Vergabe von sicheren Kennwörtern

Die Kehrseite bildet die IT-Sicherheit. Nur drei Prozent der deutschen Unternehmen sind nach Aussage des TÜV Nord ausreichend vor Hackerangriffen geschützt. Der Donaukurier berichtete u. a. Ende Juli 2017 darüber. Dirk Kretzschmar, Geschäftsführer von »TÜVit« (eine Computersparte des TÜV Nord), berichtete der »Welt am Sonntag«, dass Hacker immer professioneller werden und Firmen nicht einmal das Nötigste unternehmen, um sich zu verteidigen. Auch die Frankfurter Allgemeine Zeitung berichtete darüber in der Online-Ausgabe (www.faz.net) am 29. Juli 2017.

Dabei sei es wichtig, Dienstleistungen und Geschäftsbereiche gefahrenseitig einzuschätzen und zu schützen. Bis in die Führungs­etage hinein fehle das Verständnis, welche Gefahren aus dem Internet lauern. Die Schadenshöhe belaufe sich laut Branchenverband ­»Bitkom« auf 55 Mrd. Euro, die von Cyberangriffen in Deutschland jährlich verursacht werden. Seiner Ansicht nach besteht ein großes Einfallstor bei der Vernetzung von Unternehmen mit Dienstleistern und Maschinenherstellern.

Betriebsspionage nicht nur im Büro

Durch die Digitalisierung von Geschäftsprozessen im Handwerk steigen die Gefahren von Betriebsspionage, Datenmissbrauch, Identitätsdiebstahl, Erpressung und Fake-News durch Cyberkriminelle. Die IT-Infrastruktur umfasst mittlerweile nicht nur die Büroräume, sondern dehnt sich durch mobile Geräte wie Betriebshandys auf den Baustellen weiter aus. Dabei können die Gefahren von verschiedenen Seiten kommen und unterschiedliche Wege gehen. Wie soll sich ein Unternehmer davor schützen?

Die Tabelle 3 beinhaltet eine Übersicht, die im Sinne einer Benchmark-Studie von Cisco in 2017 ermittelt wurde und zeigt die Möglichkeiten des Einsatzes von Gegenmaßnahmen zur Bekämpfung der Hauptbedrohungen durch das Internet. Die Werte wurden anhand der Größe einer Unternehmung (Quelle: Cisco 2017 Security Capabilities Benchmark Study) aufgelistet.

Die Zahlen verdeutlichen, dass es zwischen kleineren und großen Unternehmensgrößen gerade mal 10 bis 13 Prozentpunkte Unterschied gibt, was die Intensität der Maßnahmen betrifft. Überraschend ist, dass die Möglichkeiten für einen Schutz nicht ausgeschöpft werden. Die Werte liegen hier bei nur bei einem Drittel bis max. der Hälfte.

Der IT-Administrator allein ist gegen die Vielfalt an Möglichkeiten, die durch eine Bedrohung ausgehen können, machtlos. Alle Mitarbeiter eines Betriebs, die mit den IT-Systemen in irgendeiner Form arbeiten, sind mitverantwortlich und sollten mit dem Umgang der Systeme geschult sein. Was ist dabei wichtig? Welche Unterweisungen helfen dem Mitarbeiter und damit dem Unternehmen, um nicht im Fokus einer Attacke zu sein?

In den folgenden Abschnitten geht es darum, verschiedene Maßnahmen zu erläutern, um Gefahren aus dem Internet oder dem lokalen Netzwerk zu verringern. Hintergründe werden hierzu verdeutlicht. Der bewusste Umfang mit der IT seitens des Endanwenders erleichtert die Sicherheitsmaßnahmen der IT-Administration.

Sichere Kennwörter vergeben

Der Zugang zum E-Mail-Postfach, zum Online-Shop, zum Facebook-Account, zum Internettelefonzugang (SIP-Zugang → »Session Initial Protocol«) oder zum PC, Tablet oder Smartphone geschieht über einen Benutzernamen und ein dazugehöriges Kennwort (Bild 52). Die Echtheit des Benutzers soll darüber festgelegt werden. In einem vorhergehenden Beitrag zur IT-Sicherheit (Teil 3: »Authentifizierung« in »de« 17.2016) haben wir bereits darüber berichtet. Sie ist technisch einfach zu realisieren und flexibel in der Handhabung. Damit ist sie praktikabel und von den Endanwendern ­akzeptiert.

Die Flexibilität von Kennwörtern lässt sich in der Praxis vorteilhaft nutzen. Bedingung dazu ist, dass für jeden Zugang ein eigenes Kennwort verwendet wird, sei es das E-Mail-Postfach, der Online-Shop, der Facebook-Account oder der Zugang zum Firmenrechner. Nur dann unterscheidet der Benutzer auch seine Privilegien auf dem jeweiligen System. Dienste innerhalb des firmeninternen Netzwerks werden durch unterschiedliche Kennwörter bewusster wahrgenommen. Ein Mitarbeiter, der ein Konto als Administrator und Benutzer am gleichen System hat, wählt nicht nur einen Benutzernamen bei der Anmeldung aus, sondern »bestätigt« mit dem spezifischen Kennwort den betreffenden Zugang (Bild 53).

Bei gleichen Kennwörtern für verschiedene Konten verfällt der Mitarbeiter psychologisch in eine Lethargie. Die Anmeldung wird als notwendiges Übel wahrgenommen: Falscheingaben wiederholen sich, Fehlermeldungen werden nicht gelesen, Kennwörter fahrlässig gespeichert, Sicherheit missachtet (Bild 54).

Vereinfachungen bei der Wahl der Zugangsdaten sind sicherheitstechnisch kritisch. Es beginnt damit, dass der Benutzername eines Kontos mit der E-Mail-Adresse oder Telefonnummer gleichgesetzt wird. Hier rückt das Kennwort bei der Anmeldung in den Fokus. Die »Fritz-Box 7390« verlangt beispielsweise als Zugangsdaten die VoIP-Rufnummer, die öffentlich ist und ein Passwort; bei internen Rufnummern startet der Benutzername mit dem ersten VoIP-Gerät bei 620, das nächste 621 usw.; es kommt somit auf das Kennwort an, weil der Benutzernamen vorhersehbar ist (Bild 55).

Auch bei der Verwendung eines sogenannten Schlüsselbunds kommt es auf ein einziges Kennwort an. Benutzername und Kennwort sind dort entsprechend zentral hinterlegt. Weitere Vereinfachungen bei der Authentifizierung existieren. Beim Surfen lassen sich benutzerfreundlich Kennwörter speichern (Bild 56). Viele Endbenutzer nutzen dies dankbar und ahnen nicht, welche Gefahren Sie dem Betriebsrechner zumuten, denn gespeicherte Kennwörter lassen sich leicht von Fremdsoftware auslesen.

Der folgende Beitrag befasst sich mit der Frage, warum es Kennwortrichtlinien gibt, demonstriert diese und zeigt auf, wann ein Passwort sicher ist.

Teil 15