Herr Dr. Gerathewohl, was haben aus Ihrer Sicht die aktuellen Hackerangriffe der letzten Wochen gezeigt? Was können Nutzer daraus lernen?

Für mich wurde wieder einmal deutlich, wie wichtig es ist, dass sich jeder einzelne von uns eigenverantwortlich und vor allem regelmäßig um die eigenen Passwörter kümmert. Die meisten von uns überprüfen fleißig von Zeit zu Zeit den Ölstand ihres Autos. Genauso ist die Verwaltung von Passwörtern eine Sache, die man wirklich nicht vernachlässigen sollte. Wer ein Passwort über viele Jahre oder sogar Jahrzehnte nicht ändert, geht ein deutlich erhöhtes Sicherheitsrisiko ein. Bei dem aktuellen Angriff wurden beispielsweise neuere Passwörter eher nicht gehackt. Wenn Hacker-Angriffe öffentlich werden, sollte man umgehend überprüfen, ob man selbst betroffen ist. Dies ist möglich über Webseiten wie zum Beispiel HPI Identity Leak Checker vom Hasso-Plattner-Institut / Uni Potsdam oder über  „‘;–have i been pwned?“ , wo man sowohl E-Mail-Accounts als auch Passwörter prüfen kann. Aber auch wenn keine aktuellen Vorfälle vorliegen, gehört eine regelmäßige Überprüfung zu einem effektiven Passwort-Management.

 

Wie sieht denn ein gutes Passwort-Management aus? Was gibt es zu beachten?

Passwort-Management beginnt bereits, wenn man Passwörter erstellt. Am sichersten sind lange und komplexe Passwörter, die Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen kombinieren und die aus mindestens 8, besser mindestens 10 Stellen bestehen. Am besten ist es, wenn ein persönlicher Bezug vermieden wird. Also besser nicht das Geburtsdatum oder den Namen des Haustieres wählen, sondern Kombinationen, die keinen Sinn ergeben. Um sich diese merken zu können, kann man sich eine Eselsbrücke bauen, indem man beispielsweise jeweils die Anfangsbuchstaben der Wörter nimmt, die den ersten Satz eines Gedichtes oder eines Liedes bilden. Wird das Ganze dann noch ergänzt durch ein Sonderzeichen und eine Zahl, lässt sich das dann schon extrem schwer knacken. Außerdem sollten für verschiedene Accounts unbedingt unterschiedliche Passwörter vergeben werden. Und wie erwähnt: regelmäßiges Wechseln nicht vergessen. Wem das alles zu viel Arbeit ist, der kann auch auf entsprechende Apps, sogenannte Passwort-Manager, zurückgreifen, um Passwörter sicher zu verwahren. Viele Accounts bieten übrigens die Möglichkeit einer „Zwei- oder Multifaktor-Authentifizierung“. Das heißt, beim Einloggen gibt es neben dem Passwort in Kombination noch weitere Faktoren, um sich sicher zu authentifizieren. Das kann beispielsweise ein Code bzw. Token sein, also ein Schlüssel, der zusätzlich per SMS geschickt wird.

 

Und wie sieht effektives Passwort-Management auf Unternehmens-Ebene aus?

Generell sollte jedes Unternehmen mit vielen Nutzern zentrale Maßnahmen für ein sicheres Passwort-Management ergreifen. Dazu gehört, dass verbindliche Passwort-Richtlinien festgelegt und diese für die verschiedenen Nutzergruppen oder Zielsysteme bekannt und transparent gemacht werden. Für sogenannte privilegierte Accounts, also beispielsweise Accounts von Administratoren, sollten dann besonders verschärfte Regeln gelten. Diese benötigen zum Beispiel ein deutlich längeres Passwort, das dann auch sehr häufig gewechselt werden muss. Bei einem Angriff sollten alle Mitarbeiter umgehend ihre internen Passwörter wechseln. Oft bleibt dann allerdings nur der Weg, die Accounts zunächst komplett zu sperren. Hilfreich in Unternehmen ist es deshalb, technische Sicherheitssysteme zu verwenden wie professionelle, speziell für Business-Anwendungen ausgelegte Passwort-Manager. Hier ist unter anderem auf eine hohe Revisionssicherheit und Compliance durch Nachvollziehbarkeit und DSGVO-Konformität zu achten sowie auf die Möglichkeit einer Multi-Faktor-Authentifizierung mit kombinierbaren Anmeldemöglichkeiten. Ergänzend sollten Mitarbeiter grundsätzlich zum Thema gut geschult und sensibilisiert werden.

 

Welche Trends sehen Sie? Welche Verfahren im Bereich Passwort-Management sind aus Ihrer Sicht künftig noch interessant?

Grundsätzlich sehen wir einen Trend zur Kombination von unterschiedlichen Faktoren, also wie bereits oben erwähnt hin zur „Multifaktor-Authentifizierung“. Auch an biometrischen Verfahren ist das Interesse groß. Am meisten werden aktuell Fingerabdruck-, Gesichts- und Iriserkennung diskutiert. Da könnte man die Frage stellen, ob das gute, alte Passwort überhaupt eine Zukunft hat. Ich bin der Meinung, dass uns das klassische Passwort noch eine Weile erhalten bleiben wird. Biometrische Daten eigenen sich zwar gut für die Identitätserkennung, aber weniger für die Authentifizierung, weil man sie nicht ändern kann: Wurden biometrische Daten kompromittiert, sind sie in der Regel verloren.

Äußerst interessant ist für die Zukunft neben den Authentifizierungsfeldern „something you have“ (Token, Karte, Ausweis, …), „something you know“ (PIN, Password, hinterlegtes Wissen, …) und „something you are“ (Fingerabdruck, biometrische Parameter, …) ein neues Feld „something you do“. Dieses stellt zur Erkennung das Verhalten eines Nutzers in den Vordergrund.  Unterschiedliche Parameter könnten dabei herangezogen werden wie zum Beispiel Bewegungs- und Pulsdaten (Fitnessuhr) und WLAN-Umgebungen. So könnten nach Abstrahierung und Transformation unverwechselbare Profile generiert werden.

Dr. Peter Gerathewohl ist Geschäftsführer von TESISYSware. Der gelernte Jurist hat auf dem Gebiet der Rechtsinformatik promoviert und verfügt über 30 Jahre Erfahrung im Bereich IT und Sicherheit.