DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Ein­fach­pass­wörter – besser als ihr Ruf

einfachpasswoerter

Adobe´s Verlust von 38 Mil­lionen Kun­den­daten steht für sich. Die Aus­sagen zur Qua­lität der ver­öf­fent­lichten Pass­wörter sind jedoch mit Vor­sicht zu genießen, denn nur Wich­tiges sollte gut gesi­chert werden.

 

Gestern habe ich mich noch amü­siert über die Analyse der Pass­wörter aus dem Adobe-Hack  von ca. 38 Mil­lionen Accounts – und der unglaub­lichen „Nai­vität“ der User (Top 100 der Pass­wörter ). War dann etwas erstaunt über das Statement von Jürgen Schmidt, Chef­re­dakteur von heise Security – und muss diesem heute auch noch Recht geben.

Die Qua­lität von Adressen und Pass­wörtern muss sich an der Schutz­be­dürf­tigkeit ori­en­tieren

Warum? Ganz einfach: Heute bin ich Betrof­fener! Der zugrun­de­lie­gende Sach­verhalt: Ich möchte mir in einem Shop lediglich Infor­ma­tionen besorgen. Dies setzt jedoch ein Login mit Benut­zername und Pass­wörtern voraus.
 
Doch es gibt weitere Bei­spiele, per­sön­liche Daten abgeben zu müssen, um Infos zu erhalten: „Ich möchte einen News­letter abon­nieren“. Eigentlich nichts Beson­deres: Also munter ein Thema aus­ge­wählt, was mich inter­es­siert – und dann meine E‑Mailadresse ange­geben. So weit, so gut! Aller­dings wäre es mit dieser bestechenden Ein­fachheit zu schön gewesen, an Infos zu kommen. Die 2. Seite öffnet sich, mit den Zwangs­feldern: Name, Vorname – dann aber auch Titel, Fir­menname, Position, Stel­lentyp, Abteilung, Branche und Mit­ar­bei­terzahl. Wow! Etwas viel für einen News­letter, dessen Infos ohnehin all­gemein zugänglich sind.

Spä­testens jetzt wird mir klar, warum als unnötig bzw. der Sache nicht dienend emp­fundene Pflicht­felder mit nichts­sa­genden bzw. fal­schen Daten aus­ge­füllt werden. Und zur neu­gie­rigen Fra­gerei kommt ganz nebenbei noch hinzu, dass Web-Analyse-Tools ja auch noch mit­laufen. Die Nach­frage nach Wegwerf-Mail­adressen und Ein­mal­pass­wörter ist damit auch nach­zu­voll­ziehen.

Bau­ern­fän­gerei wird mit Ein­fach­pass­wörtern quit­tiert

Einmal-Pas­s­­wörter und Wegwerf–E‑Mailkonten sind also auch als Ant­worten auf Zwangs­re­gis­trie­rungen zu ver­stehen. Gut, natürlich ist es legitim nach­zu­fragen, wer der Nutzer ist, bei­spiels­weise bei White­papers, Freeware, Hotel­bu­chungen und Ein­käufen etc. Auf der anderen Seite muss ich im Buch­laden um die Ecke, im Elek­tronik­markt etc. auch nicht meinen Per­so­nal­ausweis vor­legen, um ein­kaufen zu können. So ist es nicht ver­wun­derlich, dass bei Regis­trie­rungen und Kon­takten für ein­malige Vor­gänge die Phan­tasie bemüht wird – und die ist dann zu Recht im Eco-Modus und wirft gerne 1231456 und qwertz als Passwort aus.

Damit stehen zumindest Teile der ein­ge­ge­benen Account- und Pass­worte in einem anderen Licht dar. Dies wirft aller­dings auch ein anderes Licht auf die Bericht­erstattung zur Qua­lität der „im Internet“ ver­wen­deten Pass­wörter.
Pech für die, die immer gute Pass­wörter ver­wenden – und die­selben an meh­reren Stellen. Die sind nun gezwungen alle Pass­wörter zu ändern.

Mein Fazit lautet daher:

Ein­fach­pass­wörter haben also ihre Exis­tenz­be­rech­tigung: Nur Wich­tiges sollte gut gesi­chert werden. Wären die Pass­wörter wirklich so einfach, wäre es erschre­ckend. Ich gehe jedoch davon aus, dass bei wirklich wich­tigen Dingen mehr Sorgfalt bei der Wahl des Account-Namens und des zuge­hö­rigen Pass­wortes walten lassen wird.

Bild:  © Paul Golla / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.