Thought Leadership
Warum verwenden Menschen weiterhin Methoden, von denen bekannt ist, dass sie unsicher sind? Hauptsächlich wegen ihrer weiten Verbreitung und der den Menschen innewohnenden Trägheit.
Selbst einige unserer grundlegendsten Technologien sind bekanntermaßen unsicher – und vielleicht sogar „unsicherbar“. Aus verschiedenen Gründen bestehen wir jedoch darauf, sie weiterhin zu verwenden. Hier sind vier der problematischsten Standards.
1. Kennwörter
Jährlich veröffentlicht das Hasso-Plattner-Institut die meistgenutzten Passwörter der Deutschen, und diese sind nach wie vor unverändert schwach. Unter den zehn beliebtesten Passwörtern, die mit dem Tool „Identity Leak Checker“ für 2021 ermittelt wurden, rangieren ganz oben weiterhin so einfache und damit gefährliche Passwörter wie „123456“, „Passwort“, „hallo“, „qwertz“ etc. Seit Jahrzehnten versuchen Forscher, einen brauchbaren Ersatz für Passwörter zu finden. Neue Standards wie WebAuthn und FIDO2 ermöglichen eine starke Authentifizierung mit Smartphones oder kostengünstigen physischen Token als Zweit- oder sogar Erstfaktoren.
Aber für fast alle Benutzerkonten sind immer noch Benutzername und Passwort nötig. Wir wissen, dass Kennwörter eindeutig, lang und komplex sein müssen, um sie sicher zu machen – wie „ü*3A;-&2ß?M_0“. Nur kann sich das kaum ein Mensch dauerhaft merken. Es gibt Kennwortmanager, aber auch diese haben ihre Tücken.
Menschen hassen komplizierte Lösungen und suchen nach einfachen, daher verwenden sie weiterhin einfache Passwörter auf vielen verschiedenen Websites. Solange Passwörter notwendig sind, wird sich dies kaum ändern.
2. SMS für Zwei-Faktor-Authentifizierung
Zwei-Faktor-Authentifizierung ist gut, aber es gibt Unterschiede. Eine Variante besteht darin, einen SMS-Textcode an das Telefon des registrierten Benutzers zu senden. Der Code beweist, dass der Benutzer, der sich anmelden will, auch im Besitz des Telefons des registrierten Benutzers ist.
Leider sind SMS-Zweitfaktoren nicht mehr sicher genug. Mobiltelefone können für SIM-Swap-Angriffe anfällig sein, bei denen eine dritte Partei ein Telekommunikationsunternehmen davon überzeugt, dass sie der Kontoinhaber ist und eine neue SIM-Karte benötigt. Mit der neuen SIM-Karte verfügen Dritte über Ihre Telefonnummer, einschließlich der SMS-Codes für den zweiten Faktor. Das passiert erstaunlich häufig und geht einfach: CEO und Mitbegründer von Twitter, Jack Dorsey, ließ 2019 sein Telefon bei einem solchen Angriff kapern, und es gibt Tools, mit denen sich die Angriffe automatisieren lassen.
Die aktuell beste Lösung ist ein physischer kryptografischer Schlüssel, der SIM-Swapping-Angriffe unmöglich macht. Anbieter sind Google Titan Key, Kensington VeriMark Fingerprint Key, Thetis FIDO UCF Security Key, YubiKey 5 NFC etc.
Authenticator-Apps sind ebenfalls hilfreich, kostenlos und sehr sicher. Sie können sie auf Ihrem Smartphone ausführen, ohne sich über die Gefahren von SMS Gedanken machen zu müssen. Beliebte Optionen sind Authy, Google Authenticator, LastPass Authenticator und Microsoft Authenticator. Dienste wie Twitter und Facebook unterstützen alle diese Optionen.
3. Kredit- und Bankkarten mit Magnetstreifen
>> Ab 2027 bekommen Sie in den USA keine neue MasterCard mit Magnetstreifen mehr. <<
Kredit- und Bankkarten haben in der Regel immer noch einen Magnetstreifen und eine Unterschrift zur Sicherheit, obwohl diese Technologie schon längst geknackt wurde: Kriminelle bauen Skimmer-Hardware in Kartenlesegeräte und Tastaturen ein und erfassen Kartendaten und PINs mit Kameras.
Die Lösung kam in den 90er Jahren in Form von EMV-Chips, wie Sie von Mastercard- und Visa-Karten bekannt sind. Diese Chips speichern eine eindeutige Identität für die Karte auf einem winzigen integrierten Schaltkreis. EMV wird weltweit schon lange verwendet, doch in den USA gab es jahrelang Widerstand. Erst Mitte der 2010er Jahre begannen US-Banken mit der Ausgabe von Chipkarten. Um die Unternehmen zu zwingen, sich anzupassen, verlagerten die Kreditkartenunternehmen 2015 die Haftung für Kartenbetrug und Rückbuchungen auf die Einzelhändler statt auf die Kartenaussteller. Dennoch sind viele Kartenlesegeräte in den USA bis heute nicht aufgerüstet worden, und viele Karten haben gar keinen EMV-Chip.
Einige Unternehmen haben eine Lösung für dieses Problem gefunden. Ab 2024 gibt Mastercard nur noch Bankkarten ohne Magnetstreifen aus – zunächst vorwiegend in Europa. Im Jahr 2027 werden US-Kunden keinen Magnetstreifen mehr auf ihrer neuen Mastercard-Karte benötigen, und ab 2029 werden keine neuen Mastercard-Debit- oder -Kreditkarten mehr einen Magnetstreifen haben. Und da Bankkarten eine Gültigkeitsdauer von vier Jahren haben, werden die Streifen bis zum Jahr 2033 ganz verschwunden sein.
4. WPA2
WLAN war schon immer mit Sicherheit verbunden, und zwar als Verschlüsselung des Datenverkehrs mit einem gemeinsamen geheimen Schlüssel. Die früheste Version, Wired Equivalent Privacy (WEP), erwies sich schnell als unsicher. Die Nachfolger, Wi-Fi Protected Access (WPA) und WPA2, brauchten länger, um geknackt zu werden, aber sie wurden geknackt.
WPA3 ist nicht nur dort sicher, wo es die Vorgänger nicht waren, sondern macht starke Sicherheit auch einfacher umsetzbar. Ein WPA2-Netzwerk ohne Passwort ist zwangsläufig unverschlüsselt, aber WPA3 verwendet einen neuen Standard namens Opportunistic Wireless Encryption, der auch ohne Passwort eine starke Verschlüsselung zwischen Client und Netzwerk aushandelt. Wenn Sie in an einem öffentlichen Ort eine Verbindung herstellen, für die kein Kennwort erforderlich ist, selbst wenn Sie für die Verbindung mit dem Netzwerk eine Webseite aufrufen müssen, ist dies mit WPA2 unsicher, während WPA3 das Problem löst.
Unsichere Technologien halten sich hartnäckig, weil sie oft einfacher und vertrauter sind als sichere, doch sollte man sich damit nicht zufrieden geben und auf aktuelle Sicherheit setzen, speziell vor dem Hintergrund der steigenden Anzahl an Cyberangriffen weltweit.
