Christian Szidzek - Datenschutzgrundverordnung für Dummies

Der laxe Umgang mit Passwörtern stellt für die Datensicherheit eine große Gefahr dar. Immer wieder neigen Mitarbeiter dazu, anderen Mitarbeitern ihre Zugangsdaten zu Ihrem E-Mail-Account oder bestimmten Bereichen im betriebseigenen IT-System bekannt zu geben. Der Grund besteht oft in der Erleichterung von Alltagstätigkeiten. Dabei wird gerne übersehen, dass die erfolgte Verwendung dieser Zugangsdaten vor Gericht ein klares Beweisanzeichen dafür ist, dass die Zugangsdaten von dem Berechtigten selbst und nicht von Dritten verwendet wurden. Die damit einhergehende Beweislastumkehr führt dazu, dass der Berechtigte, dessen Zugangsdaten missbraucht wurden, beweisen muss, dass nicht er das System kompromittiert hat, sondern ein anderer. Das ist in vielen Fällen technisch kaum möglich. Auch das langjährige Vertrauen in Ihre Kollegen sollte Sie nicht dazu verleiten, diesen Ihre Authentifizierungsdaten oder Passwörter anzuvertrauen. Es gibt Fälle, in denen Ihre Kollegen selbst vielleicht gar kein Interesse haben, die Daten zu missbrauchen. Was aber, wenn sie von krimineller Seite unter Druck gesetzt werden? Auch kleine, auf Bildschirmen aufgeklebte Post-it-Zettelchen mit Passwörtern oder Bankkarten, auf denen das Passwort aufgeschrieben ist, sind immer wieder zu beobachten und machen die besten IT-Sicherheitseinstellungen zunichte.

Aber auch schwache Passwörter sind ein Einfallstor für Angriffe von außen. Stark sind Passwörter dann, wenn sie aus

mindestens acht Zeichen bestehen,

Groß- und Kleinschreibung beinhalten und

Zahlen und Sonderzeichen verwenden.

Das ist an sich ganz einfach, wird aber oft aus bloßer Unbedarftheit – böse Zungen würden von Faulhei t sprechen – nicht eingehalten. Am besten ist es deshalb, Systeme zu verwenden, die bereits bei der Vergabe von Passwörtern durch die Benutzer automatisch eine Prüfung der Passwortstärke vornehmen und schwache Passwörter von vorneherein nicht akzeptieren. Schwierigkeiten bereitet es aber auch oft, angesichts der Vielzahl von Passwörtern, die nahezu überall zu vergeben sind, einen Überblick über diese zu behalten. Das kann dann dazu führen, dass immer wieder dieselben Variationen von Ausgangspasswörtern verwendet werden. Schlimmstenfalls kommt dasselbe Passwort gleich bei verschiedenen Accounts zum Einsatz. Wer dieses Passwort kennt, kann in kurzer Zeit sämtliche Accounts knacken.

Die Stärke Ihrer Passwörter können Sie auf verschiedenen Internetseiten überprüfen. Geben Sie dort doch einmal das Passwort: Meier1109 – eine beliebte Kombination aus Name und Geburtsdatum – ein, und Sie werden feststellen, dass es nicht länger als eine Sekunde dauert, dieses Passwort zu entschlüsseln. Wie aber komplizierte Passwörter merken? Es gibt einen einfachen Trick: Merken Sie sich einen Satz und verwenden Sie als Passwort die jeweiligen Anfangsbuchstaben der Wörter, wie zum Beispiel Oma pflückt im Wald 20 Erdbeeren! Das Passwort wäre dann OpiW20E! Lassen Sie nun dieses Passwort ebenfalls durch den Check laufen, und Sie werden sehen, dass der Rechenvorgang jetzt anstelle einer Sekunde einen Monat dauert, um das Passwort zu knacken. Um wie viele Male dies länger ist als eine Sekunde, dürfen Sie selbst ausrechnen. Fügen Sie noch weitere Stellen dazu, sitzt Ihr Hacker einige Jährchen vor seinem Rechner. Wenn Sie Ihr Passwort nun in regelmäßigen Abständen immer wieder ändern, sind Sie auf der sicheren Seite. Vermeiden Sie es unbedingt, Eigennamen oder Begriffe in einem Passwort zu verwenden. Dann muss nicht mehr gerechnet werden. Es bedarf dann lediglich eines automatisierten Abgleichs gegen Wörterbücher, und das geht sehr schnell.

