Gut aufgestellt im Baubetrieb - Baublog

Einfach zu merken, leicht zu knacken – Warum bei der Passwort-Sicherheit Nachholbedarf herrscht

Geschrieben von Waldemar Kühn | 30.06.16 06:51

Die Deutsche Telekom hat diese Woche alle T-Online-Kunden aufgerufen, ihre Passwörter zu ändern. Zehntausende Login-Daten sollen geknackt und in Untergrund-Foren angeboten worden sein. Neben T-Online-Nutzern sollen auch Kundendaten anderer Unternehmen aufgetaucht sein. Höchste Zeit also seine Passwörter zu erneuern und – wenn noch nicht geschehen – sicher zu machen.

Je einfacher, desto beliebter…. und gefährlich

Den Namen des Haustieres, den Geburtstag oder eine einfache Tastenfolge – das sind die beliebtesten Passwörter der Deutschen. Das ergab eine repräsentative Umfrage der Convios Consulting GmbH, nach der fast die Hälfte der Deutschen so verfährt.

Verständlich: Die Zahl der registrierungspflich-
tigen Dienste hat in den vergangenen Jahren stark zugenommen. Computer, Smartphone, E-Mail-Account, zahlreiche Online-Dienste… Fast überall wird ein Passwort benötigt. Mit dieser großen Menge an Passwörtern – sechs bis acht sind ganz normal – sind viele überfordert. Die Konsequenz: Es werden einfache, leicht zu merkende Passwörter verwendet. Das ist zwar nachvollziehbar, aber auch gefährlich. Denn das, was sich der Nutzer leicht merken kann, ist für Kriminelle genauso leicht zu knacken. Darum lassen Sie Ihre Passwörter nicht ungeschützt und für jeden gut sichtbar herumliegen.

 

Sicherheitslücke Mensch wird unterschätzt

Ist das Passwort erst einmal in fremde Hände geraten, lässt sich damit allerlei Schindluder betreiben. Je nach geknacktem Konto kann der Hacker auf Kosten seines Opfers einkaufen, hat Einblick in dessen E-Mail-Postfach, kann E-Mails mit (virenverseuchten) Anhängen verschicken, Dateien kopieren, löschen und veröffentlichen usw.

Die Praxis zeigt leider, dass die Sicherheitslücke Mensch von den Unternehmen kolossal unterschätzt wird. Technisch sind die Unternehmen oft gut gerüstet. Sie verfügen über Firewall, Anti-Malware-Tools und andere Sicherheits-Systeme, mit denen sich Eindringlinge abwehren lassen. Organisatorisch hingegen herrscht großer Nachholbedarf. Da wird als Passwort das Wort „Geheim“ oder der Name der Ehefrau verwendet oder aber das Admin-Passwort – das vorbildlich alle Kriterien für ein sicheres Passwort erfüllt – klebt für jeden gut sichtbar auf einem Post-It am Bildschirm. Und das sind alles keine Einzelfälle.

Viele Passwörter sind innerhalb von Sekunden geknackt

Um zu prüfen, wie sicher ein Passwort ist, gibt es Tools, mit denen sich ein Angriff simulieren lässt. Und die Ergebnisse sind erschreckend: Echte Wörter, wie Vornamen, Städtenamen, Verben usw. werden binnen Sekunden entschlüsselt; für die Kombination aus Buchstaben und Zahlen benötigt das System zwar etwas mehr Zeit, aber nach maximal 5 Minuten ist auch hier das Passwort identifiziert.

Kryptische Kennwörter hingegen, aus einer wahllosen Kombination von Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen halten dem Passwort-Knacker stand. Der Grund: Die Hacker nutzen Systeme, die automatisiert pro Sekunde mehrere tausend Wörter, Zeichen sowie Kombinationen daraus bilden und testen.

Je kürzer, einfacher und “echter” das Passwort, umso leichter wird es geknackt. Somit ist jedes Wort, das sich im Wörterbuch findet, früher oder später enträtselt und bietet somit keinen Schutz. Aber auch sicher wirkende Wörter wie das gerne genutzte “qwertz” (weil die Buchstaben, um es zu bilden, auf der Tastatur nebeneinander liegen), oder Wörter, in denen Buchstaben durch ähnlich aussehende Zahlen oder Sonderzeichen ersetzt werden, beispielsweise “Fu22b@ll” sind unter Hackern längst bekannt.

