss­braucht werden. Besonders beliebt ist hierbei der Versand von E‑Mails, Messages, Tweets etc. an Freunde, Bekannte und Geschäfts­partner. Auch wenn die Schutz­vor­keh­rungen der (E‑Mail-)Provider immer besser werden und Spam und E‑Mails, die Malware beher­bergen bzw. darauf ver­linken, zunehmend besser aus­ge­filtert werden, besitzen „echte Accounts“ noch eine Son­der­stellung – hin­sichtlich Sicher­heits­software und dem Umgang durch den Emp­fänger.

Eine besonders dreiste wie ein­fache Mög­lichkeit, per sozial Engi­neering an ein Passwort zu gelangen, zeigt fol­gende Meldung aus Heise: Ist auch mein Passwort mit dabei?

Die Lösungen:

Unter­schied­liche Pass­worte für ver­schiedene Pro­gramme und Dienste sowie deren regel­mä­ßiger Wechsel (Siehe Beitrag: “Pass­wort­si­cherheit II: Pass­wort­wechsel!”); eine aus­rei­chende Länge sowie Kom­ple­xität. Nur so kann im Zweifel der Schaden begrenzt werden. Natürlich stoßen wir dabei auf mensch­liche Grenzen und Unzu­läng­lich­keiten. Daher sind Tools zur Pass­wort­ver­waltung und auto­ma­ti­scher Ein­steuerung hilf­reich; besonders geschickt ist dabei ein Pass­wortsafe, der an eine SmartCard gekoppelt ist. Bitte nicht: Spei­chern von Pass­wörtern im Browser.

Die besonders sicherere Variante: Zusätzlich zum Passwort(speicher) ein Hard­ware­token als Besitz­kom­po­nente.

Bild:  © Gerd Altmann / pixelio.de