ComputerClub 2
Sitemap Kontakt
  Wolfgang Back & Wolfgang Rudolph
Suche:   Wolfgang Back & Wolfgang Rudolph
  Aktuelle Sendung
  Nächste Sendung
  Sendungsarchiv
  Downloads


SENDUNGSARCHIV

13.07.2009
Folge 176

Passwörter aus dem Kopf?

Mit dem Notizzettel durch den Password- Dschungel

Ein kleiner Notizzettel kann vor bösen Überraschungen schützen. Ein sicheres Passwort muss aus unzähligen Ziffern, Buchstaben und Sonderzeichen bestehen? Es darf auch unter keinen Umständen auf einem Stück Papier verewigt werden? Alles schön und gut, nur wer kann sich diesen Kombinationssalat merken? Sicherheitsexperten von F-Secure raten, notieren Sie sich ihre Passwörter einfach auf einem Zettel! Allerdings gibt es da noch einen kleinen Trick.


Heinz Schmitz

Ein schwaches Passwort und eine leicht zu beantwortende Sicherheitsabfrage sind schuld daran, dass zum Beispiel sich ein Hacker leichten Zugang zum E-Mail-Account der Hollywood-Schauspielerin Salma Hayek verschaffen konnte. Die Schauspielerin nutzte nach Recherchen von Sophos lediglich ihr Geburtsdatum als Passwort und als zweite Sicherheitsstufe die Frage nach ihrer bekanntesten Filmrolle. Ein fataler Fehler. Aber bei der Vielzahl von Kennwörtern, mit der man es täglich zu tun hat verführt dazu, immer und überall das gleiche Passwort zu verwenden und dann noch eins das sich einfach merken lässt. Aber je einfacher Passwort, desto schneller ist es gehackt.

Einer neuen US-Studie zufolge nämlich machen es Internet-Nutzer Daten-Piraten noch immer viel zu leicht. Die Analyse von 28.000 in jüngster Zeit gestohlenen Passwörtern zeigte nämlich, dass die Verbraucher sich meist für einen naheliegenden simplen Geheimcode entschieden, wie aus der in Information Week veröffentlichten Studie hervorgeht. So wählten 16 Prozent der Nutzer einen Vornamen - den eigenen oder den eines ihrer Kinder. Weitere 14 Prozent entschieden sich für eine Tastenfolge auf der Computer-Tastatur, «1234» zum Beispiel oder nebeneinanderliegende Buchstaben.

Fünf Prozent der Internet-Nutzer fanden Namen von TV-Serien oder -Stars besonders einprägsam, und vier Prozent machten es sich besonders leicht - sie tippten einfach «password» - «Passwort» - oder leichte Variationen wie «password1» ein.

Hacker gehen üblicherweise in mehreren Stufen vor. Zunächst wird ein Account mit bekannten und beliebten Passwörtern, wie „password“, „geheim“, „god“, „Sonne“, Mond“, „urlaub“ etc. bombardiert. Listen dazu findet man auf einschlägigen Seiten im Internet. Dann kommt der sogenannte lexikalische Angriff. Dazu wird der Inhalt eines Wörterbuchs als Passwortquelle genommen. Neuste Programme nehmen zum Beispiel Wikipedia als Wortquelle. Sind die Kriminellen jetzt noch nicht erfolgreich greifen sie zu einer so genannten Brut-Force Attacke. Dabei werden beliebige Zeichenkombinationen als Kennwort genutzt. Hier gilt: je größer der Zeichenvorrat ist, desto länger brauchen Hacker um an die Zugangsdaten zu kommen. Für ein sicheres Kennwort heiß das, es darf nicht ein einem Lexikon vorkommen (auch nicht rückwärts geschrieben) es sollte Buchstaben, Zahlen und Sonderzeichen erhalten und es sollte mindestens 8 Zeichen lang sein.

Die Forderung ist nicht leicht zu erfüllen, vor allem kann man sich die kryptisch Passörter wie –DaVv32.Ksd-3 schlecht merken. Ein Lösung sich so genannte Passwordmanager, die auf dem Rechner oder mobilen Datengerät die Kennwörter verschlüsselt speichern. Mei einem Masterpassword kommt man an seine Sammlung von Kennwörtern. Hier ist auch der Schwachpunkt. Stielt jemand das Masterpasswort, sind im alle Informationen zugängig. Hat man das Masterpassword vergessen, kann man auch alle seinen Daten vergessen.

Die Spezialisten von F-Secure aus Finnland empfehlen eine einfache Methode: Zettel, Kugelschreiber und etwas Kreativität. Damit lassen sich Kennwörter  generieren, an dem sich selbst ausgebuffte Hacker die Zähne ausbeißen. Die Experten fordern Online-Nutzer auf, das Passwort aufzuschreiben. So verrückt das klingt, diese Methode hilft Anwendern, in nur wenigen Schritten für jedes Portal die perfekte und unknackbare Passwort-Kombination zu erstellen – selbst wenn die Notiz in fremde Hände gerät.

Das Passwort besteht aus drei Teilen, wovon der Nutzer nur die ersten zwei notiert. Der Code beginnt mit drei Buchstaben, die sich auf die jeweilige Webseite beziehen. Beispiel für Amazon: „aMA“. Natürlich sind auch andere Groß- und Kleinschreibungen möglich, etwa „AMa“, „aMa“ oder „AMA“. Nach den Buchstaben folgt ein vierstelliger Zahlen- und Buchstabenmix, den sich der Nutzer komplett neu ausdenkt. In unserem Fall sind es die Ziffern „2242“.

Um das Passwort nun hieb- und stichfest zu machen, hängt der Nutzer an die ersten beiden Teile eine persönliche PIN, die er mit einem Sonderzeichen, beispielsweise mit einem Ausrufezeichen absetzt. In diesem Beispiel fügen wir „-cc2“ an. So würde das komplette Passwort lauten: „aMA2242-cc2“ Diese angehängte PIN sollte sich von anderen PINs, etwa der EC-Karten-PIN unbedingt unterscheiden und nie irgendwo notiert sein. Der Anwender schreibt lediglich auf einen Zettel die ersten beiden Teile des Passwortes.

Die kurze PIN und seinen Benutzernamen  sind die einzigen Fakten, die sich der Anwender merken muss. Natürlich kann die PIN auch für sämtliche andere Passwörter genutzt werden. Da die PIN auch für andere Passwortkombinationen genutzt werden kann, braucht man sich nur diesen einen Zusatz einprägen. Was passiert, wenn der Zettel mit den diversen Passwort-Teilen verloren oder gestohlen wird? Da sowohl Benutzername als auch die ans Passwort angehängte PIN fehlen, können Fremde diese Daten nicht missbrauchen. Der Nutzer kann in Ruhe seine Passwörter ändern beziehungsweise sich neu zusenden lassen.

Passwörter aufschreiben: Auch wenn dies ausgerechnet von Sicherheitsexperten äußerst riskant klingen mag - mit dieser Vorgehensweise erstellt der Anwender komplexe und einzigartige Passwörter, von denen er sich nur einen Bruchteil merken muss. Hacker können mit den Notizen wenig anfangen, schließlich fehlt dem Code ein wichtiger Teil, die PIN. Um auf Nummer sicher zu gehen, sollte man den Zettel nicht an den Monitor kleben oder unter die Tastatur legen, sondern lieber in der Geldbörse zu verstauen.


Die Odysee der Gesundheitskarte

Zum 1. Oktober soll "wieder einmal" die elektronische Gesundheitskarte eingeführt werden. So der Plan der Regierung. Ob das stark umstrittene Modell dann wirklich kommt, bezweifeln Experten bereits.

Das Sprichwort: "Was lange währt, wird endlich gut" scheint bei der Gesundheitskarte außer Kraft gesetzt. Immerhin soll die Einführung ein wichtiger Schritt hin zu einem modernen Gesundheitswesen darstellen. Nach den Ideen der Kommission soll die Karte sogar Geld sparen. Doch vorerst merkt man da gar nichts von. Im Gegenteil: 14,1 Milliarden Euro sind bisher auf der Strecke geblieben.
Und nach und nach werden viele angestrebte Neuerungen aus dem Programm gestrichen, so dass am Ende nicht viel mehr übrigbleiben wird, als die jetzt existente Krankenkarte bereits bietet.
Die ursprünglich angedachten 80 Millionen in der Auflage, wird es wohl nicht geben. Denn der Verband der privaten Krankenversicherungen hat bereits angekündigt, dass er beim Start der Gesundheitskarte mit seinen Versicherten nicht dabei sein wird . Bleiben also die gesetzlichen Versicherungen. Das halbiert die Auflage glatt, und selbst bei den gesetzlichen Krankenversicherungen wird zurzeit das Thema Gesundheitskarte sehr kontrovers  diskutiert. Noch hält die Regierung am 1. Oktober als Startdatum fest, aber unter Experten wird sogar schon über eine weitere Verschiebung des Starttermins diskutiert. Und was und wie endgültig mit der Gesundheitskarte geschehen soll, steht teilweise noch in den Sternen.