Wer wechselscheu ist, riskiert viel

Dabei sind es nicht nur die einfachen Passwörter, die man tunlichst vermeiden sollte. Auch der universelle Einsatz ist riskant. Häufig verfügen Nutzer über nur ein einziges Passwort für alle Konten – gewechselt wird dieses nur selten, wenn überhaupt. Gerne nehmen sich Cyber-Kriminelle schlecht gesicherte Server vor, beispielsweise von Foren. Aber auch die großen Online-Dienste, die prinzipiell gut gesichert sind, werden gerne für Phishing-Attacken (der Versuch über gefälschte Webseiten an persönliche Daten des Nutzers zu gelangen) missbraucht.

Kommt ein universelles Passwort zum Einsatz, haben die Kriminellen leichtes Spiel. Es muss nur ein Konto geknackt werden und schon hat man Zugang zu allen anderen Konten – man verliert quasi den Generalschlüssel für seine Daten.

Wie sieht ein sicheres Passwort aus? Und wie kann man es sich merken?

Am sichersten sind Passwörter dann, wenn sie nicht zu kurz sind, in keinem Wörterbuch stehen, neben Buchstaben auch Ziffern und Sonderzeichen enthalten, nur ein Mal verwendet und in regelmäßigen Abständen erneuert werden.

Aber wie kommt man nun zu solch einem sicheren Passwort und v.a. wie kann man es sich dennoch gut merken? Hier gibt es eine einfache Eselsbrücke. Man denkt sich einen Satz aus und nimmt daraus die Anfangsbuchstaben, wie z.B. “Meine Schwester wurde 1970 geboren!”. Daraus lässt sich das Passwort “MSw1970g!” bilden.

Um sich nun nicht für jeden Dienst einen neuen Satz ausdenken zu müssen, macht es Sinn ein Grundpasswort zu verwenden und dieses für jeden Dienst anzupassen. So könnte das Grundpasswort MSw1970g! an einer bestimmten Position, zum Beispiel nach der Zahl, um Zusätze ergänzt werden: beispielsweise um den Zusatz –ws für die Anmeldung am Windows-PC, für Outlook um den Zusatz -ok und für Facebook um den Zusatz –fk, so dass folgende Passwörter entstehen:

MSw1970-ws-g! 
MSw1970-ok-g!
MSw1970g-fk-g!

Im Test wurde für das Passwort MSw1970g! ein Entschlüsselungs-Zeitraum von 7 Monaten berechnet. Für das Passwort MSw1970-ws-g! würden Hacker Jahrhunderte benötigen.

Organisierte Kriminalität kann jeden treffen

Egal ob kleines Unternehmen oder großer Konzern – jeder, der einen Zugang zum Internet hat, kann Opfer von Online-Kriminellen werden. Der Umgang mit Passwörtern zeigt, dass der Faktor Mensch eine große Sicherheitslücke darstellt. Die beste Technik bietet keinen Schutz, wenn die Mitarbeiter nicht wissen, wie sie sich verhalten müssen. Unwissenheit, Unsicherheit, Nachlässigkeit oder Bequemlichkeit der Anwender führen oft zu Angriffen, die sich leicht hätten abwenden lassen können.

Dabei ist die Verwendung sicherer Passwörter nur ein kleiner Baustein. Ebenso wichtig ist der gewissenhafte Umgang mit E-Mails, Anhängen, externen Speichermedien usw.

Empfehlung: Stellen Sie sicher, dass Ihr Betrieb organisatorisch und 
technisch immer auf dem aktuellsten Sicherheitsstand ist.
Und ganz wichtig: Sensibilisieren und schulen Sie Ihre Belegschaft zu
IT-Sicherheit. Kein Betrieb kann es sich mehr leisten,
arglos und untätig zu bleiben.

Schützen Sie Ihr Unternehmen!