Passwörter sind ein echtes Dauerthema in der IT-Sicherheit. Erst sollen sie immer länger und komplexer werden, dann immer anders und ständig aktualisiert. Zudem bitten jetzt viele Portale zusätzlich um Handynummern, Apps oder Geräte zur Authentifizierung. Wie soll das im Alltag zu managen sein? Neuere Ansätze verfolgen dabei eine ganz andere Richtung: Gar kein Passwort mehr.
Sind wir ehrlich: Passwörter sind ein Problem. Sie werden ständig und überall verwendet, aber niemand kann sie sich merken. Dazu werden sie immer komplexer, da sie aus immer mehr verschiedenen Zahlen, Buchstaben und Sonderzeichen bestehen sollen. Um es sich leicht zu machen, benutzen Menschen oftmals dieselben Passwörter immer wieder oder schreiben sie auf fliegenden Zetteln auf, die dann verloren gehen.
Doch das ist bei weitem nicht das größte Problem: Passwörter können auch geklaut werden. Ob vom Zettel abgelesen, im Browser kopiert oder durch Hard- und Softwaretricks gesammelt – Passwörter gelangen oft in die falschen Hände und können schwersten Schaden anrichten. Wie sieht die Zukunft der Passwörter aus? Und was können Sie in der Zwischenzeit tun, um Ihre Passwörter sicher zu machen?
⁎⁎⁎
⁎⁎⁎
Passwörter dienen im Kern dazu, die eigene Identität im Internet zu bestätigen und diese zu schützen. Unsere Identität beweisen wir auch andernorts: Das blaue Häkchen neben dem Instagram-Namen verifiziert unseren Account. Zur Identität gehört auch die Überprüfung des Personalausweises, wenn wir einen Vertrag unterschreiben. Letztlich dient auch die telefonische Abfrage der Postleitzahl bei diversen Hotlines dazu, die Identität zu klären, bevor wir wichtige Informationen weitergeben.
Bei dieser Form des Identitätsschutzes geht es vor allem darum, ein sicheres aber auch möglichst einfaches System zu etablieren, bei dem immer eindeutig erkennbar ist, wer am anderen Ende der Leitung sitzt. Passwörter waren dabei bisher der beste Weg in der IT, aber wie sich immer wieder zeigt, bergen sie mitunter erhebliche Schwachstellen. Mittlerweile gibt es jedoch gute, neue Ansätze, um die Identität von Benutzer:innen eindeutig und sicher festzustellen.
⁎⁎⁎
Passwörter sind vor allem in drei Bereichen besonders gefährdet bzw. werden hier zur Gefahr:
In erster Linie macht es veraltete Hardware einfacher, an lokale Daten zu gelangen. Alte Computer und Systeme unterstützen oft nicht mehr die neuesten Updates, zu denen auch Sicherheitsupdates für Festplatten (Server), Prozessoren oder auch Router gehören. Solche veralteten Sicherheitsstrukturen machen Angriffe viel einfacher. Sie sind nicht "secure by design", also von Grund auf im Sinne neuester Standards konzipiert, sondern erfordern zusätzliche Sicherheit von außen, z.B. durch Passwörter.
Ein sehr häufiger aber folgenschwerer Fehler ist zudem das Anlegen von Profilen ohne Passwort auf Geräten wie Laptops oder Handys. Dies wird oft nicht gemacht, damit man sich zum Beispiel morgens im Büro schneller am Computer anmelden kann. Doch das Fehlen eines Kennworts kann bei Verlust oder Diebstahl des Geräts zu Passwortklau führen – und natürlich vielem mehr.
Selbst wenn die Hardware auf dem neuesten Stand ist und alle Sicherheits-Updates erfolgt sind, ist es immer noch möglich, in das System einzudringen. Betriebssysteme und auch einzelne Programme stoßen auch immer wieder auf Sicherheitslücken, welche durch Updates geschlossen werden müssen.
Viele Programme sind zudem mitunter dauerhaft mit dem Internet verbunden. Das bedeutet, dass sie als „Hintertür“ genutzt werden können, um sich an anderweitigen Sicherheitsmaßnahmen „vorbeizuschleichen“: Statt grundsätzlich Zugriff auf ein System zu haben, wird dieser von innen heraus über ein Einzelprogramm hergestellt und anschließend etwa mit Schadsoftware gesichert. Ist dieses Programm nur durch ein schwaches Passwort (oder eben das eine Passwort, welches überall genutzt wird) geschützt, ist der Zugriff möglich.
