Wozu braucht man ein Passwort?

Spion und Hacker

Die Berichte von Schülern, die via Internet in Computersysteme von staatlichen Stellen eindrangen und sensible Daten kopierten, sind bekannt. Auch Aktivitäten von Hackern, die lediglich Schwachstellen im Sicherheitssystem aufdecken möchten, wurden medial ausgewalzt. Bisweilen findet sich im Chronikteil einer Tageszeitung auch ein Bericht über Industriespionage via Internet. Wie ist das möglich? Sind vertrauliche Daten nicht durch Zugangscode und/oder Passwort geschützt?

Zugriffsschutz

Der Schutz von Daten wird durch Identitätsnachweis sichergestellt. Dafür gibt es folgende Möglichkeiten:

1. durch Information, die nur der Befugte kennt. Dabei kann es sich um einen ein Passwort, einen verschlüsselten Dialog, eine Nummer oder ähnliches handeln.
   
2. durch eine möglichst fälschungssichere Hardware im Besitz des Befugten. Dies könnte ein Schlüssel, eine Magnetkarte, eine Chipkarte, usw. sein.
   
3. durch unverwechselbare, messbare persönliche Merkmale. Die Handschrift, die Stimme, die Iris oder der Fingerabdruck könnten diese Funktion erfüllen.

Wirksamen Schutz bietet eine Kombination aus mindestens zwei Methoden.

Das Passwort

Vor rund 30 Jahren wurde zur Feststellung der Identität einer am Computer arbeitenden Person ein Passwort eingeführt. Mit der Identifikation wurde der Zugang zu bestimmten Daten und Programmen ermöglicht. Auch die Zugriffsart, lesen&schreiben oder nur-lesen, ist festlegbar. Das Passwort war in den Anfangstagen der EDV eine starre, im System vermerkte Zeichenkombination. Oft wurde ein nicht geheimer Zugangscode (Benutzername) mit einem Passwort, das geheim sein sollte, kombiniert. Detail am Rande: Untersuchungen ergaben, dass in über 50% der Fälle Passwörter leicht zu erraten waren, da sie bekannte persönliche Daten des Benutzers beinhalteten wie zum Beispiel das Geburtsdatum, das Hochzeitsdatum oder den Vornamen. War das Problem früher beschränkt auf die "Gefahr von innen" - im Bereich von Mitarbeitern -, so ist durch zunehmende Vernetzung von Computersystemen, Anwählbarkeit von jedem beliebigen Ort und rapide steigende Zahl von Benutzern (Etablierung von Kleinrechnern als Arbeitsplatzausrüstung) eine "Gefahr von aussen" seitens Betriebsfremder entstanden. Der Schaden, der Industrie und Hoheitsverwaltung durch unautorisierten Zugang entsteht, ist schwer quantifizierbar und wird meist nur in spektakulären Fällen bekannt.

Der Lauschangriff

Sobald das Passwort über eine Leitung übertragen wird kann es abgehört werden. Dieses Mitlauschen kann nicht verhindert werden. Folgende Problemlösungen sind möglich: Für dezentral arbeitende Mitarbeiter, die einmal täglich mit der Zentrale Kontakt aufnehmen, kann eine Liste einmal verwendbarer Passwörter vereinbart werden. Vorteil: Ein einmal gebrauchtes Passwort kann getrost bekannt werden, es ist unbrauchbar. Call-back durch Host wiederum bedeutet, dass der Zentralrechner via Telefon zurückruft. Durch moderne Telefontechnik wie Rufnummernumleitung ist dieses System jedoch nicht wirklich sicher. Bei Dialogue-procedure wird zur Identifikation ein komplizierter Dialog zwischen dezentralem und zentralem Rechner geführt. (Erinnert an James Bond: "Haben sie Feuer" "Ich rauche nicht" "Haben sie nicht einmal ein Streichholz?" "Ich habe nur ein Taschentuch" "Aha, sie sind Bond" "James Bond!"). Nachteil: Sehr aufwendig. Biometrische Methoden (persönliches Merkmal) sind aufwendig, meist teuer und ortgebunden, aber recht sicher.

Netzwerk und Diskretion unvereinbar?

Wie aber kann das wunderbare weltweite Netzwerk den mobilen Menschen in seinen kulturellen Routinetätigkeiten wie Banking, Einkaufen/Bestellen oder Kommunizieren ohne Sicherheitsrisiko unterstützen? Mathematiker entwickelten eine Verschlüsselungsmethode, die wie folgt funktioniert: Die Information wird vom Sender mit einem allgemein bekannten Schlüssel chiffriert. Der dabei verwendete Algorithmus ist bekannt. Der Empfänger dechiffriert mit einem nur ihm bekannten Schlüssel die Information. Der Algorithmus ist auch hier bekannt, der Schlüssel - wie gesagt - nicht. Eine Dekodierung mit dem Senderschlüssel ist ebenfalls nicht möglich. Wie geht das? Durch Operationen, deren Umkehr kein eindeutiges Ergebnis liefern (z.B. Potenzieren), wird erreicht, dass bei Dechiffrierung mittels bekanntem Senderschlüssel so viele Ergebnisse entstehen, dass aus diesen nicht einmal mehr maschinell in vernünftiger Zeit das Original gefunden werden kann. Schwachpunkt: Die Methode ist nicht 100%ig sicher, durch Zufall könnte eine Dechiffrierung gelingen.

Sicherheit in Unternehmen

Am Grossrechner sowie im Netzwerk werden Passwörter vergeben. Für die Sicherung der dezentralen Arbeitsplatzrechner ist der Endanwender verantwortlich. Ein Passwort dient der Steuerung der Zugriffsberechtigung und dem Schutz der Arbeitsmittel ähnlich dem Versperren von Kästen und Räumen. Die Passwortmodalität sollte daher als Schutzmassnahme, nicht als Schikane verstanden werden. Eine umsichtige Geheimhaltung (Passwort nicht mittels Notizzettel auf den Schirm heften!) sollte als Vorsichtsmassnahme vor Computer-interessierten Spassvögeln genügen. Die Ahndung mutwillig oder fahrlässig angerichteten Schadens ist im Dienstrecht geregelt.

Anmerkung: Die Verarbeitung von personenbezogenen Daten ist im Datenschutzgesetz sowie durch dessen unternehmensinterne Umsetzung geregelt, was aber nicht Thema dieses Beitrags sein sollte.

Zurück zur Übersicht

Startseite - Wien - Fotos - Musik - Reisetipps - Tours - Donaufahrt - Kaffeehaus - Heuriger/Wein - Links - Suchen - Impressum