Sprechen Sie überhaupt mit dem oder der Richtigen? Diese Frage ist extrem wichtig — wenn Sie eine Nachricht von ihrem Chef erhalten, können Sie sich darauf verlassen, dass es tatsächlich auch Ihr Chef war?Eine in letzter Zeit immer häufigere Betrugsmasche ist der sogenannte “CEO Fraud”, siehe z.B. https://krebsonsecurity.com/2016/04/fbi-2-3-billion-lost-to-ceo-email-scams/#more-34426
Dort gibt sich ein Betrüger als ein hochrangiger Mitarbeiter des Unternehmens aus und weist eine Überweisung einer Summe an einen angeblichen “Geschäftspartner” an. Selbst wenn der Betrüger nicht die Email des tatsächlichen Mitarbeiters geknackt hat, ist dieser Angriff erstaunlich effektiv.

Das grundsätzliche Problem ist: Woher wissen Sie, ob ein Kontakt (ein Rechner oder auch nur eine Email) wirklich authentisch ist? Dafür gibt es eine technische Lösung: Den “Signatur-Dialog”:

Was macht ein Anwender hier?

In diesem Beispiel möchte ich als Anwender ein Programm starten, um damit zu arbeiten. (Ja, es kommt vor, dass Anwender arbeiten müssen!)Wenn das Programm nicht funktioniert, muss ich zu einem Systemadministrator laufen. Der ist gerade nicht da.Ein Kollege, “der sich auch damit auskennt”, ist gerade beschäftigt.Aber ein Entwickler, den ich zufällig auf dem Gang treffe, weiß Rat: Der Dialog bedeute, dass die gesamte Zertifikatskette gültig und die Signatur der Anwendung komplett validiert worden sei. Möglicherweise wurde aber das Zertifikat auf Seite des Kunden erneuert, weil es abgelaufen sein könnte. Oder aber, mir wird eine falsche Anwendung untergeschoben. Das solle ich mit dem Kunden klären, vielleicht ist deren Systemadministrator ja erreichbar.Also muss ich zu einem Systemadministrator des Kunden laufen. Der ist gerade nicht da.Ein Kollege, …

In Wahrheit heißt der Dialog für Benutzer: “Wollen Sie weitermachen und ihre Arbeit erledigen, oder sich die nächsten Stunden mit unverständlichem Technogebrabbel rumärgern müssen?”
Die Antwort lautet “Run” — bloss weg damit!
Ich habe selbst erlebt, dass selbst erfahrene und sicherheitsbewusste Entwickler bei diesem Dialog einen “Klickreflex” entwickeln und versucht haben, sich mit dem System zu arrangieren.
Letzten Endes erzieht ein solches Sicherheitskonzept einen Mitarbeiter Ihrer Firma dazu, Sicherheitsdialoge wegzuklicken und erleichtert einen tatsächlich Angriff!

Die richtigen Passwörter

Gutmeinende Systemadministratoren halten regelmäßig Schulungen zur Wahl guter Passwörter ab: mindestens 8 Zeichen lang, eine Kombination von Buchstaben, Zahlen und Sonderzeichen, keine leicht zu merkenden Worte, verschiedene Passwörter für verschiedene Dienste, Passwörter nicht im Browser speichern und — das absolute Highlight: Passwörter alle drei Monate wechseln!

Das Ergebnis ist, dass die allermeisten Passwörter problemlos zu knacken sind. Die 25 häufigsten Passwörter sind alle trivial, siehe z.B. http://www.cbsnews.com/news/the-25-most-common-passwords-of-2013/

Wie kommt das?

Was wäre, wenn ein Benutzer wirklich alle Regeln zur Wahl guter Passwörter einhalten würde?
Nun, leider sind die Standardratschläge für gute Passwörter nicht mehr effektiv, denn sie haben sich auch zu den Passwort-Knackern herumgesprochen, siehe z.B. http://arstechnica.com/security/2012/08/passwords-under-assault/Ein wirklich effektives Passwort ist vollständig zufällig, mindestens 10 Zeichen lang und eine Kombination aus Zahlen, Buchstaben und Sonderzeichen. Es zu lernen und zu behalten ist sehr aufwändig und dauert mehrere Tage, in denen man es auf einem Zettel aufgeschrieben haben muss. (Und, nein, den Ratschlag das Passwort “a:prnVVv4F9,dHsn” NICHT aufzuschreiben, wird kein geistig gesunder Mensch beherzigen!)
Die Beobachtung ist: Ein Passwort zu ändern, braucht viel Zeit und sehr viel Mühe!Bei durchschnittlich 26 verschiedenen Benutzerkonten würde es mehrere Monate dauern, alle seine Passwörter zu ändern und nirgends ausgesperrt zu werden!

