1. Grundprobleme von Datenschutz und Datensicherheit

Passwörter und Social Engineering


Niemals ein Passwort aufschreiben! ;-)

Niemals bejahen, wenn ein Programm per Abfrage anbietet, ein Passwort zu speichern.

Passwörter (Kennwörter, ebenso auch kryptographische Schlüssel und PINs = Geheimzahlen) sind gefährdet durch:

Daher entspricht Passwortschutz nicht mehr dem Stand der Technik.

»Das Vertrauen in wiederverwendbare Passwörter ist die größte einzelne Angriffsfläche auf die Computer-Sicherheit, die wir haben.« [W. H. Murray 1991 in Risks-11.52]

Zusatz von K. P. 1999: ... zumindest vor der Erfindung der aktiven Web-Inhalte und der automatisch ausgeführten Makros in Mail-Anhängen.

Immerhin ist Passwortschutz ein Signal, dass der Zugang nur für ausdrücklich Befugte gestattet ist, und hat somit strafrechtliche Relevanz - auch bei schlecht gewähltem Passwort und unabhängig davon, dass Passwortschutz einem veralteten Stand der Technik entspricht. Analogie: abgeschlossene Tür, egal welche Qualität das Schloss hat; Einbruch ist Einbruch.


Techniken des Social Engineering

= Ausnutzen der Schwachstelle Mensch.

Hauptsächliche Anwendungsgebiete im IT-Bereich:

Anwendungsbeispiele:

»Der menschliche Faktor wirkt sehr zuverlässig. Alle Fehler, die man machen kann, werden gemacht.« (Bengt Beckman)

Anders ausgedrückt: Es gibt keinen Trick, auf den nicht irgendein Depp hereinfällt.

Die klassischen Techniken:

Z. B. »Rubber-Hose Cryptanalysis« [Marcus J. Ranum]


Siehe auch:


Vorlesung Datenschutz und Datensicherheit.
Autoren: Klaus Pommerening, Marita Sergl, 31. März 1999; letzte Änderung: 23. Mai 2007.
E-Mail an
Pommerening »AT« imbei.uni-mainz.de.