Neue Bedrohungen erfordern neue Sicherheitsnormen
Nutzername und Passwort schützen nicht mehr
Laut einer aktuellen Untersuchung der ESG (Enterprise Strategy Group) teilen 44 Prozent der Sicherheitsexperten in Unternehmen die Ansicht, dass Benutzername und Passwort allein heute nicht mehr sicher sind. Deshalb plädieren sie für eine Abschaffung dieser Authentifizierungsform für Zugriffe auf sensible Unternehmensanwendungen.
Remote-Zugriff ist jetzt die Norm
Die Nutzung von Online-Diensten ist in den letzten zehn Jahren exponentiell angestiegen. Unternehmen verlagern immer mehr ihrer Geschäftsprozesse in Online-Umgebungen. Dadurch sind Remotezugriffe ebenfalls stetig mehr geworden. Zugleich ist diese Methode der einfachste Weg, um Geschäftstätigkeiten durchzuführen sowie auf sensible Unternehmensdaten zuzugreifen. Doch durch die Verlagerung auf Online-Dienste hat sich auch das Risiko für Sicherheitsverletzungen erhöht, denn böswillige Dritte finden immer komplexere Möglichkeiten, unerlaubt in Systeme einzudringen.
Eine Studie von Ponemon Research, bei der über 500 Unternehmen befragt wurden, ergab, dass allein im letzten Jahr 90 Prozent dieser Firmen von Sicherheitsverletzungen betroffen waren. Derartige Statistiken deuten auf eine eklatante Diskrepanz zwischen aktuellen Sicherheitslösungen und modernen Bedrohungen hin. Es ist ganz offensichtlich, dass große Unternehmen stärkere und effektivere Sicherheitslösungen benötigen, um sich zu schützen.
Über die Entwicklung von Hackerangriffen
In den frühen Jahren des Internet waren Benutzername und Kennwort die bevorzugte - manchmal die einzige - Form, sich zu authentifizieren. Wollten Hacker in Systeme eindringen, nutzten sie entweder Brute-Force-Angriffe, um die benötigte Information zu erraten oder sie versuchten über Wörterbuchangriffe, Identitäten von Benutzern anzunehmen. Hierbei werden diverse Kombinationen und mögliche Passwörter eingegeben, bis eine Übereinstimmung gefunden ist.
Irgendwann wurden Technologien entwickelt, mit denen verhindert werden konnte, dass solche Angriffe erfolgreich waren: Konten wurden dann nach zu vielen fehlgeschlagenen Anmeldeversuchen gesperrt.
Doch auch Hacker entwickelten ihre üblen Tricks weiter. So entstanden neue Methoden wie Pharming, PhishingPhishing oder eine Kombination aus beidem. Bei solchen Angriffen werden Anwender auf eine gefälschte Webseite geleitet, die der echten täuschend ähnlich sieht. Oft erkennen Anwender nicht, dass sie umgeleitet wurden und so geben sie ihre persönlichen Anmeldedaten preis. Alles zu Phishing auf CIO.de
Bei einigen dieser fortgeschritteneren Angriffe wird die gestohlene Information in Echtzeit an Hacker gesendet, wobei viele gängige Token der Zwei-Faktor-Authentifizierung kompromittiert werden. Bei der MalwareMalware Zeus beispielsweise werden Benutzername und Passwort - sogar fortgeschrittene zeitbasierte Token-Codes - erbeutet und die Information per Sofortnachricht direkt an den Hacker gesendet. Alles zu Malware auf CIO.de
Als wäre es nicht schon genug, die Standard-Anmeldungsmethode zu kompromittieren, sind unlängst neue, noch ausgereiftere Methoden zum Abfangen von Anmeldedaten entstanden. Dazu gehören Angriffe wie Man-in-the-Browser, Man-in-the-Middle und Session-Hijacking.
