zurück zur Übersicht

25.
Februar
2019

Was IT-Sicherheit und sinnlose Passwörter verbindet…

Jeder von uns kennt es. Man möchte nur kurz etwas im Internet bestellen und schon ist die nächste Account-Registrierung erforderlich. Also schnell den Namen Ihres Hundes (Ihr Lieblings-Passwort) in die Anmeldemaske gesetzt und weiter geht’s…

Stopp! Diese Bequemlichkeit sollten Sie sich nicht (mehr) leisten.

Passwörter sind die gängigste Methode zur Authentifizierung im Internet und damit auch regelmäßig das Ziel von Angreifern. Da zwischen einem Angreifer und seinem unbefugten Zugriff auf Ihren Account häufig auch nicht mehr als ein Passwort steht, sollten Sie dieses dementsprechend mit Bedacht wählen. Denn immerhin beinhalten Ihre Online Accounts gegebenenfalls auch Daten zu Ihren Zahlungsverbindungen oder anderen vertraulichen Daten. Ihre Haustüre lassen Sie ja schließlich auch nicht offenstehen, wenn Sie Ihr Haus verlassen…

Wenn Sie Unternehmer sind, wird diese Thematik für Sie noch brisanter, denn Passwörter sichern dann gegebenenfalls auch den Zugriff auf Ihre Firmeninterna und werden nicht nur von Ihnen, sondern darüber hinaus auch von Ihren Mitarbeitern eingesetzt. Es macht deshalb durchaus Sinn, sich mit einer (sinnvollen) Richtlinie für die Vergabe (bestenfalls sinnloser) Passwörter auseinander zu setzen. Was sich hinter dieser kryptischen Aussage verbirgt, möchte ich nachfolgend für Sie kurz anreißen.

Angreifer haben einfach gesprochen zwei Möglichkeiten, um ein Passwort zu kompromittieren. Entweder sie erlangen das Passwort durch blindes „ausprobieren“ oder sie erfahren das Passwort oder stichhaltige Hinweise darauf von Ihnen selbst.

Variante 1 nennt man in der IT-Sicherheit „brute force“ Angriff. Einem solchen Angriff können Sie entgegenwirken, indem Sie Passwörtern nutzen, die nicht in Wörterbüchern zu finden sind. Mit anderen Worten: Je sinnfreier, desto besser! Denn „brute force“ Angriffe werden heutzutage häufig von Programmen ausgeführt, die Listen mit gängigen Passwörtern und Passwortbestandteilen durchgehen und diverse Kombinationen ausprobieren. Das Passwort „Malle2018“ ist in einer solchen Liste mit höherer Wahrscheinlichkeit zu finden als das Passwort „sd546!?pg_fnyd47fig4kjnd!“. Ein Mehr an Sicherheit können Sie auch durch eine einfache technische Maßnahme erreichen. Lässt die Passwortabfrage unzählige fehlgeschlagene Login-Versuche zu, können Angreifer aufgrund heutiger Rechnerkapazitäten unglaublich viele Kombinationen in sehr kurzer Zeit ausprobieren. Sperrt sich der Login aber nach 3 fehlgeschlagenen Versuchen für einen Zeitraum von nur 5 Minuten, verringert sich die Anzahl möglicher Kombinationen bereits enorm. Wenn Ihr System bei einer auffällig hohen Quote fehlgeschlagener Logins sogar Alarm schlägt und Sie bzw. den IT-Verantwortlichen Ihres Unternehmens benachrichtigt, ist Ihr Schutz gegen „brute force“ Angriffe noch effektiver.

Variante 2 findet ihr Grundprinzip im „social engineering“ und stellt darauf ab, dass das schwächste Glied einer IT-Sicherheitsstruktur vor dem Bildschirm sitzt. Menschen sind Gewohnheitstiere und verwenden daher oft und gerne Passwörter, die sie sich aufgrund ihres sozialen Umfeldes besser merken können. Klassiker sind Namen von nahestehenden Personen, Haustieren, Orten etc. Die Kombination mit Geburtsdaten oder dem Hochzeitstag ist ebenfalls sehr beliebt. Kann man sich doch so die Illusion der Sicherheit wahren („ich habe ja immerhin Buchstaben und Zahlen verwendet“). Machen Sie sich insoweit bitte nichts vor. Derartige Informationen lassen sich in der heutigen Zeit schnell und einfach über Social-Media Accounts herausfinden. Haben es Angreifer erst einmal auf Sie abgesehen, müssen Sie auch damit rechnen, dass sie sich solcher Recherchetools bedienen. Denn auch in diesem Tätigkeitsfeld lässt sich eine zunehmende Professionalisierung der Akteure leider nicht verleugnen.

Was also tun? Einen inhaltlich guten und schön strukturierten Leitfaden zum Umgang mit Passwörtern hat vor Kurzem die Pressestelle des Landesbeauftragten für Datenschutz und Informationsfreiheit des Landes Baden-Württemberg veröffentlicht. Diesen können Sie unter https://www.baden-wuerttemberg.datenschutz.de/hinweise-zum-umgang-mit-passwoertern/ einsehen (Lektüre empfohlen). Auch IT-ler und Entwickler erhalten in dem Beitrag sinnvolle Tipps zu technischen Aspekten der Passwortsicherheit.

Sollten Sie sich als Unternehmer mit dem Umgang mit Passwörtern in Ihrem Unternehmen (bspw. im Rahmen eines IT-Sicherheitskonzeptes) auseinandersetzen, kann es sich anbieten, eine entsprechende Unternehmensrichtlinie abzufassen. In einer solchen Richtlinie können Sie bei Bedarf auch andere regelungsbedürftige Punkte wie z.B. den Umgang mit dienstlichen E-Mail Accounts, dem Internetzugang in ihrem Unternehmen (möglicherweise auch zur Privatnutzung) oder dem Umgang mit dienstlichen Notebooks und Handys aufgreifen. Das Buzzword BYOD („Bring Your Own Device“) gehört ebenfalls hierhin. Das dahinterstehende Konzept sollte aus mehreren juristischen Gründen sinnvoll geregelt werden – hierzu ggf. in einem späteren Beitrag. Wenn Sie bei der Formulierung derartiger Dokumente auf unsere Unterstützung zurückgreifen möchten, stehen wir Ihnen gerne zur Verfügung.

Kommentar schreiben

Kategorien

Autor

Jonas Puchelt
Rechtsanwalt
Alle Artikel vom Autor