Sicherheitslücke Mensch

Jan Valcke ist Präsident und COO bei Vasco Data Security International.

Schokolade ist gefährlich: Zehn Prozent aller Männer und 45 Prozent aller Frauen sind bereit, kritische Daten für einen Schokoriegel preiszugeben. Das ist zumindest das Ergebnis einer Studie von Infosecurity Europe. Die Mitarbeiter der Sicherheitsfirma gaben sich als Marktforscher aus und teilten in der Londoner Innenstadt Fragebögen aus. Obwohl für das Ausfüllen lediglich ein Schokoriegel und die Teilnahme an einer Verlosung winkten, gab ein Grossteil der Befragten ohne zu zögern heikle Daten wie Adresse, Geburtsdatum, Telefonnummer und sogar private wie geschäftliche Passwörter an.

Neben den mitteilsamen Mitarbeitern sind es vor allem tragbare Computer und Massenspeicher, die dem IT-Administrator Kopfzerbrechen bereiten. Zum Schutz gegen den Daten- und Identitätsklau empfehlen Sicherheitsexperten deshalb folgende Strategien:

Tragbare Computer sind ein bevorzugtes Diebesgut. Nicht nur die teure Hardware reizt die Langfinger, sondern auch auf dem Gerät gespeicherte Daten. Oft befindet sich die komplette Kundendatenbank auf dem Notebook - ein wirklich lohnendes Ziel.

Das Windows-Login ist für Hacker kaum ein Hindernis. Aber auch Fingerabdruckleser oder Keycard machen die Daten nicht sicher; wer es auf sie abgesehen hat, baut einfach die Festplatte aus und nimmt sie in einem anderen Rechner in Betrieb - für einen Fachmann eine Sache von Minuten. Erst wenn die Daten verschlüsselt abgelegt werden, sind Sie vor Hackern einigermassen sicher. Das gilt insbesondere für USB-Sticks. Die kleinen Datenspeicher sind der Alptraum jedes Sicherheitsexperten und sollten für kritische Daten überhaupt nicht eingesetzt werden. Lässt sich dies nicht vermeiden, ist eine konsequente Verschlüsselung umso wichtiger.

Dass man wichtige Passwörter nicht aufschreiben sollte, ist eine allgemein bekannte Grundregel. Viele moderne Browser bieten aber an, das Passwort für den Zugang zu bestimmten Internetseiten zu speichern oder sich automatisch einzuloggen. Dieser Versuchung sollten Notebook-Besitzer widerstehen. Wird das Gerät gestohlen, stehen mit einem Schlag viele persönliche Konten offen. Das kann bei kostenpflichtigen Seiten richtig teuer werden.

Wer in Internetkaffees oder Hotels seine E-Mails abruft, geht ein hohes Risiko ein. Nicht selten sind diese PCs mit Malware verseucht, die Eingaben protokollieren und weiterleiten. Was hier alles mitläuft, ist nicht kontrollierbar, deshalb sollten öffentliche Rechner für den Zugang zum Firmennetz absolut tabu sein.
Ist der Einsatz eines solchen PCs nicht zu vermeiden, sollte ausschliesslich indirekt via verschlüsseltes VPN (Virtual Private Network) gearbeitet werden. Und: Nach Beendigung der Sitzung auf keinen Fall vergessen, alle Zugriffsdaten gründlich zu löschen.

Wer unterwegs Zugang zum Internet benötigt, stellt diesen oft über ein allgemein zugängliches Netzwerk im Hotel oder am Flughafen her. Auch hier ist höchste Vorsicht geboten, denn diese Netze sind oft nicht so gegen Schädlinge geschützt, wie dies bei Firmennetzwerken der Fall ist. Im Unternehmen sorgt eine zentrale Firewall für Sicherheit, die angeschlossenen Rechner brauchen keinen Virenschutz. Wer aber den gesicherten Bereich verlässt, muss sein Notebook zusätzlich lokal absichern. Hier ist ein aktueller Virenscanner und eine Firewall Pflicht. Die Kommunikation sollte auch in diesem Fall wieder unbedingt über ein verschlüsseltes VPN ablaufen.

Eigentlich selbstverständlich: Bankzugangsdaten sollten Sie niemals verraten, auch wenn sich ein Anrufer als Bankangestellter ausgibt. Gleiches gilt, wenn sich jemand als Sicherheitsbeauftragter oder IT-Administrator am Telefon meldet und Ihre Zugangsdaten verlangt. Ein EDV-Mitarbeiter wird sich niemals nach einem Passwort erkundigen. Auch alle anderen Informationen sollte man erst herausgeben, nachdem die Identität des Anrufers oder Besuchers bekannt ist. Dazu genügt oft schon ein kurzer Rückruf in die EDV-Abteilung.

Ob Im Büro oder unterwegs: Oft lässt sich ein Mensch als Schwachstelle nachweisen, wenn es zu einem unautorisierten Zugriff kam. Damit sind zwar der IT-Administrator und der Sicherheitsbeauftragte aus dem Schneider - das generelle Problem ist aber nicht gelöst. Menschen sind nun einmal nicht unfehlbar. So werden Passwörter auf Zetteln notiert, ausspioniert oder an einen Kollegen weitergegeben, damit dieser schnell an wichtige Daten herankommt.

Auch ständiges Ermahnen hilft nicht viel. Die Mitarbeiter haben Wichtigeres zu tun, als sich ständig um die IT-Sicherheit zu kümmern. Ein Sicherheitskonzept muss den Menschen berücksichtigen - und nicht umgekehrt. Die Zugangssicherung mittels Benutzername und statischem Passwort ist heute nicht mehr zeitgemäss.

Moderne Zugangskonzepte wie Strong Authentication geben dem Anwender eine einfache und dennoch sichere Möglichkeit der Identifikation - im Büro und unterwegs. Dabei wird von einem Zusatzgerät jedes Mal ein neues Einweg-Passwort generiert. Dieses braucht der Anwender weder im Kopf zu behalten, noch muss er es selbst ändern. Die Zusatzgeräte haben nur die Grösse eines Schlüsselanhängers - eine kleine Belastung für den Anwender, aber ein riesiger Gewinn für die Sicherheit.

Begriffserklärung

Sicher dank Strong Authentication

Unter dem Begriff Strong Authentication versteht man Zugangssysteme, die zur Identitätsprüfung mehrere Schritte verlangen. Am gängigsten ist dabei eine Zwei-Faktor-Authentifikation. Wer sich einloggen will, muss etwas besitzen (zum Beispiel eine spezielle Hardware) und etwas wissen (also eine PIN). Die Hardware errechnet das dynamische Einmal-Passwort (One Time Passwort, OTP). Dieses ändert sich alle 36 Sekunden. Mit ihm und dem Benutzernamen meldet sich der Anwender an.