Dabei spielt auch Phishing eine größere Rolle. Dazu werden E-Mails oder bösartige Websites genutzt, um entweder personenbezogene Daten abzufragen oder die Anwendenden zum Herunterladen von Schadsoftware zu verleiten. In beiden Fällen wird dabei oftmals entweder ein Virus oder eine bösartige Software auf dem Computer oder Gerät installiert. Und wenn das bspw. am Arbeitsplatz passiert, dann ist durch den Virus oder die bösartige Software die gesamte Organisation gefährdet.
Jede installierte Software, jede heruntergeladene Datei, jede E-Mail im E-Mail-Programm wird so zu einer Schwachstelle. Auch Passwörter, die lokal gespeichert sind, zum Beispiel in einer ungesicherten Datei, sind eine enorme (aber oft vorkommende) Sicherheitslücke. Deshalb gilt grundsätzlich: Es ist es generell besser, Anwendungen, Dateien oder Mails in einem aktuellen Browser zu öffnen, als lokal auf dem Endgerät in einem Programm - selbst mit installiertem Virenschutz.
Passwörter haben ihre Tücken. Sie können zu schwach sein, auf mehreren Systemen wiederverwendet, absichtlich an andere Benutzende weitergegeben oder auch technisch manipuliert werden. Aber das ist nicht die Schuld des Passworts. Auslösende sind zumeist eher wir selbst.
Der häufigste Angriffspunkt für Hackerattacken und Datendiebstahl ist nicht mehr die Maschine, sondern der Mensch. Kriminelle verwenden alle möglichen psychologischen Tricks, um Menschen dazu zu bringen, ihre Passwörter offenzulegen. Das hat vor allem auch ökonomische Gründe: Aufgrund der hohen Sicherheitsstandards moderner Hard- und Software ist das Eindringen mittels Hacking mittlerweile enorm teuer. Es braucht hohe Kenntnisse, viele Arbeitsstunden und sorgfältige Planungen. Dem gegenüber ist das Manipulieren von Menschen erheblich günstiger.
Gerade in der Politik wird oft der Mangel an Zeit und Aufmerksamkeit ausgenutzt. So kann es passieren, dass man in der Eile zwischen Sitzungen oder bei einer extremen Vielzahl von E-Mails auf einen Phishing-Link klickt, ohne es zu merken. Im turbulenten Arbeitsalltag neigen viel Beschäftigte zudem dazu, Passwörter zu wählen, die viel zu einfach und leicht zu knacken sind.
Eine weitere Ursache für den Passwortklau ist die Vermischung mit privaten Geräten, wenn etwa kein separates Diensthandy zur Verfügung steht. Das bedeutet, dass auch private E-Mail-Konten oder Social-Media-Accounts genutzt werden könnten, um von demselben Gerät aus auf dienstliche Daten zuzugreifen.
Dennoch liegt die Fehlerquelle nicht immer bei den Nutzenden, sondern oft an der mangelnden Unterstützung, zum Beispiel in Form von Notfallplänen oder einer guten Fehlerkultur. Angreifende wissen, dass innerhalb von vielen Organisationen durchaus ein Umgang vorherrscht, in dem sich Einzelne nicht trauen, Probleme zu melden oder Hilfe in Anspruch zu nehmen – da es etwa als Schwäche ausgelegt werden könnte. Mit gezielten Schulungen kann viel über Sicherheit erlernt und kleine, aber häufige Anwendungsfehler vermieden werden.
⁎⁎⁎
Heute wird anders über Sicherheit gedacht - nicht als Zusatz, sondern eben "by design". Systeme sind dementsprechend so konzipiert, dass sie von vornherein Sicherheit bieten und bspw. nicht auf Passwörter angewiesen sind. Ein gutes Beispiel dafür ist die biometrische Anmeldung, über die viele Smartphones heute verfügen. Nutzende am Handy sind oft bereit, ihr Gesicht, einen Fingerabdruck oder einen Scan ihrer Iris zu hinterlegen, um das Gerät schnell zu entsperren oder sich bei Apps anzumelden.
Die Hinterlassung solcher Zugangsdaten gilt grundsätzlich als sehr sicher, da die biometrischen Informationen (z. B. der Fingerabdruck) verschlüsselt auf dem Gerät selbst und nicht im Internet gespeichert werden. Das bedeutet, dass bspw. das Smartphone etwa durch eine Banking-App eine Anfrage bekommt, ob der Zugriff auf ein Konto sicher ist. Das Smartphone prüft den Fingerabdruck im Gerät und bestätigt die Echtheit. Die Banking-App erhält lediglich das OK des Smartphones – ohne, dass die biometrischen Daten ins Netz oder in die App gelangen.
