Datensicherheit im Internet
02.01.2020    Madeline Sieland
  • Drucken

Eigentlich müsste doch jedem seine Sicherheit ganz besonders am Herzen liegen – auch und gerade im Internet. Und dass Passwörter wie „123456“, „hallo“ und „Passwort“ für Hacker eine willkommene Einladung zum Identitäts- und Datendiebstahl sind, sollte einleuchten. Trotzdem waren sie auch 2018 wieder in den Top Ten der meistgenutzten Passwörter Deutschlands zu finden, die das Hasso-Plattner-Institut jährlich ermittelt.

Haben Bürger und Unternehmen aus den zahl-reichen medienwirksamen Cyberattacken der vergangenen Jahre denn gar nichts gelernt? Nein, nachhaltige Spuren haben diese nicht hinterlassen. In einer Umfrage des Ponemon Institute sagten 57 Prozent jener, die bereits Opfer von Phishing waren, dass sie ihr Passwortverhalten nicht geändert haben. Über die Hälfte der Befragten nutzt die gleichen fünf Kennwörter im Beruf und Privatleben. Geht es um Passwörter, schlägt Bequemlichkeit also ganz klar Sicherheit.

Zeig her den Finger – oder das Auge

Wie ist dessen Herr zu werden? Eine Alternative zur Authentifizierung ist Biometrie. Dabei wird der Zugang zu Geräten und Nutzerkonten durch den Scan des Fingerabdrucks oder der Netzhaut oder aber durch Gesichts- oder Spracherkennung erlangt. „Biometrie scheint auf den ersten Blick zwei Vorteile gegenüber dem Passwort zu haben: Sie vereint Identifizierung 
mit Authentifizierung“, sagt Emmanuel Schalit, CEO des Software-Anbieters Dashlane. Insbesondere junge Erwachsene setzen auf Biometrie, zeigt die IBM-Studie „Future of Identity“.

Komplexe Passwörter mit zehn und mehr Zeichen, bestehend aus Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen, am besten chaotisch zusammengestellt zu Kunstwörtern – das ist den Millennials zu viel Aufwand. Nur 41 Prozent von ihnen nutzen überhaupt noch Kennwörter, um Zugriff auf Geräte und Accounts zu erlangen. Dagegen vertrauen 75 Prozent auf Biometrie. Bei den über 55-Jährigen gilt das nur für 58 Prozent. Arbeitgeber sollten auf diese altersspezifischen Unterschiede reagieren und mehrere Optionen zur Authentifizierung im Firmennetzwerk anbieten. Nur so ist das Risiko, Opfer von Cyberkriminellen zu werden, halbwegs in Grenzen zu halten.

„Eine Zukunft, in der ausschließlich biometrische Daten zur Authentifizierung genutzt werden, sieht daher kein Sicherheitsexperte. Die Folgen gehackter Datenbanken mit biometrischen Informationen wären katastrophal.“

Biometrische Authentifizierungsmethoden bieten allerdings ebenfalls Angriffsflächen. So konnten Hacker des Chaos Computer Clubs schon 2008 nur mithilfe von Bildern in hoher Auflösung die Fingerabdrücke des heutigen Bundestagspräsidenten Wolfgang Schäuble reproduzieren und sich so Zugang zu dessen Telefon verschaffen. Und eine Stimme mithilfe von Software imitieren? Auch das geht längst. Zudem stellt sich ein weiteres Problem: „Im Gegensatz zu kompromittierten Passwörtern lassen sich einmal gestohlenene biometrische Daten nicht mehr ändern“, sagt Schalit. „Eine Zukunft, in der ausschließlich biometrische Daten zur Authentifizierung genutzt werden, sieht daher kein Sicherheitsexperte. Die Folgen gehackter Datenbanken mit biometrischen Informationen wären katastrophal.“

Die Masse macht’s

Wenn ein Schutzmechanismus ganz offensichtlich absolut nicht ausreicht, müssen eben mehrere her. Multifaktor-Authentifizierung heißt das Stichwort. Darauf setzt auch Markus Hertlein, Geschäftsführer von XignSys. Er hat mit XignQR eine App entwickelt, mit der mobile Endgeräte für die Authentifizierung genutzt werden können – auf Wunsch in Kombination mit biometrischen Faktoren.

„Das Smartphone bekommt dabei eine eigene digitale Identität“, sagt Hertlein. Konkret heißt das: Möchte man sich an einem System anmelden, wird mit der App ein QR-Code gescannt. Darauf folgt ein kryptografisches Frage-Antwort-Spiel zwischen dem Gerät und der Anwendung. „Unser System arbeitet mit Verschlüsselung und Authentifizierung per asymmetrischer Kryptografie“, so Hertlein. Dadurch lasse sich am Ende jeder Schritt des Prozesses unverfälschbar nachweisen. „Um sich die Sicherheitsstufe dieses Verfahrens bewusst zu machen, kann man sich vorstellen, dass während der 30 Sekunden währenden Authentifizierungsphase ein 265 Zeichen starkes Passwort generiert wird, das mit dem Abschluss des Vorgangs seine Gültigkeit direkt wieder verliert.“

Sicherheit als Kostenfrage

Wobei allen klar sein muss: Einen hundertprozentigen Schutz vor Cyberkriminalität gibt es nicht – und manchmal ist der auch gar nicht gewollt. „Viele Unternehmen gehen das Thema IT-Sicherheit risikobasiert an“, sagt Andrea Tribelhorn, Managing Consultant bei der Technologieberatung Detecon. Was das heißt? Die zu schützenden Werte werden ermittelt, Bedrohungen werden identifiziert. Daraus werden Risikoniveaus abgeleitet, grob basierend auf der Eintrittswahrscheinlichkeit plus der Schadenshöhe eines potenziellen Vorfalls. Abschließend werden Schutzmaßnahmen definiert. „Die Balance zwischen zu viel und zu wenig Schutz wird hier in der Regel ganz nüchtern wirtschaftlich vorgegeben, sodass eine Schutzmaßnahme am Ende nicht teurer ist als ein zu erwartender Schaden“, schließt Tribelhorn.

Credit: Philipp Möller/JDB MEDIA
02.01.2020    Madeline Sieland
  • Drucken
Zur Startseite