Ein sicheres Passwort ist einmalig und steht nie alleine da

Was ist denn nun ein sicheres Passwort, wie kann ich meine Daten zusätzlich sichern und was ist, wenn trotzdem mal was schief läuft? Dazu haben wir uns Expertenwissen geholt.

Stefan Friedli, scip AG (Bild: Ignite Zurich)

Im letzten Artikel habe ich beschrieben, dass die Verantwortung für die Sicherheit von Unternehmensdaten oft ungerecht verteilt ist: Warum Informationssicherheit nicht (nur) das Bier der IT ist.

Für konkretere Hinweise dazu, wie damit umzugehen ist, habe ich mir Verstärkung geholt in Form eines Spezialisten: Stefan Friedli von der scip AG in Zürich.

Disclaimer: Ja, der heisst so wie ich, weil er mein Bruder ist. Da auch die Kolleginnen und Kollegen von SRF, watson oder 20minuten immer mal wieder bei ihm anrufen, wenn sie was zum Thema wissen wollten, erlaube ich mir das Family-Placement an dieser Stelle.

 

 

 

Dieser Artikel wurde am 9. Februar 2017 bei tinkla.com erstmals publiziert. 

 

Stefan, wenn du den Leserinnen und Lesern nur einen einzigen Satz zum Thema Passwortsicherheit mitgeben könntest, welcher wäre das?
Ein eigenes, starkes Passwort für jede Plattform ist die halbe Miete.

Die Anwender sind nicht das Problem – Passwörter sind einfach kein besonders gutes System zur Authentisierung.

Welche «Sünden» oder Versäumnisse begegnen dir denn in der Praxis am häufigsten?
Die Anführungszeichen stehen genau richtig. Das Hauptproblem sind nämlich gar nicht die Anwender, die sich mit Passwörtern herumschlagen müssen.

Sondern?
Passwörter sind von Nahem betrachtet einfach kein gutes System zur Authentisierung. Auf der einen Seite stehen hohe Anforderungen an ein technisch gesehen sicheres Passwort, auf der anderen Seite die Erwartung an den Anwender, dieses effizient zu verwenden. Als Beispiel:  “!mgTdGA7*s@e” versus “Roland1982!” – beide Kombinationen enthalten Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen; Kriterien, die gemeinhin als Qualitätsmerkmale für ein Passwort gelten. Die zweite Zeichenfolge ist natürlich deutlich einfacher greifbar, kann jedoch auch erraten werden. Sie ist deshalb weniger sicher als die erste Variante, die Roland sich aber nicht merken kann.

Das zweite Problem mit Passwörtern ist: Wenn wir uns ein starkes Passwort merken können, verwenden wir es gerne mehrmals. Das ist vermutlich der allergrösste Fehler im Umgang mit Passwörtern überhaupt. Auch das stärkste Passwort ist nichts mehr Wert, wenn es in die falschen Hände gerät und Zugang zu zehn oder mehr anderen Diensten des Benutzers gewährt. Solche Vorfälle gab es in letzter Zeit ja mehrere, zum Beispiel bei Dropbox oder Yahoo.

Für uns als Benutzerin oder Benutzer heisst das also, dass wir uns mindestens ein gutes Dutzend komplexer Zeichenfolgen dauerhaft merken müssen. Und das ist natürlich unrealistisch.

Dasselbe Passwort für verschiedene Konten zu verwenden, ist ein Kardinalfehler im Umgang mit Passwörtern.

Welche meiner Passwörter müssen denn besonders stark sein?
Die einfache Antwort lautet: alle. Das funktioniert aber nicht, wenn man seine Logins manuell handhabt. Stelle dir also folgende Fragen: Was passiert, wenn jemand Zugang zu diesem Konto erlangt? Gewisse Anwendungen, zum Beispiel Gmail, fallen dann sofort als heikel auf: Hat jemand Zugriff auf einen Google Account, liest er nicht nur E-Mails und hat Zugriff auf zahlreiche andere Produkte der Google Palette – er übernimmt gerne gleich mal noch andere Dienste wie zum Beispiel Facebook, und zwar mittels der «Passwort vergessen»-Funktion. Das heisst: Bei wichtigen Zugängen geht Sicherheit auf jeden Fall vor Bequemlichkeit, sonst kann das ins Auge gehen.

