In Wien fand diese Woche die jährliche RSA Konferenz Europa statt. Drei Tage lang diskutierte man im Austria Center über Sicherheit, Sicherheitslücken und Bedrohungsszenarien. Kurz über all das Böse, das die virtuelle Welt zu bieten hat und die Benützer des Internet so wenig kümmert. Art Coviello, Präsident von RSA Security Incorporated rief seinen Kollegen in seiner Eröffnungsrede vom Podium aus zu: Wir müssen das Internet zurückgewinnen. Und meinte damit die mittlerweile zehn Jahre andauernden Bemühungen aus Benutzern Konsumenten zu machen. Für Gewerbetreibende gibt es - glaubt man Art Coviello nur zwei Arten von Netzbewohnern: Die Bösen und die Guten: Zur ersten Gruppe zählen Kriminelle und zur zweiten Geschäftemacher und Konsumenten. Und letztere müssen endlich davon überzeugt werden, dass Passwörter allein keinerlei Schutz bieten. Das sagt auch William Duane. Er merkt sich an die zwanzig Passwörter. Gezählt habe er sie nie so richtig. Jedoch kommt auch er nicht umhin, ein und dasselbe Passwort mehrfach zu verwenden: Davor warnt er zwar als Sicherheitsexperte von RSA Security, aber letztendlich sei auch er nur ein Mensch.
Zu den beliebtesten Passwörtern zählen laut dem Magazin der ISSA, einer Vereinigung für Sicherheit der Informationssysteme, Wörter wie Gott, Sex. Love, Fred, der Name der Ehefrau oder des Haustieres und 1234567. Sechs Buchstaben sollte ein Passwort mindestens haben, betonen Experten und man sollte auch keinen Namen aus der Familie dafür heranziehen. Wenn es schon nicht anders geht, weil man weder einen Smartcard Reader noch ein biometrisches System kaufen will, dann sollte man sich einen Satz merken und das Passwort aus den Anfangsbuchstaben der einzelnen Wörter zusammenstellen. Eine Mischung aus Sonderzeichen und Buchstaben erhöhe die Sicherheit.
" Das Problem ist, dass sich zwar die Rechnerleistung exponentiell vergrößert, aber nicht die Leistung des menschlichen Gehirns. Wir haben jetzt den Punkt erreicht, wo jedes Passwort, das ein menschliches Wesen sich ausdenken und merken kann in relativ kurzer Zeit mit Hilfe von Software geknackt werden kann. Wie lange das dauert hängt vom Passwort ab: Die Zeitspanne reicht von ein paar Stunden bis zu ein paar Wochen. Aber das wichtigste ist, dass durch Moore’s Law sich alle 18 Monate die Rechnerleistung verdoppelt und damit die Passwörter keine Sicherheit mehr bieten. Selbst wenn es heute noch ein paar Wochen dauert sie zu knacken, in 18 Monten halbiert sich diese Zeit. Wir sind also an einem Punkt angelangt, in der mit Hilfe von Passwörtern Dinge mit Wert nicht mehr ausreichend geschützt werden können. "
Nicht jede Handlung im Internet ist gleichzusetzen mit einer Sicherheitsgefahr. Auf der RSA Konferenz ging es auch nicht um Script Kiddies, sondern um organisierte Computerkriminalität. Die andere Seite formiere sich zunehmend, lautete die Botschaft, und Unternehmen müssten aufpassen, dass ihnen nicht die E-Commerce Kunden davon rennen. Verhindern will man dies, indem man Passwörter nicht abschafft, das würde die Benutzer überfordern, sondern sie wie Tans beim E-Banking nur einmal verwendet. Dabei setzt man vermehrt auf Passcode Tokens und weniger auf biometrische Systeme oder Smart Cards. Letztere fanden, so die Meinung auf der Konferenz, bis heute noch keinen Massenmarkt, weil die Lesegeräte noch nicht wie ein CD-Laufwerk zur Grundaustattung eines Computers gehören. Von den kleinen USB Sticks, die auf jedem Schlüsselbund passen und mittlerweile auch am Markt erhältlich sind, erwarte man sich dagegen mehr. Verisign plant das Netzwerk selbst als zusätzlichen Sicherheitsfaktor zu nutzen. Dabei will die Firma, die neben Zertifikaten, Domain Names auch Klingeltöne vertreibt plattformübergreifend, als zentrale Clearingstelle für Einweg-Passwörter auftreten, sagt Nico Popp; Vizepräsident von "Verisign Authentifizierungsservices".
" Es handelt sich um eine Sicherheitskomponente, die wir in das Netzwerk implementieren wollen. Anstatt für jede Applikation eine Zwei-Faktoren Authentifizierungssoftware und Hardware zu kaufen, übergibt man diese Aufgabe einem zentralen Sicherheitsbetreiber. So müssen sich die Firmen nicht mehr einzeln mit diesem Thema befassen und sie können sich auch die Kosten mit einem Partner teilen. Das ist die grundlegende Idee hinter unserem Ansatz. "
Datenschützer warnen seit Jahren vor dem Entstehen einer derartig zentralen Datenbank. Laut Nico Popp will Verisign die Anonymität der Benutzer waren und überprüft nicht die Eingabe von Username und Passwort, sondern nur die Validität des Einweg Passcodes für den jeweiligen Dienst. Der vor kurzem geschlossenen Partnerschaft zwischen Verisign, Ebay und Paypal kommt dabei eine wichtige Rolle zu. Demnächst werden ebay Kunden einen USB Stick zugeschickt bekommen, der Einweg-Passwörter generiert, sagt Nico Popp. Um in Zukunft Transaktionen durchführen zu können, werden nicht mehr nur Benutzername und Passwort abgefragt werden, sondern auch ein einmalig generierter Code, der an Verisign zur Auswertung geschickt wird. Ob sich dieser Ansatz durchsetzen wird, bleibt abzuwarten. Sicherheit ist nicht nur eine Vertrauensfrage sondern auch eine der Benutzbarkeit. Die Eingabe von zusätzlichen Passwörtern kostet Zeit; und die haben weder ebay Händler noch Broker, die gerne in letzter Minute zuschlagen.
Zu den beliebtesten Passwörtern zählen laut dem Magazin der ISSA, einer Vereinigung für Sicherheit der Informationssysteme, Wörter wie Gott, Sex. Love, Fred, der Name der Ehefrau oder des Haustieres und 1234567. Sechs Buchstaben sollte ein Passwort mindestens haben, betonen Experten und man sollte auch keinen Namen aus der Familie dafür heranziehen. Wenn es schon nicht anders geht, weil man weder einen Smartcard Reader noch ein biometrisches System kaufen will, dann sollte man sich einen Satz merken und das Passwort aus den Anfangsbuchstaben der einzelnen Wörter zusammenstellen. Eine Mischung aus Sonderzeichen und Buchstaben erhöhe die Sicherheit.
" Das Problem ist, dass sich zwar die Rechnerleistung exponentiell vergrößert, aber nicht die Leistung des menschlichen Gehirns. Wir haben jetzt den Punkt erreicht, wo jedes Passwort, das ein menschliches Wesen sich ausdenken und merken kann in relativ kurzer Zeit mit Hilfe von Software geknackt werden kann. Wie lange das dauert hängt vom Passwort ab: Die Zeitspanne reicht von ein paar Stunden bis zu ein paar Wochen. Aber das wichtigste ist, dass durch Moore’s Law sich alle 18 Monate die Rechnerleistung verdoppelt und damit die Passwörter keine Sicherheit mehr bieten. Selbst wenn es heute noch ein paar Wochen dauert sie zu knacken, in 18 Monten halbiert sich diese Zeit. Wir sind also an einem Punkt angelangt, in der mit Hilfe von Passwörtern Dinge mit Wert nicht mehr ausreichend geschützt werden können. "
Nicht jede Handlung im Internet ist gleichzusetzen mit einer Sicherheitsgefahr. Auf der RSA Konferenz ging es auch nicht um Script Kiddies, sondern um organisierte Computerkriminalität. Die andere Seite formiere sich zunehmend, lautete die Botschaft, und Unternehmen müssten aufpassen, dass ihnen nicht die E-Commerce Kunden davon rennen. Verhindern will man dies, indem man Passwörter nicht abschafft, das würde die Benutzer überfordern, sondern sie wie Tans beim E-Banking nur einmal verwendet. Dabei setzt man vermehrt auf Passcode Tokens und weniger auf biometrische Systeme oder Smart Cards. Letztere fanden, so die Meinung auf der Konferenz, bis heute noch keinen Massenmarkt, weil die Lesegeräte noch nicht wie ein CD-Laufwerk zur Grundaustattung eines Computers gehören. Von den kleinen USB Sticks, die auf jedem Schlüsselbund passen und mittlerweile auch am Markt erhältlich sind, erwarte man sich dagegen mehr. Verisign plant das Netzwerk selbst als zusätzlichen Sicherheitsfaktor zu nutzen. Dabei will die Firma, die neben Zertifikaten, Domain Names auch Klingeltöne vertreibt plattformübergreifend, als zentrale Clearingstelle für Einweg-Passwörter auftreten, sagt Nico Popp; Vizepräsident von "Verisign Authentifizierungsservices".
" Es handelt sich um eine Sicherheitskomponente, die wir in das Netzwerk implementieren wollen. Anstatt für jede Applikation eine Zwei-Faktoren Authentifizierungssoftware und Hardware zu kaufen, übergibt man diese Aufgabe einem zentralen Sicherheitsbetreiber. So müssen sich die Firmen nicht mehr einzeln mit diesem Thema befassen und sie können sich auch die Kosten mit einem Partner teilen. Das ist die grundlegende Idee hinter unserem Ansatz. "
Datenschützer warnen seit Jahren vor dem Entstehen einer derartig zentralen Datenbank. Laut Nico Popp will Verisign die Anonymität der Benutzer waren und überprüft nicht die Eingabe von Username und Passwort, sondern nur die Validität des Einweg Passcodes für den jeweiligen Dienst. Der vor kurzem geschlossenen Partnerschaft zwischen Verisign, Ebay und Paypal kommt dabei eine wichtige Rolle zu. Demnächst werden ebay Kunden einen USB Stick zugeschickt bekommen, der Einweg-Passwörter generiert, sagt Nico Popp. Um in Zukunft Transaktionen durchführen zu können, werden nicht mehr nur Benutzername und Passwort abgefragt werden, sondern auch ein einmalig generierter Code, der an Verisign zur Auswertung geschickt wird. Ob sich dieser Ansatz durchsetzen wird, bleibt abzuwarten. Sicherheit ist nicht nur eine Vertrauensfrage sondern auch eine der Benutzbarkeit. Die Eingabe von zusätzlichen Passwörtern kostet Zeit; und die haben weder ebay Händler noch Broker, die gerne in letzter Minute zuschlagen.