Kommentar: Passwortschutz
Passworte sind meist die Wurzel allen Übels
Als Reaktion auf die jüngsten Sicherheitslücken bei den sozialen Netzwerken versuchen viele Unternehmen mit schnellen Patches die Sicherheitsversäumnisse der Vergangenheit vergessen zu machen. Anstatt hektisch eine vermeindliche Lösung zu installieren, die sich langfristig wieder als Irrtum herausstellt, sollten wir uns endlich eingestehen, dass der Datenmissbrauch im Jahr 2012 die Norm darstellt und nicht die Ausnahme.
Nach Angaben des Identity Theft Resource Centers wurden dieses Jahr zwischen dem 1. Januar und Anfang Juni mehr als 189 größere Sicherheitsverstöße bekannt. Bei diesen Einbrüchen waren etwa 13,7 Millionen Datensätze betroffen.
Der kürzlich erfolgte Einbruch bei "LinkedIn" hat extrem viel Aufmerksamkeit rund um die Welt bekommen. Das ist kein Wunder, denn die LinkedIn-Daten sind von viel besserer Qualität als bei anderen Nutzerportalen. Bei LinkedIn gibt einfach zu viele Informationen abzugreifen und der Angreifer erfährt sehr genau, wer die Menschen sind und was ihnen wichtig ist. Auf Grund der qualitativ hochwertigen Informationen sind diese Sites natürliche Ziele für Angriffe. Mit dieser Tatsache muss heute jeder Anbieter von Informationen leben.
Einerseits gehören solche Angriff heute zum Alltag, andererseits zeigt es auch wie schlecht es selbst um die Sicherheit großer Anbieter bestellt ist. Viele kleinere Unternehmen weisen im Alltag noch eine wesentlich schlechtere Sicherheit als LinkedIn auf. Daher wird jetzt schnell und hektisch versucht die vorhandenen (und oftmals seit langem bekannten) Sicherheitslöcher zu stopfen und darauf gehofft, dass das eigene Unternehmen nie von einer Hackerattacke betroffen sein wird.
Bei einer Reihe von Attacken (Aurora, RSA, Stuxnet, LinkedIn) ließen sich die Einbrüche nur über schwache Passwörter realisieren. Der Modus Operandi war bei allen Einbruchsvarianten ähnlich. Eine gezielte E-Mail mit integrierter Malware infiltriert einen PC und verbirgt die Spuren eines Rootkits. Später stellt das Schadprogramm eine Verbindung zu einem Befehls-Server her und lädt einen Keylogger beziehungsweise ein Screen-Scraper-Modul herunter, welches die beabsichtigten Daten (beispielsweise Benutzer- oder Firmendaten) absaugt.
Erschwerend kommt hinzu, dass im Zeitalter des Cloud-Computings, von SaaS und der zunehmenden Mobilität, die Benutzer ihre Anmeldeinformationen überall verbreiten. Allgemein sollte inzwischen bekannt sein, dass Passworte keine Sicherheit bieten. Mit Wörterbuch-Angriffen, Standard- und Rainbow-Tabellen lassen sich auch die komplexesten Passworte knacken.
Vom Konzept her ist der Zugang zur Cloud durch den Nutzer bereits verkehrt konzipiert. Die übliche Methode zur Authentifizierung der Benutzer für einen Cloud-Services basiert auf einem ordinären Benutzernamen und dem damit verbundenen Passwort. Es scheint, dass die Industrie nicht dazu lernen will oder kann. Meist wird an den Benutzer appelliert ihre Zugangsdaten geheim zu halten und durch sichere Kennwörter abzusichern. Dabei kommt meist ein Kauderwelsch aus zufälligen Buchstabenfolgen, Zahlen und Sonderzeichen heraus, welches sich kein Nutzer merken kann. Zwangsläufig werden die komplexen Passworte niedergeschrieben oder der Nutzer legt dieses in seiner persönlichen Passwort-Datei ab. Diese Mechanismen sind altbekannt. Daher suchen die Hacker auch immer zuerst nach solchen Dateien, wenn sie Zugriff auf ein Gerät erhalten.
Auch die von der Industrie als Wundermittel gegen Passworte angepriesenen Tokenzugangsverfahren haben ihre Tücken. Diese Lösungen sind teuer und erschweren die Verwaltung und lassen sich mit dem notwendigen Aufwand ebenfalls knacken. Jeder Sicherheitsexperte kommt früher oder später zu der gleichen Erkenntnis: Es gibt keine einfache Möglichkeit, die durch die Passworte verursachten Probleme zu beheben, aber eine Standardisierung der Zugangsmechanismen würde sicherlich dazu beitragen, diesem Ziel etwas näher zu kommen.
- Passworte sind meist die Wurzel allen Übels
- Sind SSO und SAML die Rettungsanker?
Lesen Sie mehr zum Thema
