Die IT-Sicherheit – obwohl in der Natur der Sache begründet eine recht junge Domäne – hat auch schon ihre Mythen. So den Irrglauben (oder zumindest die überholte Vorstellung), dass häufiges Wechseln von Passwörtern ein Mehr an Sicherheit bedeutet – aber: weit gefehlt!
Regelmäßig fordern automatische Systeme die User auf, ein neues Passwort zu setzen. „Password Ageing“ oder „Expiry“ heißt das Verfahren. Brav richten motivierte Mitarbeiter das neue Kennwort nach den Regeln der Firma neu ein. Sie sind in einer Company beschäftigt, die ihr Personal regelmäßig für IT-Sicherheitsthemen schult und sensibilisiert.
Doch: Immer mehr Studien untermauern die These, dass der regelmäßige Passwortwechsel dem Sicherheitsstreben eher schadet als nützt. Schuld ist der „Erfindungsreichtum“ der Anwender. Sie entwickeln regelrechte Passwort-Strategien – denn merken kann sich die vielen Zeichenketten keiner mehr. Damit genügen sie zwar den umfangreichen Firmenvorgaben, erleichtern aber modernen Hackertools das Leben. Denn damit wird das Muster, nach dem Anwender ihre Passwörter generieren, zum vielversprechenden Angriffsziel. Wenn der Anwender nur gerade so viele Zeichen in seinem Passwort ändert wie nötig, kann er sich das neue einfacher merken. Das führt auf der Seite der Hacker zur Entwicklung von Algorithmen, die die nächste Änderung vorhersagen können. In Studien konnten damit in 17% der getesteten Fälle neue Passwörter mit nur 5 Versuchen erraten werden! mit Hilfe von Hochleistungscomputern lässt sich das auf 41% in 3 Sekunden steigern – und die Studie stammt aus 2010!
Also was tun? Tatsache ist: ein schwaches Passwort bleibt ein schwaches Passwort. Egal, wie lange es gültig ist. Wird beim kurz getakteten, erzwungenen Erneuern wieder ein schwaches Passwort gewählt, ist der Sicherheitsgewinn gleich Null. Das häufige Wechseln des Passworts verfolgt zwei Ziele: Eine Brut-Force-Attacke zu erschweren und bereits erfolgreichen Hackern den Systemzugriff wieder zu entziehen. Beide Ziele werden nicht erreicht. Mit einem leicht zu erratenden Passwort eine Brut-Force-Attacke zu verhindern, würde erfordern das Passort alle zwei, drei Tage zu erneuern. Und wenn der Hacker einmal im System war, hat er sich längst andere Hintertüren geöffnet, die seine Aktivitäten unabhängig von Passwortänderungen des Users machen. Das Geld, das Unternehmen in die Arbeitszeit ihrer Administratoren und die erforderliche Software investieren, um den regelmäßigen Passwortwechsel zu erzwingen, können sie also getrost für Sinnvolleres ausgeben.
Was ist mit der Mehrfaktor-Authentifizierung? Benutzername und Passwort sind ja schon zwei Faktoren. Jeder weitere Faktor ist im Prinzip „nur“ ein weiteres Passwort – die zusätzliche PIN über das Handy zum Beispiel. Echte Lösungen für das Problem gibt es derzeit nicht. Und kein Irisscan, keine Tippverhaltenserkennung löst die Problematik kompromittierter Endgeräte, schlechter Software oder zu langer Patch-Zyklen.
Und wieder gelangen wir zur gleichen Erkenntnis: 100%igen Schutz gibt es nicht. Bleibt uns nur, es den Angreifern so unbequem und aufwändig wie möglich zu machen, in dem wir alle Sicherheitsaspekte einbeziehen und uns nicht in Sicherheit wiegen, weil wir nach drei Wochen wieder unser Passwort angepasst haben. Mehrfaktor-Authentifizierung, ein wirklich zufälliges, ausreichend langes Passwort, keine Mehrfachverwendung von Zugangsdaten und das ganze in einem vernünftigen Passwort-Safe verwaltet. Das ist schon mal ein guter Anfang. Übrigens bieten moderne Passwort-Apps mehr als nur die sichere Aufbewahrung: sie generieren auch gleich die zufälligen Passwörter in ausreichender Länge, warnen vor Doppelbenutzung und informieren, wenn genutzte Services im Netz kompromittiert wurden. Weitere gute Ansätze sind das aufmerksame Analysieren von auffälligem Nutzerverhalten (z.B. fehlerhafte Anmeldeversuche) und natürlich die Basics, wie eine Soft- und Hardware-Umgebung, die sich auf dem aktuellen Patchstand befindet – ein trotz aller Appelle immer noch zu oft vernachlässigter Punkt – und vernünftige Monitoring- und Intrusion-Detection-Systeme. Sogenannte „Blameware“ (nach dem Motto: „Wer von IBM/Siemens/Microsoft eingekauft hat, ist noch nie gefeuert worden!“ oder „Was teuer ist muss gut sein“ und „Was alle machen, kann so falsch nicht sein“) befördert zwar ein ruhiges Gewissen – aber längst nicht immer die IT-Sicherheit!
Ihr Ansprechpartner zu diesem Thema:
Guido Luxem
Geschäftsleiter der
ED Business Solutions GmbH & Co. KG
Tel. 02632/296-0