Home Ausbildung Ausbildung Vergabe von sicheren Kennwörtern

Serie IT-Sicherheit (Teil 14)

Vergabe von sicheren Kennwörtern

zu Teil 13: Validität von IT-Systemen: Entschlüsselung von Kennwörtern

Handwerksbetriebe profitieren vom Internet durch schnelleren Datenaustausch, durch verbesserte Kommunikation, durch die Nähe zum Kunden, leichtere Koordinierungswege zwischen Baustellen oder verbesserten Vergleich von Lieferanten. Immer mehr neue Märkte erschließen sich beispielsweise durch Smart-Technologien. Gewinnmargen können durch vielfältigere und günstigere Produkte und Dienstleistungen erhöht werden.

Viele sind immer noch zu wenig geschützt

Bild 52: Der Mitarbeiter Tim hat 
Zugänge für E-Mail, Internettelefonie, unternehmensweites IT-Netzwerk und besitzt ein Betriebshandy für die Baustelle – welche Kennwörter verwendet er?
Bild 52: Der Mitarbeiter Tim hat Zugänge für E-Mail, Internettelefonie, unternehmensweites IT-Netzwerk und besitzt ein Betriebshandy für die Baustelle – welche Kennwörter verwendet er?
Die Kehrseite bildet die IT-Sicherheit. Nur drei Prozent der deutschen Unternehmen sind nach Aussage des TÜV Nord ausreichend vor Hackerangriffen geschützt. Der Donaukurier berichtete u. a. Ende Juli 2017 darüber. Dirk Kretzschmar, Geschäftsführer von »TÜVit« (eine Computersparte des TÜV Nord), berichtete der »Welt am Sonntag«, dass Hacker immer professioneller werden und Firmen nicht einmal das Nötigste unternehmen, um sich zu verteidigen. Auch die Frankfurter Allgemeine Zeitung berichtete darüber in der Online-Ausgabe (www.faz.net) am 29. Juli 2017.

Dabei sei es wichtig, Dienstleistungen und Geschäftsbereiche gefahrenseitig einzuschätzen und zu schützen. Bis in die Führungs­etage hinein fehle das Verständnis, welche Gefahren aus dem Internet lauern. Die Schadenshöhe belaufe sich laut Branchenverband ­»Bitkom« auf 55 Mrd. Euro, die von Cyberangriffen in Deutschland jährlich verursacht werden. Seiner Ansicht nach besteht ein großes Einfallstor bei der Vernetzung von Unternehmen mit Dienstleistern und Maschinenherstellern.

Betriebsspionage nicht nur im Büro

Durch die Digitalisierung von Geschäftsprozessen im Handwerk steigen die Gefahren von Betriebsspionage, Datenmissbrauch, Identitätsdiebstahl, Erpressung und Fake-News durch Cyberkriminelle. Die IT-Infrastruktur umfasst mittlerweile nicht nur die Büroräume, sondern dehnt sich durch mobile Geräte wie Betriebshandys auf den Baustellen weiter aus. Dabei können die Gefahren von verschiedenen Seiten kommen und unterschiedliche Wege gehen. Wie soll sich ein Unternehmer davor schützen?

Die Tabelle 3 beinhaltet eine Übersicht, die im Sinne einer Benchmark-Studie von Cisco in 2017 ermittelt wurde und zeigt die Möglichkeiten des Einsatzes von Gegenmaßnahmen zur Bekämpfung der Hauptbedrohungen durch das Internet. Die Werte wurden anhand der Größe einer Unternehmung (Quelle: Cisco 2017 Security Capabilities Benchmark Study) aufgelistet.
Tabelle 3: Konkrete Anwendungen im Bereich IT-Sicherheit gestaffelt nach Mitarbeiterzahl der Betriebe
Tabelle 3: Konkrete Anwendungen im Bereich IT-Sicherheit gestaffelt nach Mitarbeiterzahl der Betriebe
Bild 53: Die Kennwörter sind noch nicht sicher, allerdings muss Tim sich genau überlegen, welche ­Berechtigungen er mit dem Zugang erhält; das Unterscheidungsmerkmal ist das Kennwort
Bild 53: Die Kennwörter sind noch nicht sicher, allerdings muss Tim sich genau überlegen, welche ­Berechtigungen er mit dem Zugang erhält; das Unterscheidungsmerkmal ist das Kennwort
Die Zahlen verdeutlichen, dass es zwischen kleineren und großen Unternehmensgrößen gerade mal 10 bis 13 Prozentpunkte Unterschied gibt, was die Intensität der Maßnahmen betrifft. Überraschend ist, dass die Möglichkeiten für einen Schutz nicht ausgeschöpft werden. Die Werte liegen hier bei nur bei einem Drittel bis max. der Hälfte.

Der IT-Administrator allein ist gegen die Vielfalt an Möglichkeiten, die durch eine Bedrohung ausgehen können, machtlos. Alle Mitarbeiter eines Betriebs, die mit den IT-Systemen in irgendeiner Form arbeiten, sind mitverantwortlich und sollten mit dem Umgang der Systeme geschult sein. Was ist dabei wichtig? Welche Unterweisungen helfen dem Mitarbeiter und damit dem Unternehmen, um nicht im Fokus einer Attacke zu sein?

