Passwörter im Unternehmen
Faktor Mensch berücksichtigen
Hannover, 4. März 2002 - Passwörter sollen den
Zugang zum PC oder zum ganzen Firmennetz schützen.
Doch ohne für die Mitarbeiter nachvollziehbare
Sicherheitsregeln sind diese Kennwörter keinen
Pfifferling wert, schreibt das IT-Profimagazin iX
in seiner aktuellen Ausgabe 4/02 und fordert
Schulungen zur Sensibilisierung der Anwender.
Die Vergabe von Benutzernamen in Kombination mit
einem Passwort ist der wohl verbreitetste Zugangsschutz
für Firmen-PCs oder -Netze. Viele Angestellte wählen
zu einfache oder zu kurze Passwörter, bemängelt das
iX-Magazin. Diese seien zwar auf dem System verschlüsselt
abgelegt, doch mit geeigneten Tools in kurzer Zeit
zu knacken. Crack-Programme beispielsweise bilden
den Verschlüsselungsalgorithmus nach und probieren
einfach bekannte Passwörter aus. Dabei benutzen sie
umfangreiche Wörterbücher, permutieren auch die
einzelnen Wörter oder kombinieren diese mit Zahlen.
So bedarf es oft nur weniger Minuten, um das richtige
Kennwort herauszufinden. Eine andere Methode, die bei
zu kurzen Passwörtern zum Erfolg führt, ist der so
genannte Brute-Force-Angriff, ein Ausprobieren
sämtlicher Möglichkeiten.
Um die IT-Sicherheit zu erhöhen, haben darum viele
Firmen Richtlinien zur Kennwortvergabe eingeführt:
Das Passwort muss eine bestimmte Mindestlänge haben,
Sonderzeichen enthalten oder wöchentlich gewechselt
werden. Theoretisch lässt sich so durch eine maximale
Sicherheitsstufe ein erfolgreiches Knacken von
Passwörtern nahezu ausschließen. Doch neuere Untersuchungen
haben ergeben, dass bei zu strengen Vorschriften die
Sicherheit wieder auf einen niedrigeren Level sinkt.
Denn die Benutzer können sich zu komplizierte Passwörter
nicht merken, wählen die einfachsten gerade noch erlaubten
oder notieren sie sogar auf Zetteln.
"Eine firmenweite ‚Passwortpolitik' ist nicht nur
ein technisches, sondern auch ein psychologisches
Problem" beschreibt iX-Chefredakteur Jürgen Seeger
den Sachverhalt. "Wenn die Anwender den Sinn von
Sicherheitsmaßnahmen nicht mehr verstehen, versuchen
sie, diese zu umgehen." Das gleiche passiere, wenn
die geforderten Verfahren sich als für die tägliche
Arbeit zu umständlich herausstellten. Zur IT-Sicherheit
gehöre zwingend auch die Schulung und Sensibilisierung
der Benutzer, sonst sei das Geld dafür "zum Fenster
hinausgeworfen".
Bildmaterial:
Das Titelbild der aktuellen iX-Ausgabe 4/2002
steht zum Download bereit.
Ihre Ansprechpartnerin für Rückfragen
Sylke Wilde
Heise Medien Gruppe
Presse- und Öffentlichkeitsarbeit
Telefon: +49 [0] 511 5352-290
Telefax: +49 [0] 511 5352-563
sylke.wilde@heise-medien.de
