1. Grundprobleme von Datenschutz und Datensicherheit
Passwörter und Social Engineering
Niemals ein Passwort aufschreiben! ;-)
Niemals bejahen, wenn ein Programm per
Abfrage anbietet, ein Passwort zu speichern.
Passwörter (Kennwörter, ebenso auch kryptographische Schlüssel
und PINs = Geheimzahlen) sind gefährdet durch:
- Nachlässigkeit des Besitzers, Social Engineering
(siehe unten).
- Weitergabe von Passwörtern, Gruppenpasswörter.
- Ein geteiltes Geheimnis ist kein Geheimnis mehr.
- Die Stärke eines Geheimnisses nimmt exponenziell mit der
Zahl der Eingeweihten ab.
- Gleiches Passwort in verschiedenen Sicherheitsbereichen
(z. B. P*rno-Server, Online-Shop und Home-Banking).
- Ungenügende Schutzvorkehrungen des Systems,
- z. B. unverschlüsselte Übertragung von Passwörtern in WWW.
- Speicherung von Passwörtern durch Anwendungen (z. B. MS-Office).
- Abhören von Leitungen, Bildschirmen, PCs. Cave:
- Automatische Scan-Programme,
- Passwortfallen,
- Phishing Mails.
- Systematisches Probieren und Fischzüge,
- z. B. mit crack
- Crack-Programme sind heute stärker als merkbare
Passwörter.
- Definition von Fischzug: Ein Angriff, der sich nicht
gegen ein bestimmtes Objekt (Passwort, Person, Server, ...) richtet,
sondern nach einem zufälligen verwundbaren Objekt sucht.
- Beispiel: Ein Netz-Sniffer, der nach dem Suchbegriff »Password: *«
filtert.
Daher entspricht Passwortschutz nicht mehr dem Stand
der Technik.
»Das Vertrauen in wiederverwendbare Passwörter ist die
größte einzelne Angriffsfläche auf die Computer-Sicherheit,
die wir haben.«
[W. H. Murray 1991 in
Risks-11.52]
Zusatz von K. P. 1999: ... zumindest vor der Erfindung der aktiven
Web-Inhalte und der automatisch ausgeführten Makros in Mail-Anhängen.
Immerhin ist Passwortschutz ein Signal, dass der Zugang nur für
ausdrücklich Befugte gestattet ist, und hat somit strafrechtliche Relevanz
- auch bei schlecht gewähltem Passwort und unabhängig davon, dass
Passwortschutz einem veralteten Stand der Technik entspricht. Analogie:
abgeschlossene Tür, egal welche Qualität das Schloss hat; Einbruch
ist Einbruch.
Techniken des Social Engineering
= Ausnutzen der Schwachstelle Mensch.
Hauptsächliche Anwendungsgebiete im IT-Bereich:
- Erschleichen von Passwörtern,
- Installation von Trojanischen Pferden.
Anwendungsbeispiele:
- Dringender Anruf des »Systemverwalters« (Hauptmann-von-Köpenick-Effekt).
- Fehlalarm-Falle (provoziert Abschalten oder Ignorieren).
- Sehr anschauliches Beispiel: Der Film »Wie klaut man eine
Million?«
- Falsche Behauptungen, dass in der Anlage einer Mail ein wichtiger
Software-Patch oder ein Upgrade enthalten ist.
- Vortäuschung eines unterhaltsamen Inhalts, um den Anwender zur
Ausführung eines Programms zu motivieren (»Dancing Pigs«-Effekt).
- Anbieten eines Nutzens, um Daten zu erschleichen (Bonus-Punkt-Programme).
- E-Mail so fälschen, dass sie von einem Vertrauten des Empfängers zu
kommen scheint.
- Verpacken eines Schadprogramms so, dass es harmlos oder vertraut wirkt
(z. B. Passwortfalle, Verwendung eines bekannten Icons oder einer
harmlosen Datei-Endung).
»Der menschliche Faktor wirkt sehr zuverlässig. Alle Fehler, die man
machen kann, werden gemacht.« (Bengt Beckman)
Anders ausgedrückt: Es gibt keinen Trick, auf den nicht irgendein
Depp hereinfällt.
Die klassischen Techniken:
- verlocken -
- überreden,
- schmeicheln,
- verführen,
- bestechen,
- täuschen -
- vorspiegeln falscher Tatsachen,
- hochstapeln,
- betrügen,
- unter Druck setzen -
- einschüchtern,
- bedrohen,
- erpressen,
- foltern.
Z. B. »Rubber-Hose
Cryptanalysis« [Marcus J. Ranum]
Siehe auch:
Vorlesung Datenschutz und Datensicherheit.
Autoren: Klaus Pommerening, Marita Sergl, 31. März 1999;
letzte Änderung: 23. Mai 2007.
E-Mail an Pommerening »AT« imbei.uni-mainz.de.