Zugangskontrolle

1. Qualität und Vertraulichkeit von Passwörtern

Zur Kontrolle des Zugangs werden häufig Passwörtern verwendet. Hierzu gibt es eine Reihe von wichtigen Anmerkungen.

1.1 Qualität von Passwörtern

Um eine effektive Sicherheit zu gewährleisten, müssen die Passwörter einigen Mindestkriterien genügen. So sollte ein Passwort mindestens acht Zeichen lang sein. Es sollte Groß- und Kleinbuchstaben beinhalten und möglichst auch Zahlen und Sonderzeichen.
Leider haben sichere Passwörter die unangenehme Eigenschaft, dass man sie sich nicht merken kann. Dafür gibt es aber einen Effektiven Trick: Man benutzt eine Eselsbrücke. So wird aus dem Satz „Mein Arbeitgeber ist für mich die Nummer eins“ das Passwort „MAifmdN1“. Dieses Passwort ist nur noch mit größter Mühe durch einen hohen Zeitaufwand zu knacken.
Im Internet sind kostenpflichtige Programme zu erhalten, die sich damit rühmen, vielerlei Passwörter herausfinden zu können. Sollten diese Programme das Passwort nicht im Klartext auslesen können, sondern mit systematischem Ausprobieren arbeiten, so zahlt sich ein komplexes Passwort schnell aus.

1.2 Individualität von Passwörtern

Ein weiteres Sicherheitskriterium von Passwort ist die Individualität. Für jedes Programm und jede Webseite muss ein eigenes Passwort erfunden werden. Andernfalls könnte ein Angreifer (oder neugieriger Kollege) durch das Wissen eines Passwortes an verschiedensten Stellen Schaden anrichten.
Dieser Forderung liegt die Beobachtung zugrunde, dass Hacker ein bekanntes Passwort (optimalerweise in Verbindung mit einer E-Mail Adresse) sofort an verschiedensten Stellen im Internet ausprobieren: ebay, Paypal und ähnliche Seiten sind ein lohnenswertes Ziel.
Diese Forderung hat fast zwangsläufig zur Folge, dass man sich die Passwörter schriftlich notieren muss. Dies sollte natürlich nicht durch den sprichwörtlichen Zettel unter der Tastatur geschehen. Vielmehr muss sehr viel Sorgfalt in eine geheime Passwortliste investiert werden. An dieser Stelle bieten sich spezielle Computerprogramme an, die Passwörter verwalten können.
Wird ein kompliziertes Passwort durch eine Eselsbrücke gebildet (wie das obige „MAifmdN1“), dann sollte die Eselsbrücke ebenfalls notiert werden, andernfalls weiß man irgendwann nicht mehr, wie sich das komplizierte Passwort bildete.

1.3 Passwörter unterwegs

Einige Passwort-Speicher-Programme können sich mit einem Pocket-PC abgleichen. Sowohl auf dem Computer, als auch auf dem Pocket-PC sind diese Daten verschlüsselt abgelegt. Dies ist sehr praktisch, da man auch im mobilen Einsatz alle Passwörter bei sich hat. Darüber hinaus ist der Pocket-PC auch noch eine „Sicherheitskopie“ der Daten.

1.4 Automatisches Speichern von Passwörtern

Viele Programme bieten ein automatisches Speichern von Passwörtern an. Dies ist beispielsweise beim Internet-Explorer von Microsoft der Fall. Diese Option sollte man niemals nutzen, denn

  1. vergisst man im Laufe der Zeit die Passwörter und im Falle eines Datenverlustes ist man hilflos,
  2. nutzen auch Angreifer oder neugierige Kollegen diese gespeicherten Passwörter,
  3. könnten die Passwörter durch ein Schadprogramm möglicherweise ausgelesen werden.

