DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Neue Pass­wörter! Aber Sicher?

Neue Passwörter Aber sicher

NSA, mil­lio­nen­facher Datenklau von Login-Daten und Passwort-Cracker die an einem Wett­bewerb für das sichere Spei­chern von Pass­wörtern teil­nehmen. Dem gegenüber steht ein laxer Umgang vieler User. Ist dies Gleich­gül­tigkeit oder Hoff­nungs­lo­sigkeit?

 

 

 

Die Kom­bi­nation E‑Mail-Adresse & Passwort stammt natürlich aus dem Bereich E‑Mail. Doch schon seit Jahren steht eine solche Kom­bi­nation pau­schal für eine Zugangs­kennung eines Internet-Dienstes. Auch Online-Shops und Soziale Medien bedienen sich einer solchen Zugangs­kennung. Es ist also per se nicht sicher, ob es sich tat­sächlich um E‑Mail-Accounts bei dem aktu­ellen Mil­lio­nen­dieb­stahl von Zugangs­daten handelt. Es mutet auch seltsam an, dass viele Pro­vider ihre betrof­fenen Kunden über einen viel­leicht geknackten E‑Mail-Account darüber infor­mieren, dass dieser geknackt wurde.

Warum es jedoch genau geht, was genau pas­siert ist und aus welchen Quellen die Infor­ma­tionen stammen, ist bisher für die Öffent­lichkeit unter Ver­schluss.

“Es ist nicht aus­zu­schließen, dass diese Schad­software auch zu anderen Zwecken genutzt werden kann, etwa zur Aus­spähung wei­terer Daten auf dem Com­puter oder zur Mani­pu­lation von Online-Tran­s­ak­­tionen, die die Anwender etwa beim Online-Shopping durch­führen”, warnt das BSI.

Als Emp­fehlung kommt in erster Linie natürlich, die Pass­wörter zu ändern. Dabei sind gute Pass­wörter nur dann aus­rei­chend geschützt, wenn sie in einer sicheren Umgebung ein­ge­setzt werden, d. h. nicht abge­griffen und gespei­chert werden können, um mit einem Passwort-Cracker rekon­struiert zu werden. Die eigentlich vorher erfor­der­lichen Schutz­maß­nahmen werden erst danach, scheinbar als optionale Ergänzung genannt — Berei­nigung und bewährte Vor­keh­rungen – die inzwi­schen deutlich über die Existenz eines Viren­scanners oder Firewall hin­aus­gehen.

Wer sich  im Zuge des erneuten Daten­klaus die Frage stellt, was er tun soll, findet immer wieder annä­hernd die gleichen Tipps und ist gut beraten, diesen Folge zu leisten! Eine gängige Gefah­ren­quelle für Zugangs­daten sind nach wie vor instal­lierte Tro­janer bzw. Bots auf PCs, Note­books oder Smart­phones etc.

Und bitte, bitte ver­lassen Sie sich nicht allein auf einen noch so guten Viren­scanner oder eine vor­handene Firewall!!! Das AV-TEST Institut regis­triert täglich mehr als 220.000 neue Schad­pro­gramme. Es liegt auf der Hand, dass die Viren­scanner nicht mehr alles zeitnah und voll­ständig bewäl­tigen können. Daher: jede der beim BSI beschrie­benen Maß­nahmen unter­stützt den Scanner bei seiner Arbeit – v. a. bei noch unbe­kannten Schäd­lingen.

Wer jetzt noch mit XP arbeitet, sollte wissen, dass nicht nur der Support durch Microsoft geendet hat, sondern die ein­ge­baute Firewall nur ein Schatten dessen ist, was heute Standard ist. Zudem arbeitet XP stan­dard­mäßig mit abwärts­kom­pa­tiblen Zugangs-Pas­s­­wörtern, die noch aus der Zeit von Win95 stammen! Will heißen, es gibt nur einen begrenzten Zei­chen­vorrat – bei­spiels­weise unter­scheidet das Betriebs­system nicht zwi­schen Groß- und Klein­schreibung. Wei­teres im Abschnitt „zur Qua­lität von Pass­wörtern”. Auch die Trennung von Admi­nis­trator und Nutzern ist nur rudi­mentär. Für viele Pro­gramme ist das Arbeiten als (ein­ge­schränkter) Benutzer, wie auch vom BSI gefordert, unter XP nicht möglich, je nach Produkt sind bei­spiels­weise admi­nis­trative Rechte erfor­derlich. Alles in Allem also ein gefähr­licher Dino­saurier, der den heu­tigen Anfor­de­rungen durch Ver­netzung und Online-Pro­­­dukte nicht mehr gewachsen ist.

Router, Spiel­kon­solen, Fern­seher, „Smarties“ oder „Wearables“ als Achil­les­verse des Netz­werks

Mit zuneh­mender Ver­netzung auch Smarter Büro- und All­tags­geräte, die über eine Vielzahl an (Funk-)Schnittstellen ver­fügen nimmt die Angriffs­fläche für Schad­software deutlich zu.Noch selten findet man Tipps, die fast abwegig klingen – wie bei­spiels­weise Sicher­heits­lücken in Routern, Spiel­kon­solen, Dru­ckern und Fern­seher etc. zu stopfen.

Nun ja,  Fern­seher und Spiel­kon­solen werden als eigen­ständige Welten wahr­ge­nommen, sind jedoch für die Netz­werke, in denen sie stehen, alles andere als gefahrlos – v. a. wenn sich der Nutzer über diese an diversen Diensten ange­meldet hat. Laut heise.de ist „der am leich­testen angreifbare Rechner […] in vielen Haus­halten mitt­ler­weile der Router. Während sich moderne Desktop- und Mobil­be­triebs­systeme inzwi­schen weit­gehend selbst­ständig um ihre Sicherheit kümmern, stehen Mil­lionen Router den Angreifern offen wie das sprich­wört­liche Scheu­nentor.“ Das gefährlich daran: der Router ist die Schnitt­stelle des gesamten Netz­werks ins Internet.

Über manche “Lücke können Angreifer die Pass­wörter der Geräte abgreifen“- und über mache „Hin­tertür können Angreifer die Kon­fi­gu­ra­ti­ons­daten der Geräte aus­lesen und mani­pu­lieren.“

Im schlimmsten Fall werden nicht nur Pass­wörter gelesen, sondern Ein­stel­lungen ver­ändert, „so könnte etwa der ein­ge­stellte DNS-Server geändert werden, was dazu führen kann, dass der Daten­verkehr umge­leitet wird.“.

Abhän­gig­keiten begrenzen den Nutzen von Sicher­heits­maß­nahmen

Bei allen Emp­feh­lungen geht es zunächst darum, das Ein­nisten von Spionage-Pro­­­grammen auf einem End­gerät zu ver­hindern – oft ist nach einem Befall eine voll­ständige Berei­nigung nicht möglich, da es einfach zu viele und hoch­wertige neue Schäd­linge gibt. Eine sichere, ver­schlüs­selte Ver­bindung soll ver­hindern, dass nicht nur NSA oder GHCQ am Mit­lesen von Login-Daten gehindert werden, sondern auch Ersteller der Schad­software. Die Emp­feh­lungen, eine gut kon­fi­gu­rierte Firewall ein­zu­setzen, sollen, falls doch ein Befall statt­ge­funden hat, zumindest ver­hindern, dass die Software Kontakt zu seinen Herren auf­nimmt; dies ist aller­dings mit regel­mä­ßigem Aufwand ver­bunden.

Wer im Zuge des erneuten Daten­klaus sein(e) Passwort(e) ändern muss, sollte daher aus gutem Grund beachten, dass dies völlig umsonst ist, wenn bereits Spio­na­gesoftware an einer geeig­neten Stelle im eigenen Netz­werk­in­stal­liert ist – Sniffer können bei­spiels­weise die kom­plette Kom­mu­ni­kation im Netzwerk mit­lesen.

Zur Qua­lität von und dem Schutz durch Pass­wörter

Jeder kennt die gebets­müh­len­artig vor­ge­tra­genen Grund­sätze für Pass­wörter: Groß- und Klein­schreibung, Son­der­zeichen, Zahlen – und zusammen min­destens 8 Zeichen! (Wie oben bereits erwähnt, unter­scheidet WinXP stan­dard­mäßig nicht zwi­schen Groß- und Klein­schreibung.)

So weit, so gut! Bitte passen Sie jedoch auf, dass niemand ein solches – wenn auch ver­schlüsselt abge­legtes – Passwort in die Finger bekommt. Dass sich also niemand bei­spiels­weise die lokale SAM (hier werden die Pass­wörter des Betriebs­systems abgelegt) oder Cookies kopiert („Ein­ge­loggt bleiben“ bei sozialen Medien) etc. Warum? Ein Exkurs in die nahe Ver­gan­genheit:

2012 ist für die Mög­lich­keiten der IT schon ver­dammt lange her. Ein so genannter „Sicher­heits­for­scher“ hatte damals eine Maschine (Cluster)  zusam­men­gebaut die lediglich aus 5 Servern und 14 Gra­fik­karten bestand.
Ergebnis: „Spit­zen­werte erreichte Gosney bei den LM- und NTLM-Hashes, welche […] alte Windows-Ver­­­sionen zur Authen­ti­fi­zierung ver­wenden und aus Gründen der Abwärts­kom­pa­ti­bi­lität auch von Windows 8 und Windows Server 2012 unter­stützt werden. Bei 348 Mil­li­arden NTLM-Kom­­bi­­na­­tionen pro Sekunde ist ein acht Zeichen langes Passwort somit in weniger als 6 Stunden geknackt. Bei dem schwä­cheren LM-Hashes aus Windows-NT-Zeiten sind es bei 20 Mil­li­arden Kom­bi­na­tionen pro Sekunde gerade einmal 6 Minuten für ein starkes Passwort mit 14 Zeichen Länge.“.
 
Also: Finger weg vom bequemen „ange­meldet bleiben“ oder „Kennwort spei­chern“.

Aus­blick: es bleibt ungewiss…

Nach Mel­dungen über soge­nannte Sicher­heits­for­scher und auf IT-Sicherheit spe­zia­li­sierte Unter­nehmen, die Sicher­heits­lücken an den Meist­bie­tenden ver­kaufen, finde ich es auch inter­essant, dass laut heise.de beim Wett­bewerb für das sichere Spei­chern von Pass­wörtern „einige der kon­kur­rie­renden Methoden von bekannten Password-Cra­­ckern ent­wi­ckelt wurden.“.

Wenig hilf­reich für Unter­nehmen sind auch Bestre­bungen von Geheim­diensten, bereits auf Chip- und Software-Her­steller ein­zu­wirken, so dass letztlich jeder PC und jedes IT-System kom­pro­mit­tiert werden kann. Doch leider dies ist keine Gedan­ken­blase aus der heu­tigen Zeit.

Fazit:
 
Sicherheit steht  immer nur für den Aufwand, den jemand treiben muss, um an ein Geheimnis zu gelangen – absolute Sicherheit gibt es nicht. Auch wer nichts zu ver­bergen hat, sollte sich selbst zumindest vor den recht­lichen Folgen einer nicht nach­weis­baren feind­lichen Über­nahme der eigenen Iden­tität schützen. Unwis­senheit schützt vor Strafe nicht.

Es lohnt sich daher immer, für Schüt­zens­wertes Aufwand zu betreiben – aller­dings muss der Aufwand in einem ver­nünf­tigen Ver­hältnis zur Schutz­wür­digkeit stehen. Ich für meinen Teil möchte nach der gericht­lichen Posse um angeb­liche Por­no­down­loads nicht gezwungen sein, einem Gericht meine Unschuld beweisen zu müssen, falls eine meiner digi­talen Iden­ti­täten miss­braucht wird.

Wer in seiner Kern­kom­petenz weit von der Admi­nis­tration eines IT-Systems weg ist, für den ist es gerade in der Zeit, in der ver­netzte Systeme autonom kom­mu­ni­zieren (vgl. Smart-Home, Kfz. etc.), kos­ten­güns­tiger einen Spe­zia­listen zu beauf­tragen.

Innerhalb einer „sicheren Umgebung“ stellen Besitz­kom­po­nenten mit Pass­wort­speicher eine ebenso kom­for­table wie sichere Lösung dar. Zum einen ist es dann nicht mehr erfor­derlich, sich alle unter­schied­lichen Zugangs­ken­nungen zu merken, da selbst gute Pass­wörter bequem und sicher auf­be­wahrt und bedarfs­ori­en­tiert abge­rufen werden können.

Zum anderen ist für einen Unbe­rech­tigten der Zugang nicht möglich ohne eine Hardware-Besit­z­­kom­­po­­nente – selbst wenn er die Login-Daten wie Benut­­zer­­na­­me/E‑Mail-Adresse und Passwort kennt.

Bild: © fotomek / Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.