
Nach Collection #1: Ist ein Ende der Passwörter in Sicht?
Die Digitalisierung ist ein zweischneidiges Schwert. Einerseits ermöglicht sie uns ungeahnte Möglichkeiten der Vernetzung und ändert grundlegend die Art und Weise wie wir arbeiten. Das Austauschen von Ideen und das Zugreifen auf Informationen und Prozesse von überall, zu jeder Zeit, mit nahezu jedem Endgerät, erlaubt es uns effizienter und innovativer denn je zu sein. Andererseits bringt sie Gefahren mit sich, wenn wir nicht endlich lernen, uns besser dagegen zu wappnen. Denn der Preis der Digitalisierung ist der Verlust unserer Privatsphäre, die es zu schützen gilt. Wir sprechen hier auch vom Trennverlust von beruflicher und privater Aktivität sowie der Gefährdung der Daten aus diesen beiden Seiten des Lebens.
Was bisher geschah…
Erst Anfang dieses Jahres wurde mit Collection #1 bekannt, dass über 1,6 Milliarden Kombinationen von E-Mail-Adressen und Passwörtern im Netz landeten. Doch das war erst der Anfang: Die Forscher des Hasso-Plattner-Instituts (HPI) teilten mit, dass sie in einem Internetforum für Hacker auf Collections #2 – #5 gestoßen sind, die mehr als 600 Gigabyte Daten erfassen.
Doch der Identitätsdaten-Diebstahl blüht nicht erst seit gestern. Der Statistik des HPI zufolge, die bis ins Jahr 2006 zurückgeht, sind fast sechs Milliarden Nutzerkonten betroffen.
Es gehören immer zwei dazu
Man könnte meinen, dass sich hinter den atemberaubenden Datenleaks geniale Hacker verbergen. Doch es genügt schon ein Blick aufs eigene Passwort, um festzustellen, dass der wahre Übeltäter meist unser eigenes mangelndes Sicherheitsbewusstsein ist. Würde man für jeden Dienst ein halbwegs eigenständiges Passwort verwenden, würde die Gefahr eines gekaperten Kontos eher einer einer Fiktion gleichen.
Aber leider werden Passwörter weniger als Sicherheitsschloss zur Abschirmung persönlicher Daten gesehen, denn als lästige Barriere zur gewünschten Dienstleistung. Und das ist die Geburtsstunde des Passworts “12345“. Was das Ausmaß eines Datenhacks drastisch vervielfacht, ist die Annahme, dass aus Bequemlichkeit nur ein Passwort für mehrere Konten genutzt wird. Laut einer Umfrage bedienen sich nämlich etwa 60% der Befragten immer dergleichen Zugangsdaten.

Dabei ist es ganz selbstverständlich, dass ein Internetnutzer dutzende Konten besitzt. Ob Sharing Plattformen, Social Media, Shopping und Banking – die Summe der sensiblen Informationen ist überwältigend. Und jeder hat ein “easy-peasy-schnell-mal-reingucken”-Passwort um sie die Dinge erstmal anzuschauen. Irgendwann später will man das dann mal nachziehen mit einem harten Passwort. Leider ist es dann oft schon zu spät und mit der normalen Selbstähnlichkeit menschlich generierter Passwörter kann der “Black Hat” völlig automatisiert die ganze Bandbreite meiner Social Media Accounts aufrippeln.
Ist also nur ein einziges Passwort geknackt, ist die Wahrscheinlichkeit hoch, dass ein Cyberkrimineller Zugang zu allen anderen Konten hat. Dies gilt nicht nur bei gleichen Passwörtern sondern auch bei (zu) ähnlichen Passwörtern. Der Datenklau fällt erst auf, wenn der Schaden schon entstanden ist.
Wenn der Aufwand für das Generieren der Passwörter nicht im Verhältnis zu dem potentiellen Schaden steht, der bei einer Cyberattacke entsteht, ist es allerhöchste Zeit den Umgang mit Passwörtern komplett zu überdenken.
Sehen wir der Realität ins Auge: der Mensch ist praktisch veranlagt. Es ist eine Zumutung, zu erwarten, dass Nutzer ohne jegliche Hilfsmittel für jedes einzelne Konto nicht nur ein anderes Passwort, sondern auch besonders clevere mit unterschiedlichen Zahlen –und Buchstabenfolgen verwenden.
Kennen Sie das perfekte Passwort?
Beim Generieren von Passwörtern fühlen sich 43% der Befragten gestresst und 19% sogar überfordert und 56% empfinden es einfach als lästig. Bill Burr, der Autor des amerikanischen NIST, welches Passwortrichtlinien festgelegt hat (Sonderzeichen, 90 Tage Passwortwechsel), entschuldigt sich heute sogar dafür. Er gibt zu, dass er die Richtlinien zum Erstellen von Passwörtern aus einem Whitepaper aus den 80er Jahren hatte. Und 2019 ist nichts mehr wie in den 80er Jahren!

Heißt es bald: Servus Passwort?
Die logische Schlussfolgerung ist Passwörter ein für alle Mal abzuschaffen! Schaut man zum Hause Microsoft, steht dort der Beschluss längst fest. Von einem „Ende der Passwort-Ära“ (Rob Lefferts) ist die Rede, stattdessen kommt dann Single-Faktor-Authentifizierung zum Einsatz. Windows 10 unterstützt erstmalig ein Logon einzig durch das Anstecken eines Tokens (z.B.: Yubikey) im Rahmen von Fido2 (https://www.yubico.com/solutions/fido2).
