Netzpolitik
Sichere Passwörter im Unternehmen
Faktor Mensch berücksichtigen
Passwörter sollen den Zugang zum PC oder zum
ganzen Firmennetz schützen. Doch ohne für die Mitarbeiter
nachvollziehbare Sicherheitsregeln sind diese Kennwörter keinen
Pfifferling wert, schreibt das Magazin iX
in seiner aktuellen
Ausgabe und fordert Schulungen zur Sensibilisierung der
Anwender.
Brute-Force und Co.
Die Vergabe von Benutzernamen in Kombination mit einem Passwort
ist der wohl verbreitetste Zugangsschutz für Firmen-PCs oder -Netze.
Viele Angestellte wählen zu einfache oder zu kurze Passwörter,
bemängelt das Magazin. Diese seien zwar auf dem System
verschlüsselt abgelegt, doch mit geeigneten Tools in kurzer Zeit zu
knacken. Crack-Programme beispielsweise bilden den
Verschlüsselungsalgorithmus nach und probieren einfach bekannte
Passwörter aus. Dabei benutzen sie umfangreiche Wörterbücher,
permutieren auch die einzelnen Wörter oder kombinieren diese mit
Zahlen. So bedarf es oft nur weniger Minuten, um das richtige
Kennwort herauszufinden. Eine andere Methode, die bei zu kurzen
Passwörtern zum Erfolg führt, ist der so genannte
Brute-Force-Angriff, ein Ausprobieren sämtlicher Möglichkeiten.
Richtlinien zur Kennwortvergabe
Um die IT-Sicherheit zu erhöhen, haben darum viele Firmen
Richtlinien zur Kennwortvergabe eingeführt: Das Passwort muss eine
bestimmte Mindestlänge haben, Sonderzeichen enthalten oder
wöchentlich gewechselt werden. Theoretisch lässt sich so durch eine
maximale Sicherheitsstufe ein erfolgreiches Knacken von Passwörtern
nahezu ausschließen. Doch neuere Untersuchungen haben ergeben, dass
bei zu strengen Vorschriften die Sicherheit wieder auf einen
niedrigeren Level sinkt. Denn die Benutzer können sich zu
komplizierte Passwörter nicht merken, wählen die einfachsten gerade
noch erlaubten oder notieren sie sogar auf Zetteln.
"Ein psychologisches Problem"
"Eine firmenweite 'Passwortpolitik' ist nicht nur ein technisches,
sondern auch ein psychologisches Problem" beschreibt iX-Chefredakteur
Jürgen Seeger den Sachverhalt. "Wenn die Anwender den Sinn von
Sicherheitsmaßnahmen nicht mehr verstehen, versuchen sie, diese zu
umgehen." Das gleiche passiere, wenn die geforderten Verfahren sich
als für die tägliche Arbeit zu umständlich herausstellten. Zur
IT-Sicherheit gehöre zwingend auch die Schulung und Sensibilisierung
der Benutzer, sonst sei das Geld dafür "zum Fenster hinausgeworfen". (red)