Gibt es technische Hilfsmittel, die man einsetzen kann?
Passwortmanager wie LastPass, 1Password oder KeePass sind eine wertvolle Unterstützung, um die Flut an Passwörtern zu meistern. Das Konzept ist simpel: Das Programm speichert die Passwörter verschlüsselt mit einem Master-Passwort. Bei Bedarf wird dann das jeweilige Passwort einfach aus dem Container abgerufen und eingefüllt. Das ist etwas gewöhnungsbedürftig, aber es löst das Problem der vielen unterschiedlichen, komplexen Passwörter. Solche kann man übrigens auch direkt über die Tools generieren, was auch sehr praktisch ist.

Zwei-Faktor-Authentisierung ist eines der besten Mittel, um Benutzerzugänge effektiv zu sichern.

Generell empfehle ich aber, wo immer möglich auf Zwei-Faktor Authentisierung zu setzen – sei es nun als zusätzliche Massnahme oder als Alternative zum Passwortmanager. Das Prinzip kennst du bereits aus dem E-Banking: Nebst dem Passwort wird ein weiteres Identifizierungsmerkmal benötigt. Das kann zum Beispiel ein Einmalpasswort mit begrenzter Lebenszeit sein, das von einer App generiert wird. So kann selbst bei einem Passwortverlust nicht von Dritten auf eine Anwendung zugegriffen werden. Grosse Plattformen wie Google oder Slack bieten die Funktion mittlerweile breitflächig an.

Wie erkenne ich, dass jemand Unbefugtes sich Zugriff zu einem meiner Konten verschafft hat?
Die Anzeichen variieren von Dienst zu Dienst, es ist nicht immer ganz einfach. Manche Plattformen erlauben es zum einen, einzusehen, welche Sitzungen aktiv sind. Mit etwas technischem Verständnis kann man hier fremde Clients erkennen und per Mausklick terminieren. Bei Google Mail zum Beispiel findet sich der Link zu diesem Statusfenster ganz rechts unten (Last Account Activity).

Eine nützliche Funktion, die mittlerweile weit verbreitet ist, sind die sogenannten Login Notifications per E-Mail. Hier wird bei jedem Login eine Benachrichtigung per E-Mail ausgelöst, auf die man dann entsprechend reagieren kann.

Und was kann ich dann tun?
In der Regel ist der wichtigste und deshalb erste Schritt ist in der Regel, den Missbrauch möglichst zeitnah einzuschränken. Das bedeutet: Sofort das Passwort ändern, aber auch der Rest der Profildaten überprüfen. Wurden vom Eindringling Sicherheitsfragen geändert oder eine neue Telefonnummer zum Zurücksetzen des Accounts eingetragen? Beides sind klassische Wege, wie sich Angreifer Hintertüren zum Account offen lassen können. Und natürlich solltest du dir einen Überblick verschaffen, ob über diesen einen Zugang allenfalls Zugänge zu anderen Plattformen bearbeitet wurden. Falls seltsame Vorgänge auf einem deiner Konten irgendwie im Zusammenhang mit deinem Arbeitgeber stehen können, solltest du das ausserdem umgehend melden.

Nachdem die unmittelbare Bedrohung unschädlich gemacht wurde, kann man grundsätzlich Mittel der Strafverfolgung beanspruchen. Die Erfolgschancen sind jedoch in der Regel sehr bescheiden.

 

Kategorien: Web

Leave a Reply

Your email address will not be published.

sieben − 2 =