Jedes Jahr veröffentlicht das IT-Unternehmen Splash Data die Liste der 25 häufigsten Passwörter in den USA. Die Liste ist ein Zeugnis des Leichtsinns der IT-Security. Immerhin: „password“ steht nicht mehr an der Spitze. Seit 2015 wurde es von der Zahlenreihe „123456“ abgelöst. Reihen bis zur Ziffer 7, 8 und 9 finden sich ebenfalls in den Top Ten. Sind wir also immer noch nicht klüger?
Doch, sagt der IT-Sicherheitsbeauftragte eines mittelständischen IT-Unternehmens. „Über Schulungen kann man die Menschen hier sehr gut sensibilisieren.“ Außerdem gibt es heute im Passwort-Manager des Betriebssystems Voreinstellungen, die etwa offensichtliche Zahlenkombinationen ablehnen und die auch „password“, „iloveyou“ (Platz 10) oder die Buchstabenkombination „qwerty“ (Platz 4)“ nicht akzeptieren. Warum qwerty? Schauen Sie mal auf die Tastatur und bedenken Sie dabei, dass, da, wo wir das Z haben, bei den Amerikanern ein Y steht.
IT-Security-Risikofaktor Mitarbeiter
Der größte Schaden, den der britische Geheimdienst je erfuhr, trat nicht aufgrund von Spionage eines anderen Landes ein, sondern durch die Unachtsamkeit eines Mitarbeiters. Genauer gesagt: dessen Frau. Die Gattin des damaligen MI6-Chefs Robert John Sawers wollte einfach nur das tun, was alle ihre Freundinnen taten. Ein bisschen auf Facebook sein. Also postete sie dort Bilder der Wohnung, der Schulen ihrer Kinder und so weiter. Nun waren die Sawers aber kein normales Pärchen von nebenan, sondern lebten permanent im Ausland – im Nahen Osten, in Krisenregionen – stets gut versteckt. Eigentlich. Es kostete den MI6 sehr viel Geld, diesen Schaden zu reparieren.
Deshalb: Aufklärung ist der erste Schritt. Stellen Sie klare Regeln auf, was man tun darf und was strikt verboten ist. Fotografieren in der Prototypenabteilung etwa. Oder wollen Sie, dass ein Mitarbeiter ein Foto vom neuen BMW postet, bevor dieser überhaupt auf den Markt kommt? Sensibilisieren Sie, ohne Panik zu schüren. Verbieten Sie Ihren Technikern nicht, USB-Sticks an den Rechner anzuschließen. Aber klären Sie etwa, welche das sein dürfen und wie der Umgang mit ihnen ist.
Zwar gehören die Geschichten vom gefundenen Stick, der bei Anschluss das Gerät mit selbst aktivierenden Trojanern infiziert eher ins vorabendliche TV-Krimi-Programm, als dass sie allzu nahe an der Realität wären. Aber hier gilt: Better safe than sorry. Lieber sicher als hinterher der Dumme.
Schritt zwei heißt Vorsorge. Den dümmsten anzunehmenden User gibt es auch im sicherheitsrelevantesten Bereich. Wenn Sie rauf und runter predigen, dass auf dem Firmengelände nicht fotografiert werden darf und dass man nicht auf Facebook über seine Arbeit schreibt, dann haben Sie getan, was Sie hier tun können. Dokumentieren Sie es sorgfältig. Wer dann trotzdem noch dagegen verstößt, trägt die Schuld. Nicht Sie. Andernfalls wird der geschädigte Kunde im Zweifel die Geschäftsleitung und das Unternehmen haftbar machen.
Jedes Schloss lässt sich knacken
Wichtig ist, dass Sie sich klarmachen, dass es 100-prozentige IT-Security nicht geben kann. Das neue iPhone verfügt etwa über eine eingebaute Gesichtserkennung. Fähige Hacker haben diese bereits geknackt. Absolut sicher ist sie also nicht. Doch Ihren Bedürfnissen wird sie wahrscheinlich genügen. Wenn Sie Ihr Handy in der Kneipe liegen lassen, dann wird es eher einem Normalo in die Finger fallen als einem Mitglied des Chaos Computer Club. Und besser als der vierstellige Zahlencode ist es allemal. Denn eines ist klar: Jeder Code kann und wird geknackt werden.
Auch eine Zutrittsbarriere zu Ihrem Unternehmen oder zum Rechenzentrum wird der, der sie unbedingt knacken will, auch geknackt bekommen. Doch auch hier ist die Frage: Wie groß ist die Bedrohung? Welchen Standard will ich erreichen?
Und die Spione? Dazu genügt eine Geschichte aus der Industrie: Ein Hersteller von Badarmaturen prahlte einst stolz damit, eine chinesische Wirtschaftsdelegation durch sein Brausen-Werk geführt zu haben. Kaum ein Jahr später kam dann eine andere Meldung: Man habe auf einer Messe große Mengen Plagiate sichergestellt – bei einem chinesischen Hersteller. Und dieser brauchte weder Hacker noch Trojaner. Nur eine Tür.