Problems logging in
Edgar Scholl

Edgar Scholl

for IT-Sicherheit, Cyber Security

2.5.2019 - Welt-Passwort-Tag: Und es kommt doch auf die Länge an!

Edgar Scholl - Experte IT Sicherheit
2001 - 2019: Und es kommt doch auf die Länge auf!

Was es alles gibt ... Es gibt zum Beispiel Mitarbeiter, die tauschen ihr Firmen-Passwort gegen eine Tafel Schokolade (Quelle Stern TV). Der Chef vertritt die Meinung „Bei uns jibbet net viel zu holen“.

Und manche Menschen, die ‚verkaufen‘ ihr Firmen-Passwort sogar – nur temporär versteht sich. So kann dann jemand anderes (in deren Namen) auf geheime Firmendaten zugreifen und je nach deren Position im Unternehmen (und Datenzugriff) verdient man (Frau auch) mal schnell bis zu 2.500 Euro. Sind die Daten kopiert, ändert man oder frau wieder das Passwort und keiner hat´s gemerkt!?

Von beidem kann ich Ihnen nur dringend abraten!

Auch schön: Ich habe in meinen Schulungen immer mal wieder gefragt, wer von den Teilnehmern/-innen glaubt, ein total sicheres Passwort zu haben. Ein paar Finger fliegen hoch (Streber!). Wie in der Schule nehme ich jemanden dran und bitte sie/ihn ans Flipchart das sichere, vorbildliche Passwort mal anzuschreiben – so haben wir dann alle was davon. Passwörter aufschreiben, egal ob in einem meiner Seminare oder für Kollegen, die die Urlaubsvertretung machen sollen, halte ich ebenfalls für eine total bekloppte Idee, Sie nicht auch?

Mit Passwörtern kann man noch andere tolle Sachen machen ... Man kann sie massenhaft stehlen … Der Reihe nach: Nach dem Motto der Bundesregierung ‚Niemals ohne‘ benötigen Sie heute nahezu überall ein Passwort, ob bei ebay, PayPal, Facebook, Googlemail, AMAZON, Zalando – ach, ich könnte noch hunderte aufzählen. Hatte ich P0rno- und Gaming-Server gesagt? Nein? Da müssen wir drüber reden. Mit den P0rn0- und Gaming-Servern im Internet ist es ähnlich wie mit Viagra und Fastfodd-Ketten: Kennt jeder, nutzt aber niemand – jährliches Wachstum weit mehr als 20 Prozent! Komisch, oder?

Jetzt wird es interessant. Auf diesen Servern liegen tausende, gar Millionen von Benutzerdaten, wie E-Mail-Adressen, Passwörter, Bankverbindungen und Kreditkarten-Daten meist unzulänglich gegen Diebstahl geschützt. Und immer dort, wo viel zu holen ist, sind auch viele Kriminelle – das war schon immer so. Vor einiger Zeit wurde nicht nur eine Porno-Farm – sondern auch das weltgrößte Seitensprungportal – Ashley Madison – ‚gehackt‘. Die Kriminellen waren so freundlich alle gestohlenen Daten öffentlich ins Internet zu stellen – aber nur für kurze Zeit *grins*. Durch ‚Zufall‘ bekam ich Zugriff auf mehr als 32 (!) Millionen Accounts, davon 610.000 in Deutschland, und war doch sehr überrascht, wer dort alles ‚vertreten‘ ist. Häufig sogar mit Arbeitgeber-E-Mail-Adresse und besonders interessant waren die verwendeten Passwörter*.

So geraten Anmeldeinformationen dann in den globalen, digitalen, öffentlichen Umlauf. Besonders klasse, wenn man sich nun ausmalt, was man damit alles anstellen kann. Nach dem Motto ‚Es kann nur einen geben‘ nutzen die meisten User auch nur ein Passwort für alle Zugänge. Mit Ihrer E-Mail-Adresse und Ihrem (zentralen) Passwort könnte man nun bei Zalando shoppen, bei ebay Schmuck kaufen, oder …

*Anmerkung: Wer wissen möchte, ob seine Daten dabei waren, kann sich häufig im Netz vergewissern. Wie vor einiger Zeit bei der BSI-Aktion (16 Millionen E-Mail-Adressen von Deutschen geklaut) selbstverständlich ein kostenfreier SERVICE für Sie …

Beste Services bieten hier https://haveibeenpwned.com/ und die DEUTSCHE TELEKOM.

Apropos gecheckt: Im Internet finden Sie diverse Passwort-Check-Seiten – wie zum Beispiel diese: https://review.datenschutz.ch/passwortcheck/check.php

Meine Tipps: Geben Sie NIEMALS – ich betone NIEMALS – Ihr echtes Passwort in einen Passworttest ein! Und 10 Zeichen sind schon lange nicht mehr aktuell.

