DsiN-Blog

Der IT-Sicher­heitsblog für den Mit­tel­stand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abon­nieren:

Secu­re­Au­toType: Passwort-Manager neu gedacht

Sicherheit im Umgang mit Pass­wörtern ist wich­tiger denn je. Wer sich und seine Pass­wörter nicht schützt, spielt immer mit der Gefahr Ziel von Daten­dieben, Spyware, oder Phishing zu werden. Doch der richtige Umgang mit Pass­wörtern ist durch die Fülle an Infor­ma­tionen in Foren, Blogs, oder Zeit­schriften für den Ein­zelnen kaum zu durch­schauen.

Die kürzlich von Iulia Ion, Rob Reeder und Sunny Con­solvo (Google Inc.), ver­öf­fent­lichte Studie “…no one can hack my mind: Com­paring Expert and Non-Expert Security Prac­tices hat nun ver­glichen, welche Sicher­heits­maß­nahmen für IT-Sicher­heits­­ex­perten und Nicht-Experten am wich­tigsten sind.

Inter­essant bei der Studie ist, dass beide Gruppen unter­schied­liche Her­an­ge­hens­weisen an IT-Sicherheit haben, sich aber dennoch einig sind, dass Pass­wörter die wich­tigste Rolle spielen um sich zu schützen. Fünf der zehn meist­ge­nannten Tipps der beiden Gruppe, beziehen sich auf den rich­tigen Umgang mit Pass­wörtern. Für IT-Sicher­heits­­ex­perten hat die Instal­lation von Soft­ware­up­dates die höchste Prio­rität. Gefolgt von jeweils ein­ma­ligen Pass­wörtern für jede Anmeldung, der Zwei-Faktor-Authen­­ti­­sierung, Nutzung starker Pass­wörter und vor allem die Nutzung von Pass­wort­ma­nagern. Für Nicht-Experten haben Anti­viren-Software und die Nutzung starker Pass­wörter höchste Prio­rität, danach folgen Pass­wörter regel­mäßig zu ändern, nur bekannte Web­sites zu besuchen und per­sön­liche Infor­ma­tionen nicht preis­zu­geben.

Am auf­fäl­ligsten ist aber, dass nur 24% der Nicht-Experten Passwort-Manager benutzen. Bei den Experten sind es jedoch 73%. Der Haupt­grund ist, dass viele der Nicht-Experten diese schlichtweg nicht kennen. Weitere Punkte sind, das feh­lende Wissen über die Sicherheit dieser Systeme, Angst vor Daten­verlust wenn alle Pass­wörter eines Benutzers an einem Ort abge­spei­chert sind und die schlechte Anwen­der­freund­lichkeit bestehender Systeme.                               

Doch was sind Passwort-Manager genau? Ein Passwort-Manager ist eine spe­zielle Software, die vor allem Pass­wörter für ver­schiedene Anwen­dungen in einem ver­schlüs­selten Con­tainer sichert. Der Anwender muss nur noch ein ein­ziges Passwort im Kopf haben: das Mas­ter­passwort zum Passwort-Manager. Das macht es kom­for­tabler, sichere Kenn­wörter ein­zu­setzen. Denn durch die Software muss man sich keine langen und  kom­pli­zierte Pass­wörter merken. Ein guter Pass­wort­ma­nager ist jedoch nicht nur für die Ver­waltung von Zugangs­daten zuständig. Er kann außerdem für jeden Zweck neue starke Pass­wörter, also eine zufällige Kom­bi­nation aus Buch­staben, Zahlen und Son­der­zeichen, gene­rieren.

Welche unter­schied­lichen Passwort-Manager-Systeme gibt es? Zum einen gibt es Offline-Passwort-Manager wie KeePass. Diese spei­chern die Pass­wörter in einem ver­schlüs­selten Con­tainer auf der eigenen Fest­platte. In diesem ver­schlüs­selten Con­tainer wird eine Datenbank angelegt, in die alle Zugangs­daten und Pass­wörter ein­ge­tragen werden. Der Nachteil von KeePass und anderen Offline-Lösungen ist, dass die Datenbank nicht so einfach über mehrere Geräte hinweg syn­chro­ni­siert werden kann. Wer gleich­zeitig Desktop-Rechner, Laptops oder Smart­phones nutzt, muss darauf achten, dass die jewei­ligen Ände­rungen auf alle Geräten über­tragen werden.                                                                        

Zum anderen gibt es die web­ba­sierten Passwort-Manager wie z.B. LastPass. Dieser ist im Gegensatz zu KeePass kom­plett web­ba­siert. Die Ver­waltung erfolgt über ein Browser-Addon, das sämt­liche Pass­wörter in einem ver­schlüs­selten Con­tainer auf den Servern des Unter­nehmens spei­chert. Die Pass­wörter werden dabei zuerst auf dem lokalen Nutzer-PC ver­schlüsselt und dann online gesi­chert. Bei Pass­wort­diensten wie LastPass kann der Nutzer mit wenigen Klicks über mehrere Geräte und Platt­formen hinweg auf Pass­wörter zugreifen. Der Nachteil ist jedoch, dass die Pass­wörter von der Ver­füg­barkeit und Sicherheit eines Dritten abhängig sind.

