IT+Technik Datenschutz: Wie Datendiebe bei Passwörtern und E-Mail-Konten keine Chance haben

Datendiebe interessieren sich heute auch für kleinere Unternehmen. impulse zeigt, wie Sie Passwörter sicher machen und die E-Mail-Konten Ihres Unternehmens schützen.

SCHWACHSTELLE PASSWÖRTER

Anfang März schlugen die Systemadministratoren des Hamburger Datendienstleisters Statista Alarm: Unbekannte hatten sich offenbar mittels einer „Brute Force“-Attacke Zutritt zur Nutzerdatenbank verschafft. Die Angreifer hatten vermutlich nacheinander alle denkbaren Zugangsdaten ausprobiert, bis sie die Datenbank öffnen konnten. Diese Methode kommt vor allem bei Angriffen auf Web-Dienstleister zum Einsatz, wo sich die Mühe lohnt. So hatte der Passwort-Klau bei Statista womöglich noch ein weiteres Ziel. Die Hacker waren an Nutzerdaten gekommen – inklusive der Passwörter. Und weil die Statista-Leute wissen, dass viele Menschen dasselbe Passwort gleich mehrfach nutzen, rieten sie ihren Kunden: Ändert eure Passwörter in allen Anwendungen!

Allen Warnungen zum Trotz gehen viele Menschen sorglos mit Passwörtern um.
Sie wählen den Namen ihrer Freundin, des Hundes oder ihr Geburtsdatum als Zugangscode. Und setzten diesen gleich mehrfach ein. Solche Informationen recherchieren Daten¬diebe gezielt in sozialen Netzwerken wie Facebook und probieren damit Zugang zu geschützten Systemen zu bekommen. Bei einem Treffer testen sie Nutzernamen und Kennwort einfach auf allen Systemen aus, auf denen das Opfer arbeiten könnte.

Anzeige

Das Passwort ständig zu wechseln, ist aber auch keine einfache Lösung. Wer sich alle vier Wochen einen zwölfstelligen Code aus Buchstaben, Sonderzeichen und Zahlen mit Groß-/Klein-Schreibung merken soll, wird sich dieses Passwort mit hoher Wahrscheinlichkeit auf einen Zettel am Monitor oder neben der Tastatur schreiben. Und damit ist der Schutz verloren. Selbst wenn sie sich die Zugangsdaten nicht notieren: Menschen neigen dazu, es sich möglichst leicht zu machen. Bei regelmäßig wechselnden Passwörtern zählen sie hoch oder kombinieren ein Wort mit einem Datum, um sich das Ganze besser merken zu können. Dass nach „Geheim1“ einen Monat später „Geheim2“ folgt, ist aber nicht schwer zu erraten.

Lösung: Ein Passwort muss lang sein, mindestens zwölf Zeichen. Am besten ist eine scheinbar sinnlose Folge von Zeichen, da¬runter mindestens ein Großbuchstabe, eine Zahl und ein Sonderzeichen. Damit man sich das merken kann, sollte man sich einen Satz überlegen und diesen dann abkürzen. Etwa so: „Ich gehe zweimal am Tag mit dem Hund im Park spazieren!“ wird zu dem Passwort „Ig2maTmdHiPs!“.

Dann ist es durchaus empfehlenswert, das Passwort immer mal wieder zu wechseln, aber in einem Zeitraum, in dem es sich lohnt, sich etwas Neues zu merken. Etwa nach zwölf Monaten. Und: Man sollte nicht dasselbe Passwort für verschiedene Systeme benutzen. Wer sich mehrere Codes nicht merken kann, sollte „Passwort-Safes“ nutzen. Das sind Apps fürs Smartphone, die Zugangsdaten speichern. Als besonders sicher gelten Mini-Geräte, die automatisch Zugangscodes erzeugen, sogenannte „Tokens“. Es gibt sie auch als Software, etwa fürs Handy.

Anbieter: Tokens gibt es etwa von Verisign oder HID Global. Sie kosten 50 bis 100 Euro pro Stück, hinzu kommen die Lizenzkosten für die Software.

SCHWACHSTELLE E-MAIL

E-Mails sind so privat wie eine Postkarte. Die elektronischen Nachrichten lassen sich leicht abfangen, umleiten, ihr Inhalt auswerten oder sogar manipulieren. So wie bei einem Mittelständler aus Stuttgart. Mit einem Spionageprogramm protokollierten Eindringlinge den gesamten E-Mail-Verkehr der Firma, konnten jede unverschlüsselte Nachricht im Klartext lesen. Ergebnis: Die Konkurrenz kannte die per Mail übermittelten Angebote und konnte den Rivalen ausstechen. Nachrichtendienste wie die amerikanische NSA lesen angeblich routinemäßig E-Mails.