Wirklich sichere Passwörter bestehen aus einer unbestimmten Kombination von Groß- und Kleinschreibung, Zahlen und Sonderzeichen – das weiß doch jeder – und haben heute mindestens 17 (!) Zeichen, ja siebzehn!!! Spinnt der Scholl jetzt völlig? Nein! 17 (!) Zeichen kann sich niemand merken? Doch! Ich selbst habe das mit meinem Passwort-Leitfaden gelernt –das können Sie auch. 

Du sollst nicht lügen Das achte Gebot Gottes lautet „Du sollst nicht falsch Zeugnis reden …“ – hier habe ich einen besonders schönen Tipp für Sie. Wenn Sie zum Beispiel nach dem Mädchen-Namen Ihrer Mutter gefragt werden, warum nicht mal den der Oma angeben? Das erste Auto kann auch ein Motorrad gewesen sein usw. Wir verstehen uns doch, oder?

Merke: Ein Passwort mit 8, 10, 12 oder auch 16 Zeichen kann man heute in wenigen Minuten/Stunden knacken. Selbst hierfür lassen sich für wenige Dollar ‚Cloud-Services buchen‘.

Mein Fazit: „Ich dachte, schlimmer kann es nicht kommen, doch es kam noch schlimmer“, sagt der Volksmund und behält leider Recht, wie uns die Nachrichten in 2015 deutlich zeigten.

Checkliste … Cyberkriminelle haben es fast ausschließlich auf Daten abgesehen. Daten sind sprichwörtlich Gold wert. Ob Ihre persönlichen Daten oder Firmendaten. Daher heißt mein

Tipp Nummer 1: Trennen Sie unbedingt private und geschäftliche Zugänge/Passwörter. Der Vorteil von mehreren Passwörtern liegt auf der Hand: Wird eines geknackt oder gestohlen, kommt der Dieb nicht an alle Ihre Konten und Zugänge gleichzeitig!

Tipp Nummer 2: Steigen Sie privat auf ‚Einmal‘-Passwörter um. Einige Online-Services, wie zum Beispiel Google-Mail, bieten mittlerweile eine 2-Faktor Authentifizierung, das heißt Google erweitert den Anmeldevorgang um die Eingabe eines zusätzlichen Merkmals. Nutzer des Dienstes Google-Mail erhalten eine SMS an die im Google-Konto hinterlegte Handynummer, dieser Einmal-Code (PIN) stellt neben Benutzernamen und Passwort ein weiteres Authentifizierungsmerkmal dar. Viele von Ihnen kennen das bereits vom Online-Banking (Einmal-Tan per SMS).

Tipp Nummer 3: Nur für Geschäftsführer und IT-Verantwortliche. Die ‚Kronjuwelen‘ vieler Unternehmen sind heute deren Daten. Daten im Datacenter, Daten auf Entwicklungs-Servern, Daten in Datenbanken, Daten in der Cloud usw. Beantworten Sie mir, dem Wirtschaftsprüfer oder sich selbst mal folgende Frage:

WER greift WANN von WO mit WELCHEM Gerät aus WELCHER Netzwerkumgebung auf WELCHE und vor allem auf WIE VIELE Datensätze zu?

Nutzen Sie für Ihre wichtigsten Unternehmensdaten unbedingt 1. Eine kommerzielle Mehr-Faktor-Authentifizierung (zum Beispiel per Token/Handy) 2. Verschlüsselungs-Technologien der Daten und 3. ‚Monitoren‘ Sie doch mal die Daten-Zugriffe!

Tipp Nummer 4: Schulen, schulen, schulen!!!

Oder buchen Sie einen Cyber-Quickie! Cyber-Quickies helfen - Cyber-Gefahren und - rechtliche Risiken zu erkennen und zu vermeiden. - Cyber-Quickies können Aufwendungen für Cyber Versicherungs Policen reduzieren - Cyber-Quickies schützen den 'guten Ruf' des Unternehmens.

Übrigens Sicherheit kostet - keine Sicherheit kostet noch mehr!

About the author

Edgar Scholl
Edgar Scholl

Experte IT-Sicherheit & Cyber Security - Principal Solution Sales Manager, T-Systems International GmbH / Telekom Security

for IT-Sicherheit, Cyber Security

SCHOLL sorgt für MEHR SICHERHEIT in einer DIGITALEN WELT: Trainer, Dozent und Keynote-Speaker, bekannt aus Presse, Funk & Fernsehen. Millionen Menschen hat er bereits mit seinen interessanten, praxisbezogenen - manchmal auch provozierenden - Vorträgen & Keynote-Speakings begeistert.
Show more