Passwort-Manager dienen den Anwendern ent­weder als Erin­ne­rungs­stütze, das heißt sie haben ihre Pass­wörter darin abge­spei­chert und schauen nur rein, wenn sie ein Passwort ver­gessen haben, oder als zen­traler Ort aus dem die Pass­wörter bei Bedarf in einen Anmel­de­dialog kopiert werden. Das Haupt­problem der gän­gigen Passwort-Manager ist, dass man sie nicht zur Anmeldung an Betriebs­sys­temen nutzen kann, da man zur Nutzung bereits am PC ange­meldet sein muss. Nutzt man um diesem Problem zu ent­gehen mehrere Geräte, bleibt den Anwender nichts anderes übrig, als sich das Passwort an einem Gerät anzeigen zu lassen und das Passwort manuell in den Anmel­de­dialog ein­zu­tippen. Dies ist nicht nur sehr unkom­for­tabel, sondern stellt auch eine große Sicher­heits­lücke dar, da Fremde das Passwort in Klartext sehen könnten. 

Lösung “Secu­re­Au­toType” des Fraun­hofer Instituts für Optronik, Sys­tem­technik und Bild­aus­wertung IOSB

Secu­re­Au­toType ist ein spe­zi­eller Passwort-Manager, der aus zwei Kom­po­nenten besteht. Die Erste ist eine App für mobile End­geräte wie Smart­phone oder Tablets. Diese App zeichnet sich durch ihre besonders benut­zer­freund­liche Ober­fläche und einfach Bedienung aus. Mit ihr können bestehende Pass­wörter einfach impor­tiert und ver­waltet werden.  Die zweite Kom­po­nente ist ein Hardware-Adapter, der sich wie ein USB-Stick an jedem PC stecken lässt und dort als USB-Tas­­tatur erkannt wird. Dies ermög­licht, dass die Pass­wörter direkt in die Anwendung ein­ge­tippt werden und der PC keinen Unter­schied zwi­schen Secu­re­Au­toType und einer manu­ellen Eingabe über eine Tas­tatur erkennt. Es werden weder spe­zielle Treiber noch Software auf dem PC benötigt.

Secu­re­Au­toType ist außerdem sehr sicher. Nur der Hard­ware­ad­apter kann Pass­wörter ent­schlüsseln, auf das Smart­phone werden nur ver­schlüs­selte Daten ver­ar­beitet. Somit würde auch ein erfolg­reicher Hacker­an­griff und Dieb­stahl der Datenbank vom Smart­phone fol­genlos bleiben.

Möchte sich der Benutzer an einem PC anmelden, steckt er den Hardware-Adapter in den Com­puter ein und wählt in der App die ent­spre­chenden Anmel­de­daten aus, die immer noch ver­schlüsselt per Blue­tooth an den Hardware-Adapter gesendet werden. Der Hardware-Adapter emp­fängt die Anmel­de­daten, ent­schlüsselt sie und sendet dann Benut­zername und Passwort als Tas­ta­tur­be­fehle an den PC. Das Secu­re­Au­toType vereint somit die sichere Ver­waltung und anwen­der­freund­liche Eingabe von Pass­wörtern in einer Lösung.

Ein Kommentar zu SecureAutoType: Passwort-Manager neu gedacht

  • J. Krünholz sagt:

    Tolle Geschichte — nur leider null Info, wo man Secu­re­Au­toType “bestellen” kann. 🙁
    Mit der Bitte um mehr Info.
    Freundl. Gruß
    J. Krünholz

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Erik Krempel, Fraun­hofer IOSB

Erik Krempel stu­dierte Infor­matik am Karls­ruher Institut für Tech­no­logie und arbeitet seit 2011 für das Fraun­hofer IOSB. Im Frühjahr 2013 hat er die Leitung der Gruppe Iden­ti­täts­schutz und –management über­nommen. Seine wis­sen­schaft­lichen Arbeiten befassen sich mit Daten­schutz- und IT-Sicher­heits-Engi­neering. Die For­schungs­gruppe um Herr Krempel beschäftigt sich mit Daten­schutz­ana­lysen für kom­plexe IT-Systeme, Nut­zungs­kon­trolle digi­taler Güter und Infor­ma­ti­ons­fluss­kon­trolle für per­sön­liche Daten. Ganz beson­deres Augenmerk hat dabei immer die Fragen, wie Sicher­heits­kon­zepte auf eine benut­zer­freund­liche Art und Weise in ein Produkt inte­griert werden können, um die Anwender bei ihrer täg­lichen Arbeit zu unter­stützen.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mit­tel­stand.