Collection#1 – Überdeutliches Signal für mehr Umsicht

Dr. Hans-Joachim Popp, stellv. Vorsitzender des VOICE-Präsidiums  zu den gestohlenen E-Mail-Adressen und Passworten

Foto: Iris Maurer, www.silbersalz.com

Die fast 800 Millionen E-Mail-Adressen und Passwörter, die letzte Woche aufgetaucht sind, bedeuten nicht das Ende der Fahnenstange. Es werden wohl noch mehr ausgespähte Zugangsdaten veröffentlicht. Solche Dinge lassen sich wahrscheinlich nie ganz verhindern, aber sie lassen sich eindämmen – wenn Nutzer etwas umsichtiger wären und Anbieter mehr in stärkere Systemkonfigurationen und User-Policies investieren würden.

Natürlich kann man triviale Passwörter leicht erraten und jeder von uns hat da ganz sicher seine Leichen im Keller aber auch ein gutes Passwort reicht ja nicht, wenn der Anbieter der Online-Plattform seine Hausaufgaben nicht macht. Denn es gelingt immer wieder, Passwörter per “Brute-Force”-Angriff dennoch zu knacken. Dazu benötigt der Angreifer Zugriff auf den Hashwert in der User-Datenbank! Den bekommt er wiederum nur, wenn der Anbieter des betreffenden Dienstes sie sich – z.B. aufgrund einer entsprechend schwachen Systemkonfiguration – stehlen lässt. Auch für härtere Passwörter kann der Anbieter etwas tun, indem er triviale oder “Fortsetzungspasswörter” ausschließt.

Bequemlichkeit und Sicherheit kommen aber erst zusammen, wenn zur Identifikation flächendeckend PKI-Tokens benutzt werden, z.B. – ja richtig geraten – die ohnehin vorhandene eID unseres Personalausweises. Den Ausweis hat jeder bei sich (schon um jederzeit in einen Billigflieger steigen zu können) und merken muss man sich nur noch eine PIN, mit der niemand etwas anfangen kann, der nicht auch den Ausweis hat. Den Leser gibt es für kleines Geld im online-Shop.

Bleibt zu hoffen, dass wir in der Etablierung solcher Mechanismen schneller vorangekommen, sonst werden viele sehr bequeme Dienste keine Akzeptanz finden. Zur Not muss eine Verordnung oder ein Gesetz uns helfen, die Anfangshürden zu überwinden, so wie dies bei der Einführung des Sicherheitsgurtes im Auto der Fall war. Heute sind alle froh über die gesunkene Zahl der Verkehrstoten.

Lesen Sie mehr zum Thema

VOICE-CIO Update: Die Human Firewall

CIO-Erfahrungsaustausch: Angriff über SQL-Schwachstelle; IT-Renovierung bei einem Mittelständler

CIO-Erfahrungsaustausch – Nie wieder Geld in Projekten verbrennen