Diese Methoden sind dreister und noch verdeckter, sodass nicht einmal mehr die sicherheitsstärksten Token für die Zwei-Faktor-Authentifizierung effektiv sind. Viele Organisationen erkennen jedoch nicht, dass herkömmliche Token auf diese Weise kompromittiert werden können und ein erhebliches Sicherheitsrisiko bedeuten, dem man sich annehmen muss.
- Das Facebook-Konto besonders gut schützen
Was für das Mail-Konto gilt, trifft auch für Facebook zu. Ein guter Schutz für beide Konten ist extrem wichtig. Denn sobald ein Angreifer Zugang zu Ihrem Facebook-Konto hat, kann er sich damit auch bei sehr vielen anderen Diensten anmelden. Das geht auf einer Webseite immer dann, wenn neben dem normalen Login-Feld auch „Anmelden mit Facebook“ steht. Sie Schützen Ihr Facebook-Konto gut gegen Passwort-Diebe, wenn Sie auch hier eine Zwei-Wege-Authentifizierung per Handy einrichten. Melden Sie sich dafür in Facebook an und klicken Sie dann auf den Pfeil oben rechts neben dem Wort „Startseite“. Wählen Sie dort „Konteneinstellungen, Sicherheit (linke Seite), Anmeldebestätigung (Mitte)" und aktivieren Sie diese. Ein Assistent führt Sie durch die nächsten Schritte. Dadurch wird immer dann ein neuer Code auf Ihr Handy geschickt, wenn Sie sich von einem unbekannten Gerät (PC, Tablet, Handy) aus bei Facebook anmelden. Diesen Code nutzen Sie als Ihr Log-in-Passwort. - TAN-Generator fürs Online-Banking
Die TAN (Transaktionsnummer) beim Online-Banking ist im Grunde genommen auch ein Passwort - eben eines, das nur einmal gültig ist. Da die TAN die Richtigkeit einer Überweisung belegt, sollten Sie ein sicheres TAN-Verfahren nutzen. Den besten Schutz liefern sogenannte TAN-Generatoren, die es für 10 bis 20 Euro zu kaufen gibt. Beim Online-Banking zeigt die Banking-Website dann Details zur Überweisung auch mit einem Leuchtcode (Flickercode) am Monitor an. Es erscheinen eine Reihe von weißen und schwarzen Blöcken. Der TAN-Generator hat auf seiner Rückseite Fotozellen, die diesen Leuchtcode lesen. Anschließend gibt das Gerät die nötige TAN aus. Zwar gibt es schon einen Virus, der die Nutzer solcher Geräte austricksen kann. Allerdings muss der Nutzer schon sehr mitarbeiten, damit der Virus erfolgreich ist. Denn der Schädling fordert ihn auf, eine Testüberweisung per TAN-Generator durchzuführen. Dass die „Testanweisung“ aber ein Diebstahlsversuch ist, kann einem misstrauischen Anwender schon auffallen. - Passwort-Manager für Android - Keepassdroid
Damit Sie Ihre Passwörter auch auf dem Smartphone gut verschlüsselt immer dabei haben können, nutzen Sie den Passwort-Tresor Keepassdroid. Wenn Sie die App das erste Mal starten, schlägt es ihnen vor, eine neue verschlüsselte Datenbank im angegebenen Pfad anzulegen. Klicken Sie hier einfach auf „Erstellen“. Auf dem nächsten Bildschirm müssen Sie ein sicheres Verschlüsselungs-Kennwort für Ihre Datenbank vergeben – mindestens 8 besser 12 möglichst zufällige Zeichen (Groß-/Kleinbuchstaben, Ziffern und Sonderzeichen). Danach wiederholen Sie es und tippen auf „OK“, um die Datenbank anzulegen und zu öffnen. Die Datenbank wird durch die AES-Verschlüsselung geschützt. - WLAN-Passwörter und mehr mit Android sichern