Auch Einsparungen an der falschen Stelle machen Angreifern das Leben leicht. Je sensibler Ihre Daten sind, desto härtere Maßnahmen zur Gewährleistung der Datensicherheit sollten Sie ergreifen. Oft beharren Unternehmen aber leider auf völlig veralteten IT-Strukturen. Das mag nostalgische Gründe haben oder ist Ausfluss eines kognitiven Irrtums , nämlich dem Fehlschluss aus versunkenen Kosten . Wer jahrelang in eine eigene Server-Landschaft Unmengen von Geldern investiert hat, ohne zu erkennen, dass der Betrieb eigener Server längst nicht mehr rentabel und schon gar nicht mehr sicher ist, der neigt dazu, an dem alten Server festzuhalten, auch wenn zwischenzeitlich weitaus günstigere und noch dazu sicherere Cloud-Lösungen existieren. Wenn solche versunkenen Kosten erst einmal entstanden sind, decken sich die Interessen des Unternehmens zur Behebung des Problems oft nicht mehr mit dem mentalen Konto des Entscheidungsträgers. Hier kann meist nur ein Wechsel des Verantwortlichen helfen, die festgefahrene mentale Ausrichtung zu durchbrechen. Vive la révolution !

Die unsachgemäße Datenträgerbehandlung und -entsorgung führt ebenfalls immer wieder zu unnötigen Angriffsflächen.

Die unbedachte Verwendung fremder USB-Sticks oder Memory-Cards macht es Angreifern ebenfalls leicht, Ihr System zu infiltrieren. Eine beliebte Übung bei Testangriffen auf die Unternehmens-IT besteht darin, auf Parkplätzen, WCs, auf Fluren oder an beliebigen anderen Orten ulkig beschriebene USB-Sticks zu verlieren, die mit Schadsoftware verseucht sind, und dann auf die Reaktion der glücklichen Finder zu warten. Gut funktionieren Aufschriften wie Gehalt des Vorstands , Q oder sonstiger Quatsch. Der Pen-Tester muss dann nichts anderes tun, als seinen Rechner aufzuklappen und abzuwarten, bis sich das erste Schadprogramm auf seinem System meldet.

Inzwischen gibt es eine Vielzahl zertifizierter Entsorgungsunternehmen, zum Beispiel nach DIN 66399. Viele Unternehmer bevorzugen jedoch nach wie vor die günstige Entsorgung papierhaften Mülls im Container hinter dem Haus, werfen Festplatten in den Restmüll, vergessen mit Firmendaten vollgestopfte USB-Sticks wieder von ihren Mitarbeitern einzusammeln oder bewahren diese an den unmöglichsten Stellen auf. Wer weiß, dass gelöschte Daten auf fast allen Datenträgern von Spezialisten wiederhergestellt werden können, hat schon viel gewonnen. Oft ist das aber gar nicht nötig, weil Datenträger zwar gerne mit Daten gefüttert werden, eine Löschung der Daten aber erst erfolgt, wenn die Speicherkapazität ausgeschöpft ist. Wer solche Datenträger findet oder entwendet, muss sich nicht mehr in Ihr IT-System einhacken, um auf Ihre Daten zugreifen zu können.

Es wurde einmal von einer Bank berichtet, die von Geldautomaten eingezogene EC-Karten in einem kleinen Schuhkarton im Zimmer der Internen Revision verwahrte. Als der Schuhkarton eines Tags versehentlich auf den Boden gefallen war, leerte die eifrige Mitarbeiterin des Putzdiensts auch den kleinen Schuhkarton aus und warf die abgelaufenen Kärtchen in den sogenannten gelben Sack , ein in Deutschland beliebtes Kunststoffbehältnis zur Entsorgung jeglichen Mülls, der nicht mehr in die Tonne für den Restmüll passt, zur Abholung durch die Müllabfuhr. Da der gelbe Sack auch schon am Folgetag abgeholt werden sollte, brachte die Putzfee ihn auch gleich noch zur nächstgelegenen Abholstelle, die sich etwa zweihundert Meter vom Bankgebäude entfernt befand. Am nächsten Morgen entdeckte der zum Frühaufstehen neigende Revisor der Bank eine Spur aus EC-Karten im Schnee, die vom Hinterausgang der Bank bis zum besagten gelben Sack führte. Die abgelaufenen Karten werden in der Bank heute nicht mehr in Schuhkartons gelagert.