Startseite / Technik / Internet / Datendiebstahl ist so einfach wie nie zuvor

Passwort-Naivität:

Datendiebstahl ist so einfach wie nie zuvor

Passwort-Naivität - leichte Passwörter sind beliebtStudien belegen leichtsinnigen Umgang von Computernutzern mit Passwörtern. Neuste Studien bemängeln einen alarmierenden Trend im Bereich der Computer-Sicherheit. Die bislang größte Untersuchung zu dem Thema an der Universität von Cambridge, zeigt, dass die überwiegende Mehrheit von Internet-Passwörtern zu simpel ist, um sich vor Datendieben zu schützen.

Für den Finanzinformationsdienst Bloomberg sind die von seinen Journalisten recherchierten Daten Gold wert. Kein Wunder also, dass Kunden und Mitarbeiter mehr bieten müssen als nur einen Nutzernamen und ein Kennwort, wenn sie Zugang zu den neuesten Bloomberg-Informationen erlangen möchten. Egal ob am Hightech Terminal der Agentur oder am heimischen Computer, erst wenn ein biometrischer Scanner den Fingerabdruck des Nutzers mit seinem Passwort abgeglichen hat, gibt es exklusive Berichte aus der Welt der Finanzen.

Experten sind sich einig – das einfache Computer-Passwort hat ausgedient. Die Zukunft gehört kombinierten Zugangsmethoden wie dem biometrischen System von Bloomberg. Dennoch sind Sicherheitsmethoden wie die der amerikanischen Nachrichtenagentur sowohl im beruflichen als auch im privaten Bereich immer noch eine große Ausnahme.

Nach zehn Versuchen wurde ein Prozent erraten

Die Grenzen zwischen Online- und Offline-Systemen, frei zugänglichen Internetseiten und geschlossenen Firmennetzwerken, privat oder beruflich genutzten Diensten verschwimmt immer stärker. Und während die Angriffsmethoden professioneller Hacker immer raffinierter werden, erscheinen Nutzer in Sachen Sicherheit unverändert leichtsinnig. Wie naiv dabei sowohl private Internetnutzer als auch Firmen mit ihren Passwörtern umgehen, belegen nun mehrere neue Studien.

Internetnutzer wählen häufig Kennwörter die zu einfach sindIn gleich zwei Untersuchungen beschäftigte sich Joseph Bonneau vom Computer-Laboratorium der britischen Universität Cambridge mit den Sicherheitsdenken privater Nutzer des Internetdienstes Yahoo und des Onlineversandhauses Amazon. Die Sicherheitsdienste Trustwave und Verizon untersuchten unterdessen, wie gut die  Kennwörter ihrer Firmenkunden gegen Angriffe gewappnet waren. Die gravierendsten Erkenntnisse dieser Studien: Online-Kennwörter von Privatnutzern sind oft so simpel, dass ein Prozent aller Passwörter in nur zehn Versuchen erraten werden kann. Der mit Abstand beliebteste Zugangscode zu englischsprachigen Firmensystemen lautet „Password1“. Und in den vergangenen fünf Jahren habe sich das Sicherheitsdenken der Nutzer kaum verbessert.

70 Millionen Yahoo-Daten analysiert

Schon vor diesen Studien hatten spektakuläre Vorfälle, bei denen es Datendieben gelang, die Kundendaten populärer Webseiten zu stehlen, immer wieder Zweifel am Sicherheitsbewusstsein ihrer Nutzer aufkommen lassen. So erbeuteten Hacker 2009 nicht weniger als 32 Millionen Zugangsdaten der Webseite „Rockyou“. Anschließend veröffentlichten sie die zehn populärsten Passwörter, wobei jedes von mehreren hunderttausend Nutzern gewählt wurde. Beispiele aus diesen ‚Top Ten der Leichtsinnigkeit‘: „12345“, „abc123“ oder „iloveyou“.

Doch solche Einzelfälle konnten bislang keinen empirischen Beweis über eine virulente Passwort-Naivität antreten. Joseph Bonneaus Untersuchung von Yahoo-Daten ändert dies nun. Der Internetriese stellte dem britischen Forscher 70 Millionen Zugangsdaten zur Verfügung, die zwar anonymisiert waren, aber dennoch mit demographischen Informationen ihrer Nutzer kombiniert waren. Dies stellt den bis dato größten Datensatz dar, der jemals für eine solche Studie verwendet wurde.

Auch leichtsinnig bei Bankdaten

Online-Banking - Bankdaten werden auch nicht aussreichend geschütztDas Ergebnis, welches Bonneau im Mai auf einer Sicherheitskonferenz des Berufsverbandes für Informatiker und Elektrotechniker IEEE präsentieren wird, bestätigt Befürchtungen. Die überwiegende Mehrheit  der analysierten Kennwörter bietet nur geringe Sicherheit gegen Attacken. Bonneau beziffert deren durchschnittlichen Sicherheitsstandard als „nur 10 bis 20 Bit“, abhängig davon, welcher Angriffsmethode der Hacker wählt. „Ein Angreifer, dem 10 Attacken pro Konto gelingen, hat eine Erfolgsquote von 1 Prozent.“ Je mehr Angriffe möglich sind, desto höher der Erfolg. Nach Angaben des Forschers erweisen sich dabei sogenannte „Wörterbuch-Angriffe“ als besonders effektiv, bei denen ganze Lexika von Begriffen aufgeboten werden.

