Ihr Unternehmen / Ihre Anwendung auf ECIN: jetzt kostenlos registrieren
Menu

ECIN Home | Aktuell | Spotlight | April 2004

Mit Schokolade den Passwortriegel knacken
28.04.2004 | Artikel drucken | Artikel empfehlen

Schon eine süße Verlockung reicht in Großbritannien offenbar aus, damit sich Nutzer bereitwillig von dem „Allerheiligsten“, nämlich ihren IT-Zugangs-Passwörtern, trennen. Und auch sonst geben sie bereitwillig Auskunft.

Eine entsprechende Befragung von Büroangestellten in London in Zusammenhang mit der gegenwärtig gerade stattfindenden „Infosecurity Europe 2004“ förderte erstaunliche Ergebnisse zutage: So zeigten sich satte 71% der Befragten dazu bereit, allein für einen Schokoladenriegel ihr Computer-Passwort preiszugeben. Im Rahmen eines kleinen Fragenkatalogs, der auch eine entsprechende Frage nach dem Passwort enthielt, gaben 37% die gewünschte Auskunft sogar ohne zusätzlichen „Bestechungsversuch“. Und immerhin 34% beantworteten die vom Interviewer geäußerte Vermutung: „Ich könnte wetten, Ihr Passwort hat etwas mit Ihrem Haustier oder dem Namen Ihres Kindes zu tun“, mit der Preisgabe der gewünschten Informationen. Und tatsächlich rangieren Begriffe wie diese ganz weit oben in der Vergabepraxis: Den Spitzenplatz belegen laut Befragung die Namen von Partnern und den eigenen Kindern (15%), gefolgt von Fußballmannschaften (11%) und Tiernamen (8%). Das insgesamt gebräuchlichste Passwort lautet „admin“. Bei dieser Vorgehensweise verwundert es kaum, dass die einmal festgelegten Passwörter bei immerhin zwei Dritteln nicht nur im beruflichen Alltag, sondern auch privat – etwa beim Online-Banking – in gleichem Maße zum Tragen kommen.

Der insgesamt recht sorglose Umgang mit vertraulichen Informationen wird auch durch andere Feststellungen unterstrichen: So hätte die Mehrheit der Befragten kein Problem damit, sensible Informationen wie etwa Gehaltsangaben im Falle eines Jobwechsels einfach mitzunehmen und an das neue Unternehmen weiterzureichen. Und stellvertretend für den unkritischen internen Umgang mit Passwörtern verweisen die Analysten auf die bedeutungsvolle Aussage eines Befragten: „Ich arbeite in einem Call Center für Finanzdienstleistungen. Unsere Passwörter wechseln täglich, aber ich habe keine Probleme damit sie mir zu merken, weil sie auf eine Tafel geschrieben sind, so dass sie jeder sehen kann. Ich nehme jedoch an, dass sie entfernt werden, bevor die Reinigungskräfte das Haus betreten.“

Vielleicht liegt es am eigenen Verhalten oder dem bekannten Umgang mit vertraulichen Informationen, dass 92% der Befragten anstelle von Passwortcodes lieber auf biometrische Verfahren wie Fingerabdruckerkennung oder Iris-Scanning zurückgreifen würden.

Während sich das Nutzerverhalten in Hinblick auf die Sicherung sensibler Daten und Informationen nur sehr schwer und eher mittelfristig korrigieren lässt, konzentrieren sich die Spezialisten zunächst auf die Ansprache der Unternehmen insgesamt sowie auf die Verbesserung der bestehenden technischen Strukturen. So haben die Interxion Telecom GmbH und der Certcom AG hierzulande jetzt mit Unterstützung des eco Forum e.V. eine nationale Initiative für Internet-Sicherheit (NIFIS) gestartet. "Rund 90 Prozent des Internetdatenverkehrs in Deutschland fließt durch das Interxion-Knotenzentrum in Frankfurt am Main. Dadurch erwächst eine Verantwortung nicht nur für das Internet, sondern für alle Aspekte des gesellschaftlichen und wirtschaftlichen Lebens, die vom Datennetz abhängig sind", erklärt Interxion-Geschäftsführer Peter Knapp. Ziel ist unter anderem der Aufbau eines bundesweiten Netzes von Notfall-Stationen, die erste Hilfe leisten, wenn Unternehmen über das Internet angegriffen werden. Darüber hinaus will die Initiative von Interxion und Certcom die Prävention der Wirtschaft vor Angriffen erhöhen und zugleich die Haftung von Vorständen und Geschäftsführern bei Sicherheitslücken in ihren Firmen thematisieren. Die Initiative wird vom Gründungspräsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Dr. Otto Leiberich, aktiv unterstützt.

Interxion hat gemeinsam mit Certcom eine Sicherheitsmatrix entwickelt, mit der Unternehmen ihr Risikopotenzial senken können. Die unterste Stufe beinhaltet einen Warn- und Informationsdienst, der die Firmen über sicherheitsrelevante Aspekte auf dem Laufenden hält. Ein monatliches Sicherheitstestat dient als Nachweis gegenüber Wirtschaftsprüfern und Banken, die bei der Kreditbeurteilung gemäß Basel II auch Sicherheitsrisiken bewerten müssen. In der zweiten Stufe hilft ein Expertenteam bei der Prävention und leistet im Notfall erste Hilfe. Bei kritischer Bedrohungslage werden die Firmen per SMS und Fax informiert, um das Angriffsmedium Internet zu umgehen. Die höchste Sicherheitsstufe umfasst nicht nur den Schutz vor äußeren Attacken, sondern auch vor Angriffen von Mitarbeitern aus dem eigenen Unternehmen. Hierzu werden "elektronische Detektive", sog. LAN-Sensoren (Local Area Network), ins Firmennetz eingeschleust, die im Fall der Fälle sofort Alarm schlagen und interne Sicherheitsschranken herunterlassen. Wie Interxion betont, können die neuen Certcom-Dienste von jedem Unternehmen in Deutschland in Anspruch genommen werden. Bislang gab es kein flächendeckendes Cert-Angebot für alle Firmen in Deutschland, sondern nur einzelne Erste-Hilfe-Stationen in Konzernen und Behörden, die jeweils nur ihre Organisationen versorgen.

Zusammengefasst lässt sich feststellen: Die Gefahr für Unternehmen sensible Daten und Informationen preiszugeben oder gar zu verlieren, geht weniger von der technischen Seite, als vielmehr von der richtigen Einstellung aller Beteiligten aus. Trotz vielfach publizierter Webattacken und Virenbefall, können sich viele Unternehmen noch nicht zur konsequenten Ergreifung adäquater Maßnahmen entschließen. Ein Beispiel, dem die Mitarbeiter dann nur allzu bereitwillig folgen.

Autor: Ralf Koyro

Über Anregungen und Kritik freut sich die Redaktion

Artikel drucken | Artikel empfehlen


Zum gleichen Thema:

Netz-Attacken ängstigen Unternehmer 03.12.2003 - Betrug hat immer Konjunktur!
Netz-Attacken ängstigen Unternehmer 19.04.2004 - IT-Sicherheit: kostenloser Basis-Check
Netz-Attacken ängstigen Unternehmer 06.04.2000 - Sicherheit: Hürde für E-Commerce
Netz-Attacken ängstigen Unternehmer 27.02.2001 - Netz-Attacken ängstigen Unternehmer


Mehr News | Spotlights zum Thema 'Sicherheit & Technik'


... zum Archiv