Da ist es offensichtlich, dass die Ratschläge, seine Passwörter nicht im Browser zu speichern, alle drei Monate zu wechseln und für jeden Dienst ein eigenes Passwort einzurichten absoluter Humbug sind!(Wenn Sie sich jetzt fragen, was denn die Systemadministratoren machen, die solche Ratschläge verzapfen, so kann ich Ihnen verraten, dass ich selbst mehrere Jahre als Systemadministrator gearbeitet habe — bis heute kenne ich niemanden, der diese Vorschläge auch nur ansatzweise umsetzt! Ich kenne allerdings Fälle, wo Systemadministratoren zu einem Bier eingeladen wurden, damit sie die Passworthistorie des Betriebssystems abschalten, die verbietet, dass man das gleiche Passwort in sechs Monaten zweimal verwendet.)

Was läuft schief und wie können wir es besser machen?

Um zu verstehen, was schiefläuft, müssen wir uns einmal in die Lage der Anwender versetzen.

In seinem Buch “The Culture Code” (Deutsche Übersetzung: “Der Kultur-Code: Was Deutsche von Amerikanern und Franzosen von Engländern unterscheidet und die Folgen davon für Gesundheit, Beziehungen, Arbeit, Autos, Sex und Präsidenten”) berichtet Clotaire Rapaille über eine Veranstaltung an der Tufts University über die Bekämpfung von Fettleibigkeit. Ein Sprecher nach dem anderen hat Vorschläge präsentiert, das Problem zu lösen. Jeder Vorschlag lief darauf hinaus, dass man nur die Leute richtig informieren müsse. Als die Reihe an Clotaire kam bemerkte er, dass zwei Drittel des Publikums übergewichtig und mindestens ein Drittel extrem fettleibig war. Er konnte sich nicht zurückhalten und bemerkte: “Ich finde es faszinierend, dass die anderen Sprecher heute ausgeführt haben, dass Information die Antwort auf Fettleibigkeit in diesem Land sei. Wenn Information die Antwort ist, warum hat es dann nicht mehr von Ihnen geholfen?”

Der Ansatz der meisten Sicherheitsstrategen lautet “belehre Deine Benutzer”. Das führt nicht dazu, dass Benutzer ihr Verhalten (in diesem Fall schlechte Passwörter zu wählen oder Warnungen wegzuklicken) ändern!

Mögliche Lösungen für die beiden hier vorgestellten Herausforderungen wären:

• Richten Sie für Benutzer einen Passwort-Manager ein.
  Dieser sollte immer aktuell und gut gewartet sein und mit einem Master-Passwort alle anderen Kennwörter sichern. (So stellen Sie sicher, dass Benutzer unterschiedliche Passwörter für unterschiedliche Dienste verwenden.)
• Richten Sie für Benutzer regelmäßige Passwort-Wechsel-Wochen ein.
  Anstatt das Betriebssystem so zu konfigurieren, dass es Passwortrichtlinien erzwingt (was in 100% aller Fälle zur Folge hat, dass Benutzer eine ungeheuerliche Nobelpreis-verdächtige Kreativität an den Tag legen, um das System auszuhebeln und ihre alten Passwörter doch wieder lauffähig zu bekommen), richten sie explizit im Kalender eine Viertelstunde pro Tag eine Woche lang für das Erstellen und Erlernen neuer Passwörter für den Login und den Passwort-Manager ein.
  Machen Sie diese Termine Pflicht!
• Vermeiden Sie Sicherheits-Dialoge unter allen Umständen!
  Stellen Sie sicher, dass Zertifikate hinreichend lange gültig sind und migrieren Sie automatisiert alle Rechnersysteme (von Mitarbeitern, Kunden und Zulieferern), wenn Zertifikate sich ändern. (Ja, das ist teuer und aufwändig. Für iPhones und iPads ist diese Vorgehensweise mit den meisten Mobile-Device-Management-Systemen aber relativ einfach und kostengünstig möglich.)
• Wenn Sie Sicherheits-Dialoge nicht vermeiden können oder wollen:
  Stellen Sie sicher, dass jeder Mitarbeiter, jeder Kunde und jeder Zulieferer mit Zugriff auf Ihre Systeme weiß, was er tun muss, wenn so ein Dialog erscheint. Halten Sie einen rund-um-die-Uhr Dienst vor, der sich jederzeit mit diesen Fragen auseinandersetzen kann.
  (Falls Ihnen das teuer und übertrieben erscheint: Der Sicherheits-Wert einer Prüfung, die ein Anwender nicht versteht ist gleich Null. Der Schaden ist jedoch extrem hoch, wenn Sie das Vertrauen Ihrer Benutzer in eine verständliche und benutzbare Software verloren haben!)

Sicherheit ist immer ein Kompromiss zwischen Verfügbarkeit von Daten (der Möglichkeit, sich einzuloggen oder dem Recht, ein Programm zu starten) und deren Abschirmung (Unbefugten diese Rechte zu verweigern). Letzten Endes ist es unmöglich, Sicherheit zu garantieren, wenn die autorisierten Benutzer nicht mitspielen.Der Weg zu sicherer Software führt nur über eine Zusammenarbeit mit den Anwendern, nicht jedoch über “Schulungen”, “Informationen” und “Sicherheitsrichtlinien”.

Weiterführende Links

• Originalmeldung von Numerik & Analyse Schroers
• Alle Meldungen von Numerik & Analyse Schroers