Diese Trennung von Abläufen und Speicherungen sind ein weiterer Teil von „secure by design“. Im Wissen darum, dass Gefahren vor allem darin liegen, wenn alles an einem Ort liegt, werden Informationen und sensible (Teil-) Daten mittlerweile getrennt voneinander geschützt, etwa auch in Cloud-Infrastrukturen oder Passwort-Managern.
⁎⁎⁎
Die sogenannte „Zwei-Faktor-Authentifizierung“ (2FA) bietet eine weitere Schutzebene. Sie erfordert zwei Dinge von den Nutzenden - etwas, das sie wissen (Ihr Passwort) und etwas, das sie haben (z. B. ihr Smartphone). Das zweite kann der Fingerabdruck sein oder ein Einmalpasswort. Nur dann wird der Anmeldeversuch erfolgreich sein.
Der zweite Faktor ist zudem gar nichts Neues - tatsächlich funktioniert das gleiche Prinzip schon seit über 40 Jahren bei EC-Karten. In diesem Fall besteht das Sicherheitsprinzip aus einem Gegenstand (Bankkarte) und einer PIN-Nummer. Nur mit diesen beiden Faktoren zusammen können wir Geld abheben oder an der Kasse bezahlen.
Im IT-Bereich erspart der zweite Faktor den Nutzenden nun zunehmend die Vergabe von Passwörtern. Es ist nämlich nicht mehr so wichtig, ein extrem sicheres und einzigartiges Passwort zu wählen. Heutzutage funktioniert die Kombination aus einem einfachen Passwort und einem zweiten Faktor hervorragend.
Beispiele für den zweiten Faktor sind:
⁎⁎⁎
Einige System basieren aber weiterhin auf Passwörtern, insbesondere bei kleinen Anbietenden (z. B. Webshops). In diesem Fall ist die Unterstützung durch einen Passwortmanager eine gute Idee. Passwortmanager sind Cloud-basierte Anwendungen, auf die per Software, App oder Browser-Plugin zugreifen wird, um gespeicherte Passwörter einzusehen. Zusätzliche Sicherheit bieten Passwortmanager, die auf eigenen Servern gehostet werden.
Der Clou ist, dass hier zwei Sicherheitselemente miteinander verknüpft werden können: Zum einen wird ein „Masterpasswort“ genutzt, dass möglichst nirgends sonst verwendet wird und auch nirgends notiert wird – es kann also bspw. nicht durch Phishing abgefangen werden. Zum anderen wird bei der Ersteinrichtung, etwa auf einem Laptop, Smartphone oder im Browser, ein zweiter Faktor ergänzt.
Die sicherste Reihenfolge, die wir empfehlen, sieht folgendermaßen aus:
⁎⁎⁎
Es wird immer deutlicher, dass Passwörter offensichtlich nicht die Zukunft sind. Eine Zeit lang waren sie eine gute Lösung für den Schutz von Daten und Identität, durchaus nach dem Prinzip „besser als nichts“, aber mittlerweile orientiert sich generell die IT-Sicherheit eher an dem Verhalten von Nutzenden – und die haben nun genug gezeigt, dass sie von Passwörtern nicht ausreichend geschützt sind. Immerhin ist das beliebteste Passwort in Deutschland „123456“, gefolgt vom Passwort „Passwort“ – was zeigt, dass viele Menschen entweder überfordert sind oder zumindest ein falsches Sicherheitsgefühl in Bezug auf Passwortsicherheit haben.
Die zahlreichen Möglichkeiten müssen jetzt aber auch genutzt werden. Kontensicherheit ist der Hebel, es Cyberkriminalität aktuell so schwer wie möglich zu machen, da ein Hacking von Soft- und Hardware um ein Vielfaches teurer und aufwendiger ist. Das bedeutet auch: Wessen Konten sicher(er) sind, ist gleichzeitig weniger attraktiv und wird erheblich weniger angegriffen.
⁎⁎⁎
Alle wichtigen Informationen dazu erhalten Politiker:innen auf kommunaler, Landes-, sowie Bundesebene in unseren Schulungen. Sie lernen den sicheren Umgang mit Passwörtern, der Authenticator-App und Passwortmanagern, was ein gutes Passwort ausmacht und wie sie ein solches generieren.
Für alle Teilnehmenden haben wir die DsiN-Passwortkarte sowie YubiKeys kostenfrei dabei, sodass sie sofort den ersten Schritt in Richtung sichere Daten machen können!
KOMMEN WIR INS GESPRÄCH