1. Grundprobleme von Datenschutz und Datensicherheit
Passwörter und Social Engineering
Niemals ein Passwort aufschreiben! ;-)
Passwörter (Kennwörter, ebenso auch kryptographische Schlüssel
und PINs = Geheimzahlen) sind gefährdet durch:
- Nachlässigkeit des Besitzers, Social Engineering
(siehe unten).
- Weitergabe von Passwörtern.
- Gleiches Passwort in verschiedenen Sicherheitsbereichen
(z. B. Porno-Server und Home-Banking).
- Ungenügende Schutzvorkehrungen des Systems.
- Speicherung von Passwörtern durch Anwendungen.
- Abhören von Leitungen, Bildschirmen, PCs.
(Cave: Automatische Scan-Programme, Passwortfallen.)
- Systematisches Probieren und Fischzüge, z. B. mit
crack - Crack-Programme sind heute stärker als merkbare
Passwörter.
Daher entspricht Passwortschutz nicht mehr dem Stand
der Technik.
»Das Vertrauen in wiederverwendbare Passwörter ist die
größte einzelne Angriffsfläche auf die Computer-Sicherheit,
die wir haben.«
[W. H. Murray 1991 in
Risks-11.52]
Zusatz von K. P. 1999: ... zumindest vor der Erfindung der aktiven
Web-Inhalte und der automatisch ausgeführten Makros in Mail-Anhängen.
Immerhin ist Passwortschutz ein Signal, dass der Zugang nur für
ausdrücklich Befugte gestattet ist, und hat somit strafrechtliche Relevanz
- auch bei schlecht gewähltem Passwort und unabhängig davon, dass
Passwortschutz einem veralteten Stand der Technik entspricht. Analogie:
abgeschlossene Tür, egal welche Qualität das Schloss hat; Einbruch
ist Einbruch.
Bei MS-Windows-Systemen: Niemals bejahen, wenn ein Programm per
Abfrage anbietet, ein Passwort zu speichern.
Techniken des Social Engineering
Hauptsächliche Anwendungsgebiete im IT-Bereich:
- Erschleichen von Passwörtern,
- Installation von Trojanischen Pferden.
Anwendungsbeispiele:
- Dringender Anruf des »Systemverwalters«.
- Falsche Behauptungen, dass in der Anlage einer Mail ein wichtiger
Software-Patch oder ein Upgrade enthalten ist.
- Vortäuschung eines unterhaltsamen Inhalts, um den Anwender zur
Ausführung eines Programms zu motivieren (»Dancing Pigs«-Effekt).
- Anbieten eines Nutzens, um Daten zu erschleichen (Bonus-Punkt-Programme).
- E-Mail so fäschen, dass sie von einem Vertrauten des Empfängers zu
kommen scheint.
- Verpacken eines Schadprogramms so, dass es harmlos oder vertraut wirkt
(z. B. Passwortfalle, Verwendung eines bekannten Icons).
Ausnutzen der »Schwachstelle Mensch«.
Die klassischen Techniken:
- verlocken -
- überreden,
- schmeicheln,
- verführen,
- bestechen,
- täuschen -
- vorspiegeln falscher Tatsachen,
- hochstapeln,
- betrügen,
- unter Druck setzen -
- einschüchtern,
- bedrohen,
- erpressen.
Siehe auch:
Jakob Nielsen:
Security &
Human Factors.
Bruce Schneier:
A Social Engineering Example
in Crypto-Gram,
January 15, 2001.
Vorlesung Datenschutz und Datensicherheit,
Johannes-Gutenberg-Universität Mainz
Autor: Klaus Pommerening, 31. März 1999;
letzte Änderung: 25. Dezember 2001
E-Mail an
Pommerening@imsd.uni-mainz.de.