Dann wiederum haben wir das Problem des verlorenen Schlüssels – analog zum Wohnungsschlüssel.
Womöglich bleibt aber der Kompromiss aus Passwort und einem zweiten Faktor das Maß der Dinge. Nach dem Prinzip: “something that I know” – “something that I have”.
Richtig so, denn nicht nur im privaten, sondern auch im geschäftlichen Umfeld gibt es in Punkto Datensicherheit noch wenig Sensibilität.
Unternehmen hilfloser denn je
Kleine und mittelständische Unternehmen sehen sich oft nicht in der Gefahr, wenn es um Hackerangriffe geht. Die Annahme, dass beispielsweise nur Konzerne oder das Bankwesen unter Beschuss stehen, ist äußerst fahrlässig und könnte geradezu existenzbedrohend sein. Denn ganze 61% der Unternehmen, die gehackt wurden, haben nicht mehr als 1000 Mitarbeiter. Sogar bei mehr als der Hälfte (56%) führte eine Cyberattacke zum vorübergehenden Stillstand der Geschäftstätigkeit. Und fast 9 von 10 der Befragten (88%) wurden im Jahr 2017 gehackt, das ist ein Zuwachs von über 30%.
Kleine oder mittelständische Unternehmen sind die Innovations,- Technologie- und Wirtschaftsmotoren Deutschlands. Hier ist wertvolles Wissen zu holen und deshalb muss auch hier IT-Security großgeschrieben werden. Aber auch wenn es nicht um das intelektuelle Eigentum des Attackierten geht – allein der Ausfall von IT erzeugt heute einen Schaden, der kleinen Unternehmen den Hals brechen kann. Ein mittelständischer Kunde von planet 33 hat im Rahmen einer Desasterplanung ermittelt, dass ein Ausfall der Bestellannahme (Telefon, Email, Warenwirtschaft) bei ein bis zwei Tagen existenzgefährdende Ausmaße annimmt. Ein irgendwie erfasster Backlog von Bestellungen ist kaum mehr abzuarbeiten.
Bis dato ist die Handhabung der Passwortsicherheit in Unternehmen den Mitarbeitern entweder selbst überlassen. Dies hat zur Folge, dass Passwörter für unzählige Zugänge und Konten auf Post-Its, in Kalendern oder fortschrittlich in öffentlichen Kontakten notiert werden. Und bei einigen Fortschrittlichen ist es dann sogar der Keepass – ein cooler OpenSource Single-User Passwort-Manager. Uncool wird es dann, wenn die IT sich einen Keepass teilt – mit einem – Sie ahnen es – für alle gleichen Metapasswort.
Schlimm: Jetzt existiert ein Standard Passwort, quasi wie ein Generalschlüssel für alle Logins. Sie sehen sofort, warum ein Passwortmanagement zentralisiert werden muss und die Zugriffe nur personalisiert sein dürfen. IT-Sicherheit darf nicht länger bloß eine Angelegenheit der IT-Abteilung bleiben! Das Bewusstsein dafür muss bei allen Mitarbeitern verankert werden.
Längst überfällig: der Passwort Manager
Die Lösung liegt auf der Hand: die sicherste und gleichzeitig einfachste Methode ist die Nutzung eines Passwort Managers. Egal wie viele Mitarbeiter ein Unternehmen hat und egal wie viele Passwörter und Zugänge verwaltet werden müssen, ein Passwort Manager schützt Informationen und Dokumente vor unbefugtem Zugriff.
Je nach Anbieter variieren die Benefits. Hier ein kleiner Überblick, was ein zuverlässiger Passwort Manager mitbringen sollte und was die Vorteile sind:
Zuallererst sorgt eine zentrale Passwortverwaltung für einen schnellen Zugriff und vermeidet somit das aufwendige und langwierige Suchen und Verwalten von unsicheren Passwörtern in Tabellen oder auf Papier. Das automatische Eintragen von Passwörtern in Anmeldefeldern ist nicht nur sicherer, es ist auch schneller und kostensparend. Außerdem werden in einem automatisierten Prozess komplexe und absolut sichere Passwörter erstellt.
Das erhöht den Schutz der Systeme und damit die Sicherheit der Daten enorm. So entfällt der Faktor Mensch als größtes Sicherheitsrisiko. Die Anwender kennen die Passwörter nämlich nicht im Klartext. Ein großes Plus ist ein internes Logbuch, das stets Überblick gibt, wer auf welche Passwörter und Dokumente Zugriff hat.
Also, worauf warten Sie noch?
***
Ihnen gefallen Themen wie dieses und Sie möchten mehr relevante Informationen haben? Einmal im Monat gibt es genau dafür ‘planet 33 WISSEN’. In einer sehr persönlichen Email bekommen Sie eine Liste mit Beiträgen, Videos oder Buchempfehlungen zu Themen, die uns bei planet 33 gerade bei der täglichen Arbeit, in der Freizeit und mit einem strategischen Blick in die Zukunft beschäftigen. Hier können Sie sich anmelden: