Sind User-ID und Passwort noch zeitgemäßer Datenschutz?

Viele Unternehmen waren schon Opfer von Hackern, die potentiellen Folgen eines Datendiebstahls haben aber meist die Kunden zu tragen. Die betroffenen Firmen können rechtlich kaum belangt werden. Oft werden Benutzernamen und Passwörter entwendet. Aus Sicht des IT-Experten Reinhard Posch können diese klassischen Sicherheitshürden längst keine Sicherheit mehr garantieren.

Sendungshinweis

„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1

Cyberkriminalität ist in den letzten Jahren immer wieder Thema. Benutzernamen und Passwörter werden von großen Firmenservern gestohlen, der Diebstahl bleibt oft über Jahre unentdeckt. Eine Problem, das nicht so leicht zu lösen ist und dessen Folgen dank der zunehmenden Vernetzung unserer Haushaltegeräte – Stichwort: Internet der Dinge – noch dramatischer werden könnten, sagt der Informatiker Reinhard Posch, er ist Professor an der Technischen Universität (TU) Graz und als oberster IT-Experte für die österreichische Bundesregierung im Bereich E-Government tätig.

Sicherheitslücken im Internet sind unvermeidlich

Prinzipiell müsse man davon ausgehen, dass bei heutigen hochkomplexen Systemen Sicherheitslücken vorhanden seien, so Posch. Manche dieser Sicherheitslücken seien bereits entdeckt worden, andere eben nicht. Wegen der zunehmenden Komplexität von Computersystemen und Hackerangriffen sei es mittlerweile auch schwierig festzustellen, wer letztlich für einen Datendiebstahl zur Verantwortung zu ziehen ist. Sollte ein Unternehmen bewusst sensible Daten auf veralteten Systemen lagern, also etwa auf Computern, die keine aktuellen Sicherheitsupdates installiert haben, könnte man das vielleicht nachweisen. Dies sei aber eher die Ausnahme, so Posch.

In der Praxis würden derartige Diebstähle von Passwörtern meist in aktuellen Systemumgebungen stattfinden, also auf Computersystemen, die durchaus mit aktueller Software und aktuellen Sicherheitsupdates ausgerüstet sind. Das Problem seien die Sicherheitsmaßnahmen an sich, so Posch. Ein Unternehmen, welches zum Schutz von Kundendaten nur die Möglichkeit anbietet, die Daten mit einem Benutzerkennwort und einem Passwort zu sichern, handelt aus Sicht des IT-Experten nachlässig.

Auge in dem sich ein Facebook Logo spiegelt
dpa - Bildfunk
Experten fordern bessere Sicherheitsstrategien gegen Datenspione

Anwender nach wie vor nachlässig bei Datensicherheit

Sollte es dann zu einem Angriff kommen, bei dem Userdaten entwendet werden, würde die Verantwortung dennoch gerne auf den Kunden abgewälzt. Die Anbieter seien häufig in der Lage, die Situation so darzustellen, dass an ihnen juristisch kaum etwas hängen bleibt, so Posch. Das liege auch daran, dass viele Internetnutzer in Punkto PC-Sicherheit nach wie vor unvorsichtig sind. Sei es aus Unwissen, Nachlässigkeit oder Bequemlichkeit.

Die Komplexität vieler verwendeter Passwörter sei nach wie vor zu gering. Außerdem speichern viele Internetnutzer ihre Zugangsdaten nach wie vor im Browser ab, um diese nicht jedes Mal neu eingeben zu müssen. Daher sei es für Unternehmen oft ein Leichtes, im Schadensfall dem Kunden die Verantwortung für mangelnde Sicherheitsvorkehrungen anzulasten. Obwohl der theoretisch mögliche Sicherheitsstandard, also etwa die höhere Komplexität von Passwörtern, ausschließlich vom Anbieter bestimmt wird. Kunden haben lediglich die Wahl, einen bestimmten Dienst zu nutzen oder eben nicht.

Benutzername und Passwort nur schwacher Schutz

Hier müsste man auf europäischer Ebene tätig werden, meint Posch, damit auch Serviceanbieter, wenn sie etwa unsichere Identifikationsmechanismen einsetzen, eine gewisse Verantwortung übernehmen müssen. Die nach wie vor gängigste Sicherheitsmaßnahme sei mittlerweile übrigens längst überholt, meint der Experte. Benutzer ID und Passwort würden heutzutage nur noch einen verhältnismäßig schwachen Schutz bieten. Vor allem, weil es sich bei der Eingabe eines Benutzernamens und eines Passworts um einen sich wiederholenden Vorgang handelt.

Ein Vorgang, der wiederholbar den gleichen Effekt auslöst wie die Eingabe eines Benutzernamens und eines Passworts, könne auch von einem Hacker, der einem dabei über die Schulter schaut, wiederholt werden. Daher sind aus Sicht des Experten alle Internetdienste, die nur diese eine Sicherheitsmaßnahme einsetzen, potentiell gefährdet. Dies gelte für E-Mail-Server ebenso wie etwa für Clouddienste. Wer seine Handydaten in einer Cloud ablegt, die lediglich die Erstellung eines Benutzernamens und eines Passworts zulässt, um das Datenbackup vor fremdem Zugriff zu schützen, sollte extrem vorsichtig sein, so Posch.

"Komplexere Sicherheitsstrategien sollten Standard sein

Aus Sicht des Experten sollten fortschrittliche Sicherheitsmechanismen wie etwa die Zweifaktorauthentifizierung, bei der neben Benutzernamen und Passwort auch noch eine separate TAN-Nummer auf das Handy geschickt wird, in jedem Fall zum Standard gehören. Unternehmen, die keine derart starken Identifikationsmechanismen anbieten, sollten im Schadenfall zumindest einen Teil der Haftung übernehmen müssen, so der Experte.

Die Zweifaktorauthentifizierung wird mittlerweile von etlichen Unternehmen wie etwa Apple oder Facebook angeboten. Beim Onlinebanking gehört sie seit jeher zum Standard. Banken wären generell Vorreiter im Hinblick auf fortschrittliche Onlinesicherheitsvorkehrungen und sind nach wie vor weit besser aufgestellt als viele Onlineshops oder Clouddienste. Wohl auch deswegen, weil hier neben der Sicherheit der Kunden auch die Sicherheit der Bank selbst auf dem Spiel steht.

Fortschrittliche Sicherheitsmechanismen würden in Europa zusehends implementiert, so Posch. International gebe es aber noch jede Menge Überzeugungsarbeit zu leisten. Bis sich der Trend auch in asiatischen Ländern oder den USA durchsetzt, werde wohl noch einige Zeit vergehen. Den Konsumenten rät Reinhard Posch in jedem Fall, auf die doppelten Sicherheitsstandards zu setzen und nicht aus Bequemlichkeit auf diesen zusätzlichen Schutz zu verzichten, vor allem, da durch Errungenschaften wie das Internet der Dinge auch zunehmend Alltagsgeräte wie Staubsauger, Klimaanlagen oder Kaffeemaschinen ins Netz drängen. Das Gefahrenpotential steige dadurch um ein Vielfaches.

Paul Urban Blaha, help.ORF.at

Mehr zum Thrma: