SAP SECURITY 2017
22.11.17 - 22.11.17
In Walldorf, Leonardo Hotel

Cloud Expo Europe
28.11.17 - 29.11.17
In Frankfurt

Data Centre World
28.11.17 - 29.11.17
In Frankfurt

IT-Tage 2017
11.12.17 - 14.12.17
In Frankfurt, Messe Kap Europa

Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

SERIE

Gesicht BinärcodeDer Klau von E-Mail-Adressen, Passwörtern und PINs gehört heute zum Internet-Alltag. Laut Umfrage des Wirtschaftsauskunftsdiensts Schufa ist bereits jeder fünfte Deutsche einmal Opfer eines Identitätsdiebstahls geworden, die finanziellen Schäden gehen in die Millionen. Doch damit muss man sich nicht abfinden. 

Werden eine Reihe von einfachen Regeln befolgt und bewährte technische Hilfsmittel genutzt, lässt sich die digitale Identität im Internet schützen. Ulrich Hamann, Vorsitzender des Vereins ‚Sichere Identität Berlin-Brandenburg e.V., gibt praktische Antworten auf die Frage „Wie komme ich zu Sicheren Identitäten“?

Ob beim Internet-Einkauf, auf Social-Media-Kanälen oder beim Online-Banking: Benutzername und Passwort sind die häufigsten Mittel zur Identitäts-Feststellung. Fällt ein Passwort in die falschen Hände, kann das schwerwiegende Folgen nach sich ziehen. So können die Cyber-Kriminellen unter falscher Identität Waren einkaufen, Online Konten plündern oder Chats für ihre persönlichen Zwecke missbrauchen. Angesichts der Bedeutung des Passworts, ist ein sorgfältiger Umgang damit unumgänglich.

Sicheres Passwort – Gewusst wie

Die meistgenutzten Passwörter in Deutschland sind ‚123456’ und ‚hallo’ wie die Wissenschaftler des Hasso-Plattner-Instituts in einer aktuellen Untersuchung feststellten. Solche schwachen und unsicheren Passwörter sind für geübte Hacker kein Hindernis und einfach ausgespäht. Zudem verwenden viele Internet-Nutzer ein Passwort für mehrere Accounts. Ist erst mal ein Dienst kompromittiert, dann sind auch die anderen Accounts mit demselben Passwort in großer Gefahr.

Ein paar einfache Verhaltensregeln für starke und sichere Passwörter helfen hier weiter:

  • Niemals dasselbe Passwort bei mehreren Diensten verwenden
  • Starke Passwörter bestehen aus Buchstaben, Ziffern und Sonderzeichen. Auch Groß- und Kleinschreibung sollte man einsetzen
  • Die angemessene Länge beträgt mindestens 8 Stellen. Generell gilt: Je länger ein Passwort ist, desto sicherer ist es
  • Es empfiehlt sich, die Passwörter regelmäßig (zum Beispiel alle 6 Monate) zuändern; auf jeden Fall aber, wenn der Verdacht besteht, dass das Passwort ausgespäht wurde

Mit der Zeit kommen eine Vielzahl von Passwörtern für die unterschiedlichsten Dienste zusammen und es kann sehr schnell unübersichtlich werden. Das Rechenzentrum in Konstanz rät dann zu einer Gedächtnisstütze, die aus einem einfachen, individuell ausgesuchten Satz besteht.

Zum Beispiel: Mein Opa (Heinrich) ist 79 Jahre alt geworden! Die ersten Buchstaben der Worte und die Sonderzeichen ergeben dann das Passwort: MO(H)i79Jag!

Eine komfortable Alternative sind so genannte Passwort-Manager, die sensible Daten wie Benutzername und Passwort verschlüsselt in einer Datenbank auf der Festplatte des Computers speichern. Nur nach Eingabe des Master-Kennworts geben die Software-Programme diese Informationen frei. Damit man die Übersicht behält, lassen sich die Einträge nach Kategorien (wie Dienste, Bankdaten, Lizenzschlüssel) sortiert ablegen. Und ist ein neues Passwort nötig, hilft der Passwort-Generator. Für viele Passwort Manager gibt es mittlerweile spezielle Apps für Smartphone und Tablets, die den Zugriff auf die Passwort-Datenbank auch von unterwegs erlauben.

Mehr Sicherheit durch Zwei-Faktor-Authentifizierung Sichere und starke Passwörter sind die Grundvoraussetzung für ‚Sichere Identitäten’. Geht es um sehr sensible und persönliche Daten, beispielsweise im Fall von OnlineBanking, Bezahl-Services, Cloud-Speichern oder Social Media-Profilen, ist ein zusätzlicher Schutz ratsam. Dafür bieten immer mehr Diensteanbieter - wie Facebook, Dropbox, Paypal oder Google - ein Verfahren an, dass neben dem Passwort ein zweites Sicherheitsmerkmal verlangt und deshalb als Zwei-Faktor-Authentifizierung bezeichnet wird.

Selbst wenn es zu einem Datenleck beim Internet-Anbieter kommt oder man Opfer einer Phishing-Attacke wird und Benutzername und Passwort versehentlich preisgibt, haben die Cyber-Kriminellen keinen Zugang, weil sie den zur Identifizierung notwendigen zweiten Faktor nicht kennen.

Die Zwei-Faktor-Authentifizierung basiert auf zwei unterschiedlichen Komponenten aus den Bereichen „Wissen“ oder „Besitz“. Der zweite Faktor kann beim „Wissen“ ein Sicherheitscode oder eine PIN sein oder eine im „Besitz“ befindliche Chipkarte oder ein speziell dafür vorgesehener USB-Stick. Viele Internet-Nutzer kennen die Zwei-Faktor-Authentifizierung vom Online-Banking. Dort wird beim smsTAN-Verfahren zur Bestätigung einer Zahlungsanweisung die TAN (eine oftmals sechsstellige Zahlenkombination) auf das Mobiltelefon geschickt. Dabei lässt sich jedes SMS-fähige Handy mit einer deutschen Mobilnummer verwenden.

Viele Diensteanbieter bieten neben dem Versand des Sicherheitscodes auf das Handy noch weitere Möglichkeiten der Zwei-Faktor-Authentifizierung an. So stehen mobile Apps zur Verfügung, die einen individuellen, temporär erzeugten Sicherheitscode erzeugen. Dieser wird dann in die Log-in-Maske eingegeben, um die Anmeldung abzuschließen.

Kleines Gerät für großen Schutz

Bei vielen Online-Banken können Kunden alternativ das chipTAN- oder smartTANVerfahren nutzen. Mittelpunkt der Lösung ist ein TAN-Generator, ein kleines, kabelloses Gerät in der Größe eines Taschenrechners. In Verbindung mit einer in den TANGenerator eingesteckten Chipkarte - meistens die EC- oder eine andere Bankkarte – wird der Sicherheitscode erzeugt. Die Verwendung von zwei getrennten Geräten macht es Betrügern fast unmöglich, die Verbindung zu manipulieren. Außerdem gilt die TAN nur für einen bestimmten Auftrag und das auch nur zeitlich begrenzt.

Für die Zwei-Faktor-Authentifizierung lassen sich auch spezielle USB-Sticks auf Basis des U2F-Standards (Universal Second Factor) einsetzen. Auf dem Stick ist ein Sicherheitsschlüssel hinterlegt, auch Token genannt. Das ist die einzige Funktion des Geräts, Daten lassen sich darauf nicht speichern. Nach der Kennworteingabe fordert der Computer den Anwender auf, den Stick in den USB Anschluss des Rechners zu stecken. Bei einigen Modellen wird die Eingabe per Fingertipp auf das Schlüsselsymbol des USB-Sticks bestätigt. Letzteres ist eine zusätzliche Sicherheitsmaßnahme. Diese USB-Sticks mit Sicherheitsschlüssel gibt es inzwischen in vielen Elektronik-Märkten und Online-Shops zu Preisen von teilweise 20 Euro zu kaufen und sind eine lohnende Investition. Einzige Einschränkung: Hardwarebasierte Sicherheitsschlüssel werden momentan noch nicht von allen Anwendungen und von allen Browsern unterstützt.


