© JUNGE FREIHEIT Verlag GmbH & Co.  www.jungefreiheit.de  12/13 / 15. März 2013

Paßwort „geheim“
Cyberkriminalität: Auf der Cebit warnen Experten vor schwachen Paßwörtern und anderen Sicherheitslücken
Ronald Gläser

Wer kennt das nicht? Entweder verwenden die Deutschen zu einfache oder stets einheitliche Paßwörter. Ebay, Amazon, Musicload, GMX, Parship, Facebook, Instagram, Zalando und selbst die örtliche Bücherei – alle wollen sie ein Paßwort haben. Warum also nicht einfach überall das gleiche Passwort verwenden? Vielleicht eines, das fest vorgegeben war – wie der Sparkassen-Pin –, als Masterpaßwort einsetzen?

Das ist keine gute Idee. Woche für Woche werden in Deutschland weit über tausend Hackerangriffe registriert. Die Dunkelziffer und der Schaden sind erheblich. Die Wirtschaftsberatungsagentur KMPG hat ihn vor zwei Jahren mit zehn Milliarden Euro beziffert. Hacker­angriffe in Deutschland? Viele Unternehmen und erst recht Privatpersonen unterschätzen das Problem – und sind zu nachlässig im Umgang mit ihren Daten und Paßwörtern. Auf der Cebit warnen Sicherheitsexperten bei „Live-Hacking“-Sitzungen vor den Fehlern, die viele Nutzer machen. Und zeigen dabei, daß immer mehr sensible Netzwerke offen wie ein Scheunentor sind. Es kann einem angst und bange dabei werden.

Den Anfang macht Stefan Tomanek, ein „Live-Hacking“-Experte vom Gelsenkirchener Institut für Internetsicherheit (Ifis). Der Informatiker berichtet, wie er mit Kollegen testweise eine Konzernzentrale oder eine Behörde besucht hat, die er nicht namentlich nennen will.

Im Wartezimmer hinter einer Zimmerpflanze fanden die Besucher prompt eine Steckdose des hausinternen Computernetzwerks. „Jetzt haben wir aber noch keinen Benutzernamen und kein Paßwort“, sagt Tomanek. Um die Namen herauszufinden, reiche es in der Regel, die Gänge abzulaufen und die Namensschilder zu lesen. Dort stehen die Namen. Der Anfang ist gemacht. „Die Paßwörter sind jedoch nicht an die Wände angeschlagen, und die Leute werden oft nervös, wenn wir als Fremde die Schubladen ihrer Kollegen nach Paßwörtern durchsuchen.“

Das macht aber nichts. Es gibt ein paar Regeln, wie Paßwörter herauszufinden sind. Oft sind es einfache Wörter, die im Zusammenhang mit der betreffenden Person stehen. Konkret: „Versuchen Sie es bei einem Mann mit langen Haaren und Lederjacke mal mit ,Harley‘, und bei einem, der die Aufstellung seines Bundesligavereins als Poster an der Wand zu hängen hat, mit dem Vereinsnamen.“ Klappt nicht immer, aber viel zu oft. Bei Fahrzeugmarken hilft auch ein Blick auf den Firmenparkplatz, der die Lieblingsanbieter und Modelle der Mitarbeiter preisgibt.

Es geht noch fahrlässiger. Wer nichts über die Mitarbeiter herausfinden kann, kann es mit anderen Wörtern versuchen. Von rund 2.500 untersuchten Paßwörtern einer Belegschaft kamen je einmal „qwer1“, „12345“ und „123456“ vor. Zwei hatten „geheim“ als Paßwort und mehr als ein Dutzend gängige Vornamen wie „Thomas“ oder „Stefan“. Acht Leute hatten das Paßwort der IT-Firma, die die Computer für die Mitarbeiter installiert hat. Geschlagene 507 hatten den Namen der eigenen Firma – mehr als jeder fünfte.

Von solchen Fahrlässigkeiten berichtet Marco Di Filippo, der beklagt, daß viel zu oft Name und Paßwort „Admin“ und „Admin“ heißen. der Chef von Compass Security Deutschland zeigt, daß die großflächige Vernetzung aller möglichen Dinge eine Einladung an Hacker darstellt. Und das müssen keine Geheimdienstexperten sein, die ein aufwendiges System wie Stuxnet programmieren. Über Google findet er Abwasserverbände wie den der Wiener Neustadt. Mit wenigen Klicks findet Filippo bestimmte Module der alten Anlagen, die er mit einem kleinen Programm direkt ansprechen kann.

Jetzt ist er nur noch Klicks davon entfernt, sie abzuschalten. „Und dann rufe ich die an und frage, was sie zahlen, damit ihre Kläranlage sofort wieder läuft.“ Die Zuschauer lachen. Es ist eine Mischung aus Schadenfreude und Angst. Vor dem Hintergrund spektakulär zusammengebrochener Stromnetze in mehreren Metropolen kann einem dieses Lachen schnell im Halse steckenbleiben.Was mit solchen Anlagen geht, ist erst recht im vernetzten Privathaus (als „Smart Home“ angepriesen) möglich. Ein Außenstehender kann plötzlich das Licht ein- und ausschalten, die Rolläden oder die Markise hoch- und runterfahren oder die Kühltruhe abtauen.

Ein beliebtes Mittel, um an jemandes Daten heranzukommen, ist E-Post mit kleinen Programmen. Diese werden immer raffinierter. Niemand klickt heute noch auf eine Datei, die auf -exe endet, aber neuerdings versenden Netzkriminelle gerne Dateien, die sie beispielsweise „Wellnessgutschein.pdf“ nennen und mit einem Symbol dieses Dateiformates versehen. Dahinter sind 150 Leerzeichen und dann die Dateiendung „exe“. Wer raufklickt, hat verloren. Um sicherzugehen, ist es besser, keine Dateien von Fremden zu öffnen und seine Paßwörter so kompliziert wie möglich zu gestalten. Das heißt: Wörter mit Groß- und Kleinbuchstaben verwenden, die niemand sofort erahnen kann, angereichert mit Kombinationen aus unüblichen Sonderzeichen und Zahlen.

 

Cyberspione

In den vergangenen Jahren häuften sich die Angriffe von Schadprogrammen auf die Rechner von allen möglichen Institutionen. Im schlimmsten Fall können diese Superviren, die sich meistens über E-Post verbreiten, alles lahmlegen oder sensible Daten ausspähen. Die jüngste Attacke war „Mini Duke“, ein Programm, das fast sechzig Netzwerke in 23 Ländern, darunter die Tschechei, Irland und Portugal, befallen hat. Kurz zuvor war die New York Times angegriffen worden. Experten vermuten neben Kriminellen auch Geheimdienste diverser Länder hinter solchen Aktionen.

Foto: Per Zentralrechner vernetztes und gesteuertes Haus der Zukunft: Hackerangriffe auf die Privatsphäre

Versenden
  Ausdrucken Probeabo bestellen