Erfolg zu kommen. Die Chancen dafür stehen nicht schlecht, wie man an der Liste der meistverwendeten Passwörter 2012 sehen kann:
123456
Passwort
Schatz
Admin
Test
abc 123
qwertz
hallo
kennwort
0000
Außer den Top-Ten sind übrigens auch der Firmenname selbst, Jahreszeiten und Monate sowie Kosenamen wie «Schatzi» oder «sweety» sehr beliebt.
Benutzernamen sind ebenfalls leicht zu beschaffen. Jede E-Mail-Adresse ist meist auch eine Nutzerkennung. Möchte man die E-Mail-Anschriften eines Unternehmens ausfindig machen, reicht dazu eine Google-Recherche: Eine Suche unter
inurl:telefonverzeichnis
ist recht ergiebig. Schon der zweite Treffer listet zum Beispiel eine komplette Mitarbeiterübersicht des österreichischen Bundesministeriums für Wissenschaft und Forschung ( BMWF ) auf. Ist es überhaupt sinnvoll, diese im Internet zu veröffentlichen?
Oder warum nicht gleich über eBay gehen? Dort sind eBay-Nutzer bei den Bewertungen hinterlegt.
Was für Kennwörter gilt, trifft häufig auch für Sicherheitsabfragen zu. «Im Jahr 2008 wurde der E-Mail-Account der amerikanischen Politikerin Sarah Palin gehackt. Palin war zu diesem Zeitpunkt die designierte Vizekandidatin des republikanischen Präsidentschaftsbewerbers John McCain.
Vor dem Angriff war bekannt geworden, dass Palin Amtsgeschäfte über eine private E-Mail-Adresse bei Yahoo! abgewickelt hatte. Daraufhin entdeckte ein Hacker namens Rubico einen Account mit der Adresse
[email protected]. Damals konnten sich User nicht nur durch ein Passwort, sondern auch anhand dreier Fragen bei Yahoo! identifizieren. Der Hacker fand aus öffentlich zugänglichen Informationen den Geburtstag, die Postleitzahl und die Antwort auf die Sicherheitsfrage der Politikerin heraus. Danach ersetzte er Palins Passwort durch ein eigenes. Es wurden zwar keine verfänglichen Informationen gefunden, dennoch wurden private E-Mails und Fotos veröffentlicht. [24]
Besonders gravierende Auswirkungen auf die Sicherheit haben «vergessene» Programme, Benutzerkonten oder Anwendungen sowie Standardpasswörter. In einem Fall hatten Angreifer Zugriff auf die gesamte Vorstandskommunikation, da man eine Firewall, die für den Kommunikationsserver (BlackBerry) verantwortlich war, so eingestellt hatte, dass alle Zugriffe erlaubt waren. Der Grund: Die Firewall hatte man einfach nicht mehr auf der Rechnung gehabt.
Standardpasswörter für Geräte finden sich häufig in den Betriebsanleitungen wieder. Werden sie nicht geändert, haben Hacker leichtes Spiel. Auf diese Weise ungeschützte Router kann man zuhauf im Internet ausmachen. Was nach einer Bedrohung für Privatanwender klingt, kann unter anderen Umständen zur echten Gefahr werden. So sind über das Internet ebenfalls vielfach Steuerungssysteme erreichbar, die sich über das Standardpasswort manipulieren lassen.
Dass Sicherheit vielerorts kleingeschrieben wird, ist die Folge einer Mischung aus Kosten, Entwicklungsdruck, Awareness und Umsetzung. Außerdem: In den meisten Fällen ist Sicherheit reaktiv, erst nach einem Sicherheitsvorfall wird sie in ihrer Bedeutung erfasst.
3. Der Faktor Zeit
In einem der Märchen der Gebrüder Grimm tritt ein Hase immer wieder zum Wettlauf gegen einen Igel an, aus dem er andauernd als Verlierer hervorgeht. Jedes Mal, wenn der Hase dem Ziel entgegenrennt, wartet dort bereits der Igel und ruft: «Ich bin schon da!» Kein Wunder, dass diese Fabel zum Inbegriff einer unbegreiflichen Niederlage geworden ist. Trotz vieler verzweifelter Anläufe endet es stets mit dem gleichen frustrierenden Ergebnis. Ähnlich ergeht es oft denjenigen, die versuchen, Angriffe auf IT -Systeme abzuwehren. Die scheinbar einzige Chance, sich grundsätzlich gegen Attacken aus dem Internet zu schützen, ist, das Unternehmensnetz, den Privatrechner oder das Regierungsnetz erst gar nicht an das Internet anzuschließen. Was auf den ersten Blick in Zeiten globaler Vernetzung unmöglich erscheint, wird durchaus dort, wo es zwingend nötig ist, so praktiziert. Das interne Netz des Verfassungsschutzes beispielsweise ist nicht mit dem Internet verbunden, sondern nach außen abgeschottet und nur über spezielle Schnittstellen zum Datenaustausch bereit.
Zugegeben: Der Normalfall sieht anders aus, da nur selten Netze und Computer derart starken Sicherheitsanforderungen genügen müssen wie beim Verfassungsschutz. Aber sobald Geräte in der Lage sind, mit anderen zu kommunizieren, können sie auch attackiert werden. Das muss jedem bewusst