Lesen Sie in dieser Serie auch folgende Beiträge des Vereins Sichere Identität Berlin-Brandenburg e.V.:

Barcode Identity Shutterstock 247861678 160

Digitalisierung: Sichere Identitäten entscheidend

Vertrauen ist die Grundlage für verlässliche Beziehungen und Geschäftsprozesse im digitalen Zeitalter. Es ist nur dann vorhanden, wenn Menschen und Maschinen über Sichere Identitäten verfügen. 

 
 
Trust WeltkarteFast jeder Internet-Anwender nutzt sie täglich, egal, ob privat oder beruflich – doch nur wenige sind sich ihrer Bedeutung bewusst: Digitale Zertifikate sind das Fundament für sichere Interaktionen und Transaktionen im Internet. Mit ihnen kann jede Internet-Seite, jede Person und Organisation oder jedes Gerät seine Identität in der digitalen Welt nachweisen. 
 

AngelhakenIdentitätsdiebstahl: Was dann zu tun ist

Der Diebstahl von Identitäten hat sich zu einer der größten Risiken in der IT entwickelt und führt zu Millionenschäden in der deutschen Wirtschaft. Gleichzeitig müssen Unternehmen aufgrund aktueller rechtlicher Bestimmungen wirkungsvolle Maßnahmen gegen einen Missbrauch von Daten und Identitäten umsetzen. 


Neuer Schwung für den elektronischen Personalausweis

Millionen Deutsche besitzen bereits eine der sichersten elektronischen Identitätskarten (eID-Karte) weltweit. So enthält der im Jahr 2010 eingeführte Personalausweis und der elektronische Aufenthaltstitel (eAT) eine Online-Ausweisfunktion (eID-Funktion): einen Chip mit den gleichen persönlichen Daten, die auch auf der Karte zu sehen sind. In Verbindung mit einem speziellen Lesegerät können sich Ausweisinhaber gegenüber Behörden und Unternehmen eindeutig und zweifelsfrei identifizieren. Dazu nutzt die Online-Ausweisfunktion eine Zwei-Faktor-Authentifizierung mit den Faktoren „Besitz“(eID-Karte) und „Wissen“ (6-stellige PIN). Weil die Daten immer verschlüsselt übertragen werden, besteht ein starker Schutz vor Datendiebstahl.

Die Nutzung des elektronischen Identitätsnachweises bleibt nach Angaben der Bundesregierung jedoch hinter den Erwartungen zurück. Nur bei einem Drittel der rund 51 Millionen ausgegebenen Ausweise ist die eID-Funktion auch tatsächlich freigeschaltet. Das wird sich in Zukunft ändern: Drei Entwicklungen werden den Einsatz und die Verbreitung der eID-Karten entscheidend fördern: Eine neue Gesetzesinitiative, die mobile Verwendungsmöglichkeit mit Smartphone und Tablet sowie die europaweite Nutzbarkeit.

Anfang Dezember 2016 stellte die Bundesregierung einen Gesetzentwurf zur „Förderung des elektronischen Identitätsnachweises vor.“ Wichtigste Neuerung: Die eIDFunktion soll in Zukunft bei jedem Ausweis automatisch und dauerhaft eingeschaltet sein. Bisher muss die Online Ausweisfunktion vom Ausweisinhaber extra aktiviert werden: Das ist beim Abholen des Ausweises oder später möglich. Gleichzeitig sieht der Entwurf vor, das Verfahren zu vereinfachen, mit dem Unternehmen und Behörden eine Berechtigung zum Auslesen der eID-Daten erhalten.

Zudem hat die Bundesrepublik Deutschland bei der Europäischen Kommission ein Verfahren zur Notifizierung gemäß eIDAS eingeleitet, nach dessen Abschluss es für deutsche Bürger ab dem 29. September 2018 möglich