Kleines Problem, große Wirkung

Das BSI stellte schon 2011 in einer Studie fest, dass grundsätzlich in deutschen Unternehmen viel für die IT-Sicherheit getan wird, und entstehende Probleme selten technischer Natur sind. Die Probleme lägen in der Kommunikation zwischen Geschäftsführern und IT-Verantwortlichen. Dafür gibt es eine einfache Ursache: es fehlt die gemeinsame Sprache.

Nehmen wir ein einfaches Beispiel aus der Praxis von einem großen Energieversorger und nennen ihn ABC AG. Wie alle Energieversorger ist auch dieses Unternehmen ein Teil unserer kritischen Infrastruktur. Die ABC AG möchte einen geeigneten Zugriffsprozess definieren – also festlegen wer, wann, wie an welche Daten kommt. Die ABC AG betreibt weit über 20 unterschiedliche, passwortgeschützte Systeme in der Verwaltung und in operativen Einheiten. Die Geschäftsführung beruft eine Arbeitsgruppe ein, um die Änderung voranzutreiben. Natürlich wollen die IT-Verantwortlichen Sicherheit auf höchstem Niveau, wofür sie von der Geschäftsführung Ihre Unterstützung einfordern. Die Geschäftsführung möchte den bestmöglichen Schutz.

Die IT präsentiert zwei Lösungen:

• 1. Unified Passwording, also den Zugriff auf alle Systeme mit einem einzigen Passwort pro Mitarbeiter, was es einem potenziellen Eindringling erleichtern könnte, mehrere Systeme mit einem gehackten Passwort anzugreifen, oder
• 2. Diversified Passwording, also Zugriff mit unterschiedlichen Passwörtern, was es einem potenziellen Eindringling erschweren soll, in verschiedenen Systemen Schaden anzurichten.

In zahlreichen Meetings, Videokonferenzen und Konzepten überzeugen die IT-Verantwortlichen ihre Geschäftsführung, dass Unified Passwording eine große Bedrohung für die Compliance ist, weil damit der potenzielle Eindringling unmittelbaren Zugang zu allen Systemen des Mitarbeiter-Accounts erhält. Außerdem spricht für das Diversified Passwording, dass die heute bereits bestehenden Systeme nicht kostenintensiv umgestellt werden müssen, zum Beispiel um die gleiche Passwortlänge in allen Anwendungen zu ermöglichen.

Nach Kostenpunkten und Sicherheitsaspekten legt die Geschäftsführung also fest, dass – wie bisher – jeder Mitarbeiter für jede Anwendung unterschiedliche Passwörter verwenden muss. Um die Sicherheit zu steigern, wird in einer Richtlinie festgehalten, dass jedes Passwort alle vier Wochen zu ändern ist und darüber hinaus noch mindestens eine Zahl und zwei Sonderzeichen enthalten muss. Die Passwortlänge darf zwischen acht und 16 Zeichen betragen. Mit dieser Lösung fühlen die Geschäftsführer sich bestätigt, die IT-Verantwortlichen ebenfalls, und so sieht sich die ABC AG gegen Angriffe von außen gut geschützt und veranlasst die Einführung der neuen Richtlinie innerhalb von sechs Monaten. Hunderte Mitarbeiter ändern ihre Passwörter, unterschreiben die Richtlinie und setzen die Vorgaben in der Praxis um.

Ist das Unternehmen nun besser geschützt als vorher? Jeder Mitarbeiter der ABC AG arbeitet durchschnittlich mit elf passwortgeschützten Systemen. In der Praxis hat es sich zwischenzeitlich bei den Mitarbeitern etabliert, ein Passwort mit elf Zeichen zu verwenden. Die Zeichen werden für jedes System „rolliert“, also einfach in unterschiedliche Reihenfolgen gebracht. Um sich die Passwörter leichter merken zu können, schreiben sich fast alle Mitarbeiter die unterschiedlichen Passwörter auf einen Post-it und heften den Zettel unter die Tastatur, speichern die Liste in eine Word- oder Excel-Datei oder in die Notizen des Firmenhandys. Da der komplizierte Identitätsschlüssel (also Benutzername) ebenfalls schwer zu merken ist, steht dieser bei den meisten Mitarbeitern ebenfalls auf dem Passwortzettel.

Wie man sich effektiv wehren kann, nicht nur mit Passwort-Richtlinien, erfahren Besucher auf der Prosecurity am 10. und 11. November 2015 in Fürstenfeldbruck, in Workshops, Vorträgen und auf der Messe. Der Veranstalter spricht die Sprache der Geschäftsführung und die Sprache der IT und will beiden Seiten helfen, sich besser zu verstehen.