Chocolate Engineering
Frauen tauschen Kennwörter gegen Süßigkeiten
Immer wenn Infosecurity ist, lassen sich die britischen Veranstalter des Events eine kleine Straßenstudie zum Thema Sicherheit einfallen. Wie schon in mehreren Jahren zuvor testete man auch dieses Jahr die Bereitwilligkeit von Londoner U-Bahn-Passanten, gegen kleine Versprechungen oder Geschenke Informationen preiszugeben, die ein Industriespion für dunkle Zwecke nutzen kann.
Man hatte es wieder einmal auf Kennwörter abgesehen. Die Mitarbeiter tarnten sich als
Marktforscher und nutzten einen Schokoriegel als probates Lockmittel für die Teilnahme an einer
Umfrage, bei der auch nach dem Kennwort für die Unternehmens-IT gefragt wurde. Die gute Nachricht:
Nur noch 21 Prozent aller Angesprochenen verrieten Passwörter, 2007 waren es noch 64 Prozent. Hier
haben nach Ansicht des Veranstalters Awareness-Maßnahmen gegriffen, zu denen im Grunde ja auch
diese jährliche Umfrage gehört. Interessant war allerdings auch ein anderes Ergebnis: Nur zehn
Prozent der Männer, denen man mit der "Sweet-Force-Attacke" zu Leibe rückte, gaben sich
auskunftsfreudig, aber immerhin 45 Prozent der angesprochenen Frauen. Psychologen würden hier
allerdings erst einen Blick auf Situation und Umfragetechnik werfen, bevor sie das Ergebnis als
signifikant einstufen würden.
Weitere Resultate: Mehr als die Hälfte der Befragten verwendet dasselbe Kennwort für alle Fälle,
in denen eine entsprechende Authentifizierung notwendig ist, und sagten dies auch bereitwillig. 61
Prozent nannten im Rahmen der Pseudo-Umfrage ihr Geburtsdatum. Versprach man ihnen die Teilnahme an
der Verlosung einer Parisreise, gaben 60 Prozent der Männer und 62 Prozent der Frauen ihre
Kontaktinformationen her. Auch dies finden die Veranstalter der Umfrage alarmierend, weil ein
Social Engineer solche Infos für gezieltere Angriffe nutzen könnte – spätestens hier stellt sich
allerdings die Frage nach dem Sinn, denn Business-Kontaktadressen können wohl nur in seltenen
Fällen als vertraulich eingestuft werden.
Die Hälfte der Befragten gab an, Kennwörter von Kollegen zu kennen. 58 Prozent würden ihr
Passwort jemandem nennen, der sich am Telefon als Mitarbeiter der IT-Abteilung bezeichnen
würde.
Insgesamt mag also wohl die Awareness gestiegen sein, aber zurücklehnen darf man sich als
Sicherheitsverantwortlicher noch nicht. Außerdem stützte die Umfrage ein weiteres Mal die These,
Kennwörter seien wohl eher ein Ärgernis als ein Sicherheitstool: 31 Prozent der Befragten benötigen
ein einziges Kennwort für die Arbeit, weitere 31 Prozent zwei, 16 Prozent drei – aber es gab auch
ein paar arme Seelen, die nicht weniger als 32 Kennwörter verwenden mussten. Diese Menschen hätten
wohl einen ganzen Kuchen statt einen Tadel dafür verdient, alle Credentials tatsächlich herbeten zu
können – und dass 43 Prozent der Befragten ihre Passwörter nie oder nur selten ändern, darf vor
diesem Hintergrund eigentlich auch niemanden wundern.
LANline/wj
Lesen Sie mehr zum Thema