Android speichert eine Menge Passwörter und Einstellungen im System. Damit Sie diese nach dem Zurücksetzen des Smartphones nicht wieder erneut eingeben müssen, lohnt sich die Speicherung im Internet. Allerdings sind die nötigen Einstellungen nicht bei allen Handys automatisch richtig gesetzt. So kontrollieren Sie das Sichern der Passwörter im Netz: Sie finden die Option bei Android 4 unter „Einstellungen, Sichern & zurücksetzen, Meine Daten sicher“. Geben Sie dort auch das „Sicherungskonto“ an und aktivieren Sie „Automatische Wiederherstellung.“ Bei Android 2.3 finden Sie die Option bei „Einstellungen, Datenschutzeinstellungen, Meine Daten sichern“. Einen kompletten Überblick darüber, was Android alles speichert, gibt es leider nicht. In der Android-Hilfe stehen immerhin diese Angaben: „Bei Aktivierung dieser Option werden zahlreiche persönliche Daten automatisch gesichert, darunter Ihre WLAN-Passwörter, Browser-Lesezeichen, eine Liste Ihrer über Google Play installierten Apps, die Begriffe, die Sie über die Bildschirmtastatur zum Wörterbuch hinzugefügt haben, sowie ein Großteil Ihrer benutzerdefinierten Einstellungen. Diese Funktion kann auch von einigen Apps von Drittanbietern genutzt werden, sodass Sie Ihre Daten wiederherstellen können, wenn Sie eine dieser Apps erneut installieren.“ - Online-Passwort-Manager für den PC
Der Online-Passwort-Manager Lastpass merkt sich alle Ihre Passworte und füllt Sie im Browser auf Wunsch auch aus. Damit können Sie für jeden Dienst ein anderes und dazu noch extrem kompliziertes Passwort wählen. Lastpass erstellen Ihnen auf Wunsch auch beliebig komplizierte Passwörter. Sie selbst müssen sich nur noch ein Passwort merken, nämlich das Master-Passwort für Lastpass. Es öffnet den Online-Passwort-Tresor. Lastpass gibt es als kostenlose Browser-Erweiterung für Internet Explorer, Firefox, Safari, Chrome und Opera. Im Laufe der Installation werden Sie aufgefordert ein Lastpass-Konto anzulegen, dass Sie mit dem sicheren Master-Kennwort schützen. Am Ende können Sie alle bereits in Ihrem Browser gespeicherten Anmelde-Daten in Ihre Lastpass-Datenbank importieren lassen. - Der Passwort-Satz macht das Kennwort kompliziert
Wenn Sie sich ein kompliziertes Passwort ausdenken und merken möchten, dann können Sie einen einfach zubehaltenen Satz wählen und gegebenenfalls um eine Zahl ergänzen. Denn ein gutes Passwort hat Großbuchstaben, Kleinbuchstaben und Zahlen. Idealerweise setzen Sie auch noch ein Sonderzeichen hinzu. Das kann dann so aussehen: „Alle meine Entchen schwimmen in dem See und das schon seit 1975#“ ergibt das Passwort: „AmEsidSudss1975#“. - Verwenden Sie Sonderzeichen mit Bedeutung
Das gute Passwort enthält auch zumindest ein Sonderzeichen. Damit Sie sich das Passwort aber trotz dieses Zeichens einfach merken können, weisen Sie ihm eine Bedeutung zu. So kann etwa „+“ für gut stehen und § für Recht. In Verbindung mit dem Passwort-Satz, der im letzten Bild vorgestellt wurde, könnte ein Passwort so aussehen: Wi§h-ia+d = „Wer immer Recht hat - ist auch gut drauf“ Allerdings sollten Sie Sonderzeichen vermeiden, die unter Umständen nicht auf allen Rechnern verfügbar sind, etwa ä, ö, ü, ß. Unbedenklich sollten etwa diese Zeichen sein: #, +, -, !, §, $, %, &. - Meiden Sie die Passwortspeicherung von Browsern