Die Studie stellt weiter fest, dass sich die Qualität der Kennwörter auch dann kaum erhöht, wenn es um finanziell sensitive Onlinedienste geht, wie der Zugang zum Bankkonto oder zu einer Kreditkarte. Auch Aufklärungskampagnen der Internetseiten, wie Passwort-Sicherheit erhöht werden kann, zeigen keine Wirkung. Und selbst vormalige Opfer von Datendiebstahl verhalten sich danach auch nur unwesentlich vorsichtiger. Einzige Lichtblicke der Studie: Kennwörter werden mit steigendem Alter der Nutzer besser. Außerdem sind deutsche Wörter neben koreanischen am schwierigsten zu entschlüsseln.

Zu viel um sich zu erinnern

Empfehlung der Redaktion:
Gehen Sie auf Nummer sicher. Generieren Sie sichere Passwörter bei der Zentralen Datenschutzstelle der Baden-Württembergischen Universitäten.ZENDAS – Passwort Generator:
https://www.zendas.de/service/passwort_generator.html

Neben simpler Naivität ist nach Experteneinschätzung auch der Konflikt zwischen dem Erinnerungsvermögen und Komplexität des Passworts auf der Nutzerseite ein entscheidender Faktor.  Angesichts der endlosen Anzahl von Internetseiten, die eine Registrierung mit Zugangscodes fordern, wählen Surfer nicht nur einfache Begriffe, sie nutzen diese selben Wörter zudem mehrfach. Dabei droht eine weitere Gefahr. Denn Datendiebe können auf schlecht geschützten Seiten erbeutete Kennwörter anschließend bei Online-Diensten mit höherer Sicherheit ausprobieren – und haben dabei oft Erfolg.

Um das Problem in den Griff zu bekommen, gehen zahlreiche Online-Dienste nun verstärkt dazu über, Kombinationen mehrerer Wörter anstelle einfacher Begriffe von ihren Kunden zu verlangen. Doch auch hier mahnt eine weitere Studie von Bonneau gegen zu großen Optimismus. Das Onlineversandhaus Amazon gewährte ihm Zugang zu den Daten seines im Februar eingestellten „PayPhrase“-Systems. Obwohl der Cambridge-Forscher durchaus einräumt, dass Wortkombinationen im allgemeinen mehr Sicherheit bieten, gelang es ihm auch hier, Probleme mit dem Verhalten der Nutzer aufzudecken.

Hacken mit Filmtiteln

Wieder geht es um das Erinnerungsvermögen. So bevorzugten die Amazon-Nutzer anstelle von zufälligen Kombinationen eher gebräuchliche Formulierungen oder bekannte Kombinationen von Namen und Titeln. Bonneaus Team stellte ein Lexikon aus gut 20 000 Begriffen zusammen, wie zum Beispiel Film-Titeln, Namen aus dem Sport oder Redensarten. Bewaffnet mit Zugangscodes wie „Patrick Swayze“, „Heart of Darkness“ oder „New York Yankees“ gelang es den Wissenschaftlern 1,13 Prozent der Amazon-Konten zu knacken.

Angesichts dieser ernüchternden Erkenntnisse fordern immer mehr Sicherheitsexperten eine zügige Umstellung auf biometrische Systeme wie das von Bloomberg.  Neben der Abnahme von Fingerabdrücken sind dabei besonders Gesichtserkennung und Iris-Scans populär. Doch auch wenn solche Methoden wesentlich erschwinglicher geworden sind, so stellt die allgemeine Kultur des Internets immer noch eine Hürde dar.  Selbst die erfolgreichsten Online-Dienste begannen ihrer Existenz oft als bescheidene Start-Ups, denen schlicht das Geld für raffinierte Sicherheit fehlte. Und später, wenn das Geld fließt, wird oft schlicht vergessen nachzurüsten.

© Pixel Trader Ltd. 2013 Alle Rechte vorbehalten

Über Roman Goergen

Roman Goergen kann auf 20 Jahre Berufserfahrung als Journalist, Syndikations-Agenturleiter und Korrespondent zurückblicken. In vier Ländern auf drei Kontinenten - Deutschland, Namibia, Südafrika und Kanada sind seine Publikationen veröffentlicht worden. Seine Reportagen sind auf Deutsch und Englisch in über 70 führenden Zeitungen und Zeitschriften erschienen. Derzeit arbeitet er von Toronto aus für amerikanische, südafrikanische und deutsche Publikationen.