Aktuelle Schadprogramme lesen die Passwörter auf einer manipulierten Webseite aus und drücken automatisch auf den „OK-Knopf“. Aktuelle Forschungen haben ergeben, dass alle Browser extreme Sicherheitslücken in den Passwort-Managern aufweisen.

1.5 Ausspionieren der Passwörter

Im Internet befinden sich zahlreiche Webseiten, die von sich behaupten, dass sie Passwörter ausspionieren können. Dabei werden die verschiedensten Mechanismen genutzt. Ob die angebotenen Programme wirklich das leisten, was sie versprechen, ist unklar. Ganz sicher ist jedoch, dass es sich um Schadsoftware handeln kann, die jeden denkbaren Schaden anrichten kann (zumal man unter Windows als Administrator angemeldet sein muss). Im Falle eines Angreifers, der auf einem fremden Computer spioniert, ist der anschließende Schaden im Betriebssystem allerdings kein wichtiges Gegenargument; er kann sogar gewollt sein.
Die Gefährdung der Passwörter lässt sich in verschiedene Kategorien einordnen:

  • Bestehende Passwörter werden ausgelesen
    • Gespeicherte Passwörter werden entschlüsselt und angezeigt. Dies gilt für Windows, für geschützte Dateien, für Webseiten, für E-Mail-Passwörter, MS-Office-Dateien, für Remotedesktop und für VPN-Verbindungen.
    • Durch Sternchen verborgene Passwörter werden im Klartext angezeigt.
  • Aktuell zu übertragende Passwörter werden ausgelesen
    • Mittels Keylogger (als Hard- oder Software) wird aufgenommen, was der Anwender aktuell eintippt.
    • Der Datenverkehr der Netzwerkkarte wird abgehört.
Als Konsequenz lässt sich unmittelbar schließen, dass Passwörter auf keinen Fall gespeichert werden dürfen. Stattdessen muss der Benutzer die Mühe auf sich nehmen, die Passwörter jedes Mal manuell einzutippen.
Das Ausspionieren von Passwörtern (auch der Besitz der notwendigen Software) ist gemäß den „Hacker-Paragraphen“ §202c StGB durch das Strafgesetzbuch strafbar.

1.6 Passwörter mit 4-Augen Prinzip

Unter bestimmten Umständen ist es erforderlich, dass bestimmte elektronische Daten nur dann eingesehen werden dürfen, wenn mehrere Personen dies legitimieren. Dies gilt beispielsweise für die Liste aller Passwörter eines Unternehmens, die vielleicht besser nicht in die Hände einer einzelnen Person gelegt werden sollte.
In solchen Fällen ist ein 4-Augen-Prinzip ratsam. Zu diesem Zweck wird beispielsweise ein 20 Zeichen langes Passwort geschaffen, dessen ersten 10 Stellen nur der Person „1“ bekannt sind, und die letzten 10 Stellen nur der Person „2“. Somit ist ein Zugriff auf die Daten nur bei Kooperation beider Personen möglich.

2. Betriebssystem-Auswahl beim Start des Computers

Im BIOS eines jeden Rechners wird eingestellt, von welchem Datenträger das Betriebssystem geladen werden soll. Standardmäßig sollte nur das Starten von Festplatte erlaubt sein, weil dadurch sichergestellt ist, dass nur das vorgesehene Betriebssystem (Windows oder Linux) geladen wird.
Wäre das Starten von CD erlaubt, so könnte der Benutzer auch nicht vorgesehene Betriebssysteme starten. Dies führt dazu, dass er möglicherweise Daten lesen könnte, zu denen er keine Berechtigungen hat. Dies ist der klassische Weg, wie Datendiebstahl stattfinden kann.
Alle Computer, die personenbezogene Daten verarbeiten, dürfen ihr Betriebssystem nur von der Festplatte aus laden. Diese BIOS-Einstellung muss mit einem Passwort geschützt werden.


Zurück zur Themenübersicht


Navigation
QR-Code
QR-Code Zugangskontrolle (erstellt für aktuelle Seite)