Wer unsichere Passwörter verwendet, gleicht einem Wohnungsbesitzer, der den Haustürschlüssel unter den Fußabstreifer legt. Doch welche Passwörter sind sicher, worauf sollten Firmen bei der Auswahl spezieller Programme achten? Wir sprachen darüber mit dem Diplom-Wirtschaftsinformatiker Christian Strobel, COO der auf Passwortsicherheit spezialisierten Firma Mateso.

  Herr Strobel, warum stellen unsichere Passwörter ein Sicherheitsrisiko dar?

Christian Strobel, COO, MatesoStrobel: Passwörter sind wie Sicherheitsschlüssel: Das beste Schloss nützt nichts, wenn der Schlüssel in die falschen Hände gerät. Heute sind nahezu alle wertvollen Informationen mit Passwörtern gesichert – vom Bankkonto bis zu den Profilen in Sozialen Netzen. Mit den heutigen Entschlüsselungs-Möglichkeiten stellen gängige Passwörter längst keine Zugangsbarriere mehr dar. Dies kann gravierende Folgen haben: unberechtigte Abbuchungen, geschäftsschädigende Äußerungen auf der Facebook-Seite, Vertrauensverlust durch den Verlust streng geheimer Patientendaten und so weiter. Längst werden hoch sensible Daten paketweise gehandelt.

Anzeige

  Wann ist ein Passwort sicher?

Strobel: Nie! Es gibt kein Passwort, das sich nicht entschlüsseln ließe. Es ist nur eine Frage der Zeit. Allerdings macht es einen gewaltigen Unterschied, ob sich das Passwort binnen Sekunden oder binnen Jahrzehnten knacken lässt. Es gibt viele Kriterien, die »sichere« Passwörter auszeichnen: Es sollte zum Beispiel keinen Begriff enthalten, der in einem Wörterbuch steht, mindestens zwölf, besser 16 oder mehr Zeichen lang sein, und auch Sonderzeichen enthalten, die nicht auf der Tastatur zu finden sind wie die geschweifte Klammer »}«. Das eigene Geburtsdatum oder das eines Kindes ist ebenso tabu wie der beliebte Begriff »Admin«, Zahlenfolgen wie »12345678«“ oder der Benutzername mit einer Ziffer am Anfang oder Ende.

  Was halten Sie von den BSI-Empfehlungen zur Passwortsicherheit?

Strobel: Das Bundesamt für Sicherheit in der Informationstechnik – kurz BSI – leistet prinzipiell gute Arbeit. Mateso arbeitet als auf Sicherheitstechnologie spezialisierte Firma eng mit dem BSI zusammen. Die Empfehlungen zum IT-Grundschutz enthalten auch wertvolle Tipps zum Passwortgebrauch. Ich kann jedoch folgenden Tipp weder nachvollziehen noch empfehlen: »Das Passwort darf nicht zu kompliziert sein, damit der Besitzer mit vertretbarem Aufwand in der Lage ist, es auswendig zu lernen.« Ich hätte mir gewünscht, dass das BSI klarer auf den Gegensatz zwischen einem leicht zu merkenden und einem einigermaßen sicheren Passwort hingewiesen hätte. Es geht nur eines von beiden, Bequemlichkeit ist der Todfeind der Datensicherheit.

  Wie lange dauert es, um ein achtstelliges Passwort mit entsprechenden Programmen zu entschlüsseln?

Versiegeln eines Passworts mit »Password Safe« (Bild: Mateso)Strobel: Das lässt sich nicht verallgemeinern. Viele Anwender gehen noch davon aus, dass ein achtstelliges Passwort sicher sei, sofern es Groß- und Kleinschreibung, mindestens eine Ziffer sowie ein geläufiges Sonderzeichen wie »#« enthält. Verschiedene Tests mit Spezialprogrammen von Elcomsoft, die die Rechenpower von Grafikkarten zur Entschlüsselung nutzen, beweisen jedoch: Viele achtstellige Passwörter lassen sich binnen Sekunden oder in wenigen Minuten erraten.

  Welche Fehler machen Firmen bei der Verwaltung von Passwörtern?

Strobel: Firmen und Organisationen handeln grob fahrlässig, wenn sie nicht sicherstellen, dass für den Zugang zu sensiblen Informationen ausschließlich sichere Passwörter nach dem Stand der Technik verwendet werden. Andererseits darf die Eingabe und Verwaltung von Passwörtern nicht zu viel Zeit kosten. Sie glauben gar nicht, wie viele Zettel mit dem Passwort sich unter der Tastatur, in der Schreibtischschublade oder dem Bildschirm befinden! Die sich gegenseitig widersprechenden Anforderungen an ein sicheres und zugleich handhabbares Passwortmanagement lassen sich in der Praxis nur dann umsetzen, wenn die Firma oder Organisation eine professionelle Passwortmanagementlösung wie »Password Safe Enterprise« einsetzt.

  Nach welchen Kriterien sollten Firmen und Organisationen Passwortverwaltungs-Software aussuchen?

Strobel: Um sich für Firmen und Organisationen zu eignen, muss die Lösung folgende Mindestanforderungen erfüllen:
► Firmensitz und die Entwicklung sollten zumindest in der EU, besser in Deutschland oder in Österreich liegen, da hier die Datenschutzbestimmungen besonders streng sind.
► Die Lösung sollte die Daten lokal beim Unternehmen oder der Organisation speichern.
► Eine ausgeklügelte Rechteverwaltung ist vor allem bei größeren Einheiten Pflicht – sonst geht die Übersicht schnell verloren.
► Gleiches gilt für den erleichterten Aufbau einer Rechtestruktur durch den Import von Benutzer- und Gruppen-Strukturen und deren Abgleich.
► Praktisch sind eine Auditmöglichkeit und – bei besonders kritischen Daten unabdingbar – ein Mehr-Augen-Schutz-System.
► Standard ist heute das automatische Generieren von komplexen und einzigartigen Passwörtern nach hinterlegten Richtlinien und Ausschlussverfahren.
► Im Alltag erleichtert eine automatische Eintragung mittels Agent und Addons den Einsatz der Lösung für die Mitarbeiter.
► Um Nachvollziehbarkeit zu gewährleisten, muss das Speichern von Dateien mit allen Anhängen wie Zertifikate, Lizenzen, Systemdokumentation etc. möglich sein.
► Es ist nötig, Accounts auch mit einer Mehrfaktor-Authentifizierung zu schützen. Hiermit muss sich eine Person mit einem weiteren Merkmal beim Login-Prozess bestätigen.
► Schließlich ist entscheidend, ob der Service und Support mit eigenen Mitarbeitern durch die anbietende Firma erfolgt oder eventuell Dritte tätig werden.

  Was raten Sie Privatanwendern bezüglich Passwortsicherheit – ist für sie ein eigenes Programm wirklich nötig?

Strobel: Ja! Passwort-Manager sind auch für Privatanwender mit geringeren Sicherheitsanforderungen dringend anzuraten. Sie brauchen aber keine Server-gestützte Lösung, eine besonders preiswerte Einzelplatzlösung genügt.

  Welche Bedeutung messen Sie der Passwortsicherheit in einer Skala von 0 bis 10 zu, wobei 10 für die höchste Priorität steht?

Strobel: Ich würde die Passwortsicherheit sehr hoch einstufen – etwa auf Stufe 9, gleich nach grundlegenden Sicherheitsmaßnahmen wie dem Einspielen von Sicherheits-Updates für das verwendete Betriebssystem.