Computersicherheit – seit einigen Jahren ein großes Thema, dass immer wieder in den Medien, aber eigentlich ein alter Hut. Seit 1972 gibt es diesen Ausdruck im Zusammenhang mit Sicherheitsproblemen am Rechner. Das sich Trojaner in angeblichen Rechnungen in eMail-Anhängen verstecken, sollte inzwischen überall bekannt sein. Warum wird trotzdem über jede Welle an neuen angeblichen Rechnungsversendern berichtet?

31.01.07 BKA
19.02.07 IKEA
21/22.02.07 Amazon und eBay
07.03.07 Single.de und Quelle

Kann jetzt auf diese Berichterstattung verzichtet werden? Wer dumm genug ist, solche Anhänge zu öffnen, hat eh schon ettliche Trojaner auf dem Rechner und der Rest ist vorsichtig genug nicht jeden Scheiß anzuklicken!

Logins, Passwörter, Kundennummern etc. – Sobald wir heutzutage mit jemandem Kontakt aufnehmen, müssen wir uns identifizieren. Ganz selbstverständlich melden wir uns am Telefon mit unserem Namen, hinterlassen beim Pizzaservice unsere Telefonnummer und identifizieren uns bei unserem eMail-Provider per Accountname und Passwort. Eine wahre Flut an Identifikationsmerkmalen strömt auf uns ein und alle sollen möglichst eindeutig und doch verschieden sein. Aber warum?

Vor 500 Jahren war die Welt noch in Ordnung. Wir lebten in unserem Dorf, jeder kannte jeden mit Vornamen und falls man über abwesende Personen sprach, gab man ihnen einen Zunamen wie zB die Berufsbezeichnung Müller.
Vor 50 Jahren hatte sich der Aktionsradius der Menschen schon so weit vergrößert, dass der Name alleine nicht mehr aussagekräftig genug war, um jemanden eindeutig zu identifizieren. Also kam das Geburtsdatum und der Wohnort als Merkmal hinzu. Als Nachweis dieser Daten hatte man seinen Ausweis.
Als vor 15 Jahren das World Wide Web seine Pforten öffnete, erweiterte sich der Aktionsradius auf die ganze Welt. Um sich eindeutig auszuweisen waren nun abermals zusätzliche Identifikationsmerkmale nötig. Zum Namen, der Adresse und dem Geburtsdatum kam das Herkunftsland hinzu. Da das Web rein auf der Schriftsprache aufgebaut ist, wäre es arg umständlich sich jedesmal mit all diesen Daten bei einem Dienst einloggen zu müssen. Außerdem sind all diese Daten wenn auch nicht öffentlich einsehbar, dann doch sehr leicht herauszufinden. Um jemanden eindeutig zu identifizieren sind sie also nicht geeignet. Also begann man das bekannte Spielchen mit dem Login-Namen und den Passwörtern.

Eine Eigenschaft des Menschen ist es, sich Dinge die eine Bedeutung haben leichter Merken zu können als Bedeutungslose. Um es den Nutzern zu erleichtern, sich ihre Login-Namen und Passwörter zu merken, gab man den Nutzern die Möglichkeit diese selbst zu wählen. Dabei wies man sie aber nicht darauf hin wie Login-Namen und vor allem Passwörter beschaffen sein sollten. So kam es zu den bekannten Beispielen von Login-Namen wie “Michael1982″ oder “Rambo111″ mit Passwörtern wie “123456″ oder “Hallo” (Quelle: heise newsticker). Das alleine wäre schon schlimm genug, leider kommt nun aber noch eine weitere Eigenschaft des Menschen ins Spiel: Die Faulheit!
Viele Nutzer benutzen den gleichen Login und das selbe Passwort für viele verschiedene Seiten. Zwar ist es natürlich praktischer, bei eBay, Amazon und der Lieblings-Porno-Seite die selben Daten zu benutzen, sind sie doch so viel leichter zu merken, doch über die Gefahren machen sich die Meisten keine Gedanken.
Ein aktuelles Beispiel für die Gefahren einer solchen Faulheit ist der Diebstahl der Daten beim StudiVZ. Zwar sind die Passwörter verschlüsselt abgespeichert (näheres bei Passwort-Hashing) aber wie Jörg-Olaf schreibt in diesem Fall nicht gesalzen. Dies bedeutet, dass aus den verschlüsselten Daten mit Verhältnismäßig wenig Aufwand die Passwörter errechnet werden können und somit der Hacker sowohl das Passwort als auch den zugehörigen Login-Namen kennt. Der Hacker kann jetzt lustig versuchen bei den bekanntesten Webseiten mit diesen Daten einzuloggen und gegebenenfalls shoppen zu gehen. Hat sogar das eMail-Postfach die selben Zugangsdaten, kann er auch die private Korrespondenz mitlesen und ggf. eMails, die auf sein tun hinweisen löschen.

Darum sollte man folgendes tun:
- Für möglichst viele Verschiedene Dienste verschiedene Benutzernamen und Passwörter verwenden. Vor allem für Dienste, die finanziellen Schaden anrichten können (Amazon, eBay, Online-Banking, Mobilfunkprovider, Telekommunikationsanbieter, eMail-Provider).
- Eine Liste über die verwendeten Benutzernamen und Passwörter anlegen und diese an einem sicheren Ort verwahren. Der Computer ist kein sicherer Ort, auch unter der Tastatur, der Maus, etc nicht. Im privaten Bereich bietet es sich an, die Liste in ein Buch oder einen Ordner zu stecken.
- Die Passwörter regelmäßig ändern.
- Sichere Passwörter verwenden (dazu werde ich noch einen Artikel schreiben)

Wenn man nicht für jeden Dienst verschiedene Daten verwenden will, dann sollte man die Dienste in verschiedene Kategorien einteilen und diesen Kategorien jeweils verschiedene Benutzernamen und Passwörter zuweisen. Ein Beispiel für eine Kategorisierung wäre:
- Kostenlose Dienste ohne Schreibrechte, zB Online-Programmzeitschrift
- Kostenlose und vertrauenswürdige Dienste mit Schreibrechten, zB Youtube, Flickr, Onlineforen
- Kostenlose und vertrauensunwürdige Dienste mit Schreibrechten, zB Onlineforen, Chat-Seiten, StudiVZ, SchülerVZ
- Kostenpflichtige vertrauenswürdige Dienste, zB Blogs, Zeitschriftenarchive
- Kostenpflichtige vertrauensunwürdige Dienste, falls es so etwas gibt
- Unverzichtbare Dienste, zB eBay, Amazon, Blogs, Onlineforen, Chat-Seiten, etc
Den Unverzichtbaren Diensten sollte man auf jeden Fall jeweils verschiedene Daten zuweisen.
Zusätzlich sollte man je Kategorie ein Limit an Diensten setzen, die die selben Daten haben. Dies ganze dient natürlich nur dem verringern des potentiellen Schadens, für den Fall, dass einer der Dienste gehackt wird.
Natürlich kann man darauf verzichten und darauf vertrauen, dass keiner der Dienste gehackt wird oder gar einer der Dienstbetreiber damit Schindluder treibt. StudiVZ Nutzer die bisher dieses Vertrauen aufgebracht haben, haben nun den Salat und dürfen mühsam die Passwörter jedes einzelnen Dienstes ändern und sind selbst dann nicht mehr sicher, solange sie den Benutzernamen nicht ändern können.