So ist ein unglaublicher Fehler bei der Entwicklung entstanden, den man sich eigentlich gar nicht vorstellen kann. Über die Jahre hinweg ist man über einen Punkt einfach hinweggegangen, weil man darin kein Problem sah.
Es geht dabei um das aufgedruckte Bild des(der) Inhaber(in)
der Gesundheitskarte.
Da die Karte keine hoheitliche -passähnliche- Funktion hat, ist das Besorgen der Kundenbilder problematisch. Denn niemand kann gezwungen werden, ein Bild von sich abzugeben. Hier hat man ganz einfach vergessen, dieses Problem in all den Jahren zu lösen. Jetzt finden Diskussionen statt, ob eine Karte ohne Bild überhaupt gültig ist, denn ein Merkmal für die Entdeckung von Betrug würde damit ja glatt wegfallen.

Zum weiteren Inhalt der Gesundheitskarte: Die Experten unterscheiden hier zwei Funktionspakete. Das eine Funktionspaket nennt sich "Versichertenstammdaten", das andere "Mehrwertkommunikation". Den Mehrwert wird die Karte zum 1. Oktober aus technischen Gründen nicht erbringen. Bei den Versichertenstammdaten dient sie im wesentlichen der Authentifizierung der Versicherten und enthält solche persönlichen Versicherungsdaten wie Kassennummer, Mitgliedsnummer, Name, Adresse - also die personenbezogenen Daten, die bisher auch schon die Versichertenkarte enthalten hat und die der Arzt braucht, damit er den Versicherten als Patienten verwalten kann.

Die Mehrwertkommunikation soll solche Anwendungen umfassen wie digitale Arztbriefe oder den Austausch von Röntgenaufnahmen oder anderen Untersuchungsergebnissen. Solche Daten sollen vom untersuchenden Arzt - egal ob in der Praxis oder im Krankenhaus - auf die elektronische Gesundheitskarte geschrieben werden, der Versicherte legt diese Karte ja beim mitbehandelnden Arzt vor. Oder wenn er aus dem Kranhaus nach einer Notfallbehandlung entlassen wird, bei seinem Hausarzt und so kann der weiterbehandelnde oder mitbehandelnde Arzt gleich auf alle Diagnose- und Behandlungsdaten zugreifen. Teure Doppeluntersuchungen sollen dadurch überflüssig werden; der Patient wird weniger belastet, weil bestimmte Untersuchungen - Darmspiegelung oder Röntgenaufnahme - nicht zweimal gemacht werden müssen. Und der weiterbehandelnde Arzt muss nicht erst darauf warten, dass ein Arztbrief oder ein Untersuchungsergebnis per Post eintrifft. Der Versicherte bringt das alles ja gleich auf seiner Kate mit.
Das Problem dabei: Diese Mehrwertkommunikation findet mit der Gesundheitskarte einstweilen nicht in vollem Umfang statt. Die Softwarehersteller von Praxisverwaltungssoftware haben nämlich bis Mitte Dezember 2008 vor allen Dingen zwei Funktionen implementiert, den Notfalldatensatz und das elektronische Rezept.
Beides hat ja im Feldtest Anfang des Jahres einigermaßen gefloppt. Und deshalb gab es die Ansage an die Softwareentwickler: Priorität hat ab sofort der elektronische Arztbrief. Hier gibt es zwei Probleme, nämlich die digitale Signatur für die Unterschrift des Arztes. Das können noch nicht alle Verwaltungssysteme, die in den Praxen und Krankenhäusern im Einsatz sind. Und das zweite Problem:
Die Untersuchungsdaten müssen valide sein, dürfen nachträglich nicht abgeändert werden. Dafür wird ein digitales Wasserzeichen, eine weitere Signatur, also irgendein Verfahren benötigt, mit dem sichergestellt werden kann, dass die Daten unverändert sind.


