DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Pass­wort­dieb­stahl

Passwortdiebstahl

Ein sicheres Passwort ist das eine, ein ver­trau­licher Umgang damit ein wei­terer wich­tiger Aspekt. Deshalb beschäftigt sich der vierte Teil der Arti­kel­serie „Ver­hal­tens­regeln für Mit­ar­beiter“ damit, einem Pass­wort­dieb­stahl vor­zu­beugen.

 

 

 

Die Arbeit am PC beginnt im Ide­alfall mit der Eingabe eines Pass­worts, denn dieses soll den PC vor unbe­fugtem Zugriff schützen. Dennoch sind viele im Umgang mit einem Passwort nach meiner eigenen Erfahrung meist weniger vor­sichtig als mit ihrem Haus­tür­schlüssel, obwohl beide doch einem ähn­lichen Zweck dienen. Dies haben wir zum Anlass genommen im vierten Teil der Arti­kel­serie das Thema Pass­wort­dieb­stahl näher zu beleuchten.

Aus­spio­nieren von Pass­wörtern

Ein weit ver­brei­tetes Passwort ist laut einen Heise Security-Artikel die Zah­len­folge „123456“. Würden Sie mit dieser Kom­bi­nation Ihre Wohnung sichern? Mit Sicherheit nicht. Also warum sollten Sie Ihre Daten so sichern? Gerät ein Passwort in falsche Hände, kann das nicht nur für Sie einen großen Schaden zur Folge haben (z. B. Daten­dieb­stahl, Inter­net­ein­käufe im fremden Namen).
 
Oftmals bieten wir schon durch die Wahl unseres Pass­worts eine Angriffs­fläche für Miss­brauch. Besteht eine direkte Ver­bindung zum Benutzer, zum Bei­spiel indem das eigene Geburts­datum, die Namen der Kinder, der Name des Ehe­partners oder des Haus­tiers ver­wendet wird, haben Per­sonen, die sich in Ihrem näheren Umfeld befinden oder sich ander­weitig Zugriff zu diesen Infor­ma­tionen beschaffen können, dadurch ein leichtes Spiel.
 
Es gibt unzählige Mög­lich­keiten für einen Angreifer Pass­wörter aus­zu­spio­nieren. Hin und wieder wird es ihm durch das unbe­dachte „Ver­stecken“ von Pass­wort­z­etteln unter der Tas­tatur oder am Bild­schirmrand sogar besonders leicht gemacht. Auch das über die Schulter schauen, sog. „Shoulder Surfing“ oder das Ver­wenden eines „Key­loggers“ um ihre Tas­ta­tur­eingabe zu doku­men­tieren sind gängige Methoden von Angreifern.
 
Brute-Force-Angriff

Bei einem Brute-Force-Angriff werden durch einen leis­tungs­starken PC auto­ma­ti­siert alle mög­lichen Zei­chen­kom­bi­na­tionen pro­biert. Heut­zutage prüft ein durch­schnitt­licher PC gut mehrere Mil­lionen Pass­wörter pro Sekunde. Mit einem Passwort, das aus einer reinen Zahlen- oder Buch­sta­ben­kom­bi­nation besteht, ist die Suche schnell erfolg­reich. Sie sollten deshalb immer eine Kom­bi­nation aus Buch­staben, Son­der­zeichen und Ziffern für Ihr Passwort ver­wenden sowie auf eine ange­messene Länge achten.

Wör­ter­buch­an­griff

Allein durch die Ver­wendung eines Wör­ter­buchs kann Ihr Passwort in der Regel nicht geknackt werden, jedoch stehen Angreifern diverse Pro­gramme als Helfer zur Ver­fügung. Es werden mit­hilfe einer soge­nannten Wor­dlist typische Wörter und Wort­kom­bi­na­tionen aus (auch Fremd­sprachen) Wör­ter­bü­chern vom PC auto­ma­tisch getestet. Das Benutzen bestimmter Schemata und typi­scher Pass­wörter ver­ein­facht es den Angreifern zudem.

So ver­halten Sie sich richtig:

  • Ver­wenden Sie zur Absi­cherung ihrer Daten nur kom­plexe Pass­worte, die aus Buch­staben, Ziffern und Son­der­zeichen bestehen. Ändern Sie ihr Passwort regel­mäßig.
  • Geben Sie Ihr Passwort niemals an fremde Per­sonen heraus – schon gar nicht via E‑Mail oder Telefon.
  • Behalten Sie Ihre Pass­wörter am besten im Kopf, benö­tigen Sie dennoch eine Gedächt­nis­stütze, achten Sie auf aus­rei­chende Sicherheit. Ihre Pass­wörter gehören nicht unter die Schreib­tisch­un­terlage oder unver­schlüsselt auf Ihr Smart­phone oder Ihren PC.
  • Achten Sie bei der Pass­wort­eingabe darauf, dass niemand Sie beob­achtet.

Bisher erschienen in der Reihe “Infor­ma­ti­ons­si­cherheit: Ver­hal­tens­regeln für Mit­ar­beiter”:

Teil 1: All­ge­meine Infor­ma­ti­ons­si­cherheit

Teil 2: Social Engi­neering

Teil 3: Pass­wort­si­cherheit

Teil 5: Viren­schutz

Teil 6: E‑Mail-Sicherheit

Teil 7: Mobile End­geräte und Daten­träger

Teil 8: Ver­wendung von Software

Teil 9: Daten­ver­luste

Teil 10: Schutz sen­sibler Daten durch Ver­schlüs­selung

Bild: © Rike / pixelio.de

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awa­reness-Koor­di­nator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwer­punkt­mäßig mit den Themen ISMS und Awa­reness.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.