Lösung: Wie Behörden das schon tun, sollten auch Unternehmen ihre E-Mails verschlüsseln – zumindest wenn sie brisante Informationen enthalten. Dazu erzeugt das Kryptografie-Programm einen öffentlichen Schlüssel, der Nachrichten verschlüsselt. Diesen öffentlichen Schlüssel sendet man sich zu. Dazu kommt ein geheimer privater Schlüssel, der die E-Mails wieder lesbar macht. „Für Außenstehende ist so eine E-Mail dann ein unlesbarer Salat aus Buchstaben, Zahlen und Sonderzeichen“, sagt IT-Berater Schmucker.

„Auch Schlüssel lassen sich zwar theoretisch knacken, das dauert aber ohne Hintergrundwissen über die Verschlüsselungstechnik mehrere Tage oder Wochen.“ Nachteil wie bei allen Verschlüsselungsverfahren: Der Empfänger muss dasselbe Verfahren nutzen. In gängigen Mail-Servern wie etwa Microsoft Exchange gibt es aber auch die Möglichkeit, den gesamten E-Mail-Verkehr zwischen dem eigenen Unternehmen und einer anderen Firma zu verschlüsseln. „Das passiert dann im Hintergrund, ohne dass die Nutzer es überhaupt merken“, sagt Schmucker. „Viele Unternehmer wissen aber nicht, dass das geht.“

Anbieter: Neuere E-Mail-Programme wie Outlook von Microsoft bieten die Option, E-Mails nach dem S/MIME-Verfahren zu verschlüsseln. Alternative: das kostenlose Programm OpenPGP.

SCHWACHSTELLE WEB

Auf vielen Internetseiten sind Schadcodes versteckt, das gilt nicht nur für pornografische Seiten, sondern etwa auch für Karriere- und Jobportale. Wer solche Angebote mit einem ungeschützten PC aus einem ungeschützten Netz heraus aufruft, riskiert, dass sich die Schädlinge auf dem eigenen Rechner festsetzen. So ging es dem mittelstän¬dischen Industriebetrieb, der tagelang still stand, weil ein Mitarbeiter sich auf einer infizierten Website eine sogenannte Malware eingefangen hatte. So verbreitete sich das Schadprogramm im ganzen Netz, bis sämt¬liche Computer streikten, schließlich einzeln vom Netz genommen und gesäubert werden mussten. Auch internetbasierte Nachrichtendienste wie Messenger, Whatsapp oder Facebook-Messages sind in der Regel leichter angreifbar als herkömmliche Mail-Systeme.

Lösung: Ein guter aktueller Virusscanner auf jedem Rechner ist Pflicht, genauso wie regelmäßige Updates des Betriebssystems. Da¬-mit schließen Unternehmer in der Regel die schlimmsten Sicherheitslücken. Manche Experten empfehlen: Für geschäftliche Zwecke sollten nur Internet-Messenger zum Einsatz kommen, von denen zumindest der Quellcode veröffentlicht ist – denn dann prüft die Internetgemeinde, ob es Sicherheitslücken oder Hintertüren gibt. Um das Unternehmen vor unbedachten Web-Ausflügen der Mitarbeiter zu schützen, gibt es eine neue Technik namens Mikro-Virtualisierung. Dabei kapselt eine Spezialsoftware jede einzelne Internet-sitzung der Mitarbeiter ab und trennt sie vom Rest des PCs. Selbst wenn ein Mitarbeiter sich einen Schadcode einfängt, kann der nicht ohne Weiteres den Rechner infizieren.

Produkte: Antivirus-Programme wie McAfee, Trendmicro oder Bitdefender kosten 40 bis 60 Euro pro Nutzer und Jahr. Der Browserschutz per Mikro-Virtualisierung, etwa vSentry von Bromium, kostet unter 10 Dollar pro Monat und Nutzer.

 

 

ePaper_impulse_04_14 1

Dieser Text stammt aus der April-Ausgabe von impulse.
Abonnenten erhalten die neueste Ausgabe jeden Monat frisch nach Hause geliefert. Und über die impulse-App für iOS- und Android-Geräte können Sie die neuen Ausgaben im PDF-Format herunterladen und bequem auf Tablet oder Smartphone lesen.

Hinterlassen Sie einen Kommentar

(Kommentare werden von der Redaktion montags bis freitags von 10 bis 18 Uhr freigeschaltet)

Bitte beantworten Sie die Sicherheitsabfrage (Anti-Spam-Schutz): * Time limit is exhausted. Please reload CAPTCHA.