Peter Welchering

Die Gesundheitskarte sollte anfänglich der elektronische Schlüssel zur Patientenakte, die Zugangsberechtigung für das Gesundheitsnetzwerk sein. Hier stehen die Entwicklungsarbeiten noch sehr am Anfang. Eine digitale Patientenakte, bei der der Versicherte mit seiner Gesundheitskarte Zugriffsberechtigungen für Ärzte, Apotheker und Angestellte der Krankenkassen erteilen, erwarten die Experten so in zehn Jahren. Und teuer wird diese Entwicklung auch werden. Die Schätzungen dafür liegen allerdings sehr weit auseinander, nämlich zwischen drei und weiteren 14 Milliarden Euro.











Constanze Kurz vom CCC über Vorratsdatenspeicherung

Diese Folge kam ein wenig chaotisch zusammen. Wir wollten ein Gespräch mit Constanze Kurz in den Ablauf der normalen Sendung integrieren. Doch dann ergab es einige Terminschwierigkeiten mit Constanze, so dass wir die Sendung mit 30 Minuten abschlossen. Doch dann kam ein Anruf, dass sie doch zur Verfügung stehe und deshalb öffneten wir die fertige Sendung und hingen dann ein 30 Minuten Gespräch mit Constanze Kurz hintendran. Den eigentlichen Schluß der Sendung kopierten wir vorne weg und hingen ihn hintendran.


Logo CCC

Die Vorratsdatenspeicherung ist ja eines der unbeliebtesten Themen in unseren Kreisen. Hier beginnt in der Tat die Überwachung aller Bundesbürger ohne Anfangsverdacht. Oder besser: Verdächtig sind erstmal alle.

Doch noch ist das Gesetz kein Gesetz. Das, was Berlin fabriziert wird in letzter Zeit immer noch einmal in Kaqrlsruhe geradegerückt. Dabei kommen manchmal wirklich gute Verbesserungen heraus. Vielleicht sind die Karlsruher Richter auch ein Stück intelligenter, als das Berliner Ensemble einer informationellen Laienschar.
Die Richter in Karlsruhe haben mehrere gutachtenähnliche Bewertungen angefragt, wie sich das Vorratsdatenspeicherungsgesetz in der Praxis einstellen würde. Unter anderem fragte man auch den Chaos Computer Club nach seiner Meinung. Dies war nicht das erste Mal, dass die Karlsruher den Sachverstand nutzten.
Anders sieht das in Berlin aus. Ich erinnere mich an die Worte von Prof. Pfitzmann aus Dresden, der als Berater der Bundesregierung ebenfalls zur Datenvorratsspeicherung eingeladen war. Für den Arbeitskreis ging ein langer Tag zu Ende, bevor Pfitzmann seine Einwände einbringen sollte. Schon nach 50 Sekunden hatte man genug gehört, weil man offensichtlich keine Lust mehr hatte, weiter zuzuhören. Deshalb ist es mehr als gut, dass die Karlsruher Richter sich mehr Zeit lassen.


Dipl. Inf. Constanze Kurz vom Chaos Computer Club

Wie die Vorratsdatenspeicherung eingesetzt werden soll, wurde keinem Bürger klipp und klar erklärt. Wie auch? Da wären die Proteste dagegen nicht mehr abzuwenden gewesen.
All die Leute, die heute noch sagen: "Juckt mich doch nicht - die sollen meine Daten ruhig haben" würden wahrscheinlich lauthals aufschreien, wenn sie wüssten, was man mit ihren "harmlosen" Daten alles anfangen an.
Doch am besten nutzt man das Papier von Constanze Kurz, das die Verfassungsrichter auch bekamen. Es ist sehr gut ausgearbeitet und bietet einen kompletten Überblick.

http://www.ccc.de/vds/VDSfinal18.pdf


zurück zum Archiv
Anhören:


Audiodatstream
Download 128 Kbit/s (~27 MB)
Download 32 Kbit/s (~7 MB)
Ogg Vorbis 56 Kbit/s (~12 MB)
RSS Feed (Audiocast, letzte 5 Sendungen)
RSS Feed (Audiocast, alle Sendungen)

Druckversion Impressum Haftungsausschluss