In den folgenden Abschnitten geht es darum, verschiedene Maßnahmen zu erläutern, um Gefahren aus dem Internet oder dem lokalen Netzwerk zu verringern. Hintergründe werden hierzu verdeutlicht. Der bewusste Umfang mit der IT seitens des Endanwenders erleichtert die Sicherheitsmaßnahmen der IT-Administration.

Sichere Kennwörter vergeben

Bild 54: Das unsichere Verhalten des Mitarbeiters sorgt auf einer Phishing-Webseite dazu, dass falsche Kennwörter eingegeben werden; fatal ist es, wenn diese heimlich mitprotokolliert und später weiter­verwendet werden
Bild 54: Das unsichere Verhalten des Mitarbeiters sorgt auf einer Phishing-Webseite dazu, dass falsche Kennwörter eingegeben werden; fatal ist es, wenn diese heimlich mitprotokolliert und später weiter­verwendet werden
Der Zugang zum E-Mail-Postfach, zum Online-Shop, zum Facebook-Account, zum Internettelefonzugang (SIP-Zugang → »Session Initial Protocol«) oder zum PC, Tablet oder Smartphone geschieht über einen Benutzernamen und ein dazugehöriges Kennwort (Bild 52). Die Echtheit des Benutzers soll darüber festgelegt werden. In einem vorhergehenden Beitrag zur IT-Sicherheit (Teil 3: »Authentifizierung« in »de« 17.2016) haben wir bereits darüber berichtet. Sie ist technisch einfach zu realisieren und flexibel in der Handhabung. Damit ist sie praktikabel und von den Endanwendern ­akzeptiert.

Die Flexibilität von Kennwörtern lässt sich in der Praxis vorteilhaft nutzen. Bedingung dazu ist, dass für jeden Zugang ein eigenes Kennwort verwendet wird, sei es das E-Mail-Postfach, der Online-Shop, der Facebook-Account oder der Zugang zum Firmenrechner. Nur dann unterscheidet der Benutzer auch seine Privilegien auf dem jeweiligen System. Dienste innerhalb des firmeninternen Netzwerks werden durch unterschiedliche Kennwörter bewusster wahrgenommen. Ein Mitarbeiter, der ein Konto als Administrator und Benutzer am gleichen System hat, wählt nicht nur einen Benutzernamen bei der Anmeldung aus, sondern »bestätigt« mit dem spezifischen Kennwort den betreffenden Zugang (Bild 53).
Bild 55: 
Festlegung der VoIP-Zugangsdaten bei der Fritz-Box 7390
Bild 55: Festlegung der VoIP-Zugangsdaten bei der Fritz-Box 7390
Bei gleichen Kennwörtern für verschiedene Konten verfällt der Mitarbeiter psychologisch in eine Lethargie. Die Anmeldung wird als notwendiges Übel wahrgenommen: Falscheingaben wiederholen sich, Fehlermeldungen werden nicht gelesen, Kennwörter fahrlässig gespeichert, Sicherheit missachtet (Bild 54).

Vereinfachungen bei der Wahl der Zugangsdaten sind sicherheitstechnisch kritisch. Es beginnt damit, dass der Benutzername eines Kontos mit der E-Mail-Adresse oder Telefonnummer gleichgesetzt wird. Hier rückt das Kennwort bei der Anmeldung in den Fokus. Die »Fritz-Box 7390« verlangt beispielsweise als Zugangsdaten die VoIP-Rufnummer, die öffentlich ist und ein Passwort; bei internen Rufnummern startet der Benutzername mit dem ersten VoIP-Gerät bei 620, das nächste 621 usw.; es kommt somit auf das Kennwort an, weil der Benutzernamen vorhersehbar ist (Bild 55).
Bild 56: Ein Komfort, der mit Sicherheit bezahlt wird. Im Browsercache lassen sich Anmeldedaten speichern, um lästiges Eintippen zu sparen; ein ­Angriffsseite liest diese ebenfalls aus
Bild 56: Ein Komfort, der mit Sicherheit bezahlt wird. Im Browsercache lassen sich Anmeldedaten speichern, um lästiges Eintippen zu sparen; ein ­Angriffsseite liest diese ebenfalls aus

Auch bei der Verwendung eines sogenannten Schlüsselbunds kommt es auf ein einziges Kennwort an. Benutzername und Kennwort sind dort entsprechend zentral hinterlegt. Weitere Vereinfachungen bei der Authentifizierung existieren. Beim Surfen lassen sich benutzerfreundlich Kennwörter speichern (Bild 56). Viele Endbenutzer nutzen dies dankbar und ahnen nicht, welche Gefahren Sie dem Betriebsrechner zumuten, denn gespeicherte Kennwörter lassen sich leicht von Fremdsoftware auslesen.

Der folgende Beitrag befasst sich mit der Frage, warum es Kennwortrichtlinien gibt, demonstriert diese und zeigt auf, wann ein Passwort sicher ist.

Teil 15

Über den Autor
Autorenbild
Claus Strobel, MSc.

Dozent für IT-Netzwerke/ Antennentechnik und Telekommunikation, Sachverständiger für Antennentechnik, Telekommunikation und IT-Netzwerke

Newsletter

Das Neueste von
elektro.net direkt in Ihren Posteingang!