Es ist zugegebener Maßen bequem, wenn der Internet-Browser sich alle Log-in-Daten merkt. Doch zumindest bei den meisten älteren Versionen der gängigen Browser können Viren diese Passwörter stehlen. Zudem können Tools wie der Elcomsoft Internet Password Breaker die Kennwörter auslesen. - iPhone- und iPad-Backup verschlüsseln
Wer ein iPhone oder iPad besitzt, hat dort in der Regel bereits etliche Passwörter eingegeben. Das sind natürlich die WLAN-Passwörter, können aber auch alle Log-in-Daten sein, die Sie auf Webseiten eingeben. Denn auch der Browser auf iPhone und iPad speichert auf Wunsch diese Log-ins. Allerdings nur auf dem Gerät selber. Das Backup der Daten, das Sie mit iTunes am PC vornehmen können, hat die Codes standardmäßig nicht mit dabei. Wenn Sie das iPhone mal zurücksetzen oder auf ein neues Gerät umziehen, fehlen die Kennwörter entsprechend. Das lässt sich aber verhindern, wenn Sie das Backup am PC selber mit einem Passwort schützen. Dann wandern die WLAN-Kennwörter ebenso wie alle anderen Codes mit in die Sicherung. So geht’s: Starten Sie iTunes am PC und verbinden Sie Ihr Apple-Gerät mit dem PC. Wählen Sie es dann in iTunes aus. Ab Version 10 von iTunes geht das oben rechts. Aktivieren Sie auf der Übersichtsseite „Backup, Automatisch sichern, Dieser Computer, Lokales Backup verschlüsseln“. - Zwei-Wege-Authentifizierung fürs Mail-Konto
Schließlich darf die oben bereits erwähnte Zwei-Wege-Authentifizierung fürs Mail-Konto nicht fehlen. Hier noch mal die Gründe und die Anleitung für Gmail: Schützen Sie Ihr Mail-Postfach ganz besonders gut. Denn wenn ein Krimineller Zugriff auf Ihre Emails hat, hat er auch Zugriff auf fast alle anderen Online-Dienste. Denn bei den meisten Diensten kann man sich, wenn man das Passwort nicht kennt, mit nur einem Klick ein neues Passwort oder einen Passwort-Link per Mail zusenden lassen… Grund genug, fürs Postfach nur den besten Schutz zu wählen und das ist die Zwei-Wege-Authentifizierung. Leider unterstützen das bisher nur wenige Freemail-Anbieter. Eine löbliche Ausnahme ist hier Gmail. Haben Sie dort einmal diese Methode der Authentifizierung gewählt, dann kann sich ein neues Gerät, etwa ein anderer PC oder ein Smartphone, aber auch eine neue App oder ein neuer Browser nur mit einem zusätzlichen Passwort anmelden (anwendungsspezifisches Passwort). Dieses weitere Passwort sendet Ihnen Google zu. Der Clou daran: Der Versand des Passworts erfolgt auf einen anderen, auf einem zweiten Weg. Es kommt also nicht an dem PC an, an dem Sie sich gerade einloggen, sondern über ein Handy per SMS über ein Festnetztelefon per Ansage oder über eine App auf dem Smartphone. So aktivieren Sie die Zwei-Wege-Authentifizierung: Loggen Sie sich auf www.gmail.com in Ihr Gmail-Postfach ein, klicken Sie auf den kleinen Pfeil rechts oben und wählen Sie „Konteneinstellungen -> Sicherheit -> Bestätigung in zwei Schritten -> Bearbeiten“. Es startet ein Assistent, der Sie Schritt für Schritt durch die Einrichtung führt. Sie benötigen dabei bereits das Handy oder das Festnetztelefon, um den ersten Code per SMS oder Sprachnachricht zu empfangen. Sie erhalten anschließend eine Mail mit den Links zu allen nötigen Konfigurationsseiten. So kommen Sie an die Stelle, an der Sie sich die „anwendungsspezifischen Passwörter“ generieren lassen können, ebenso wie eine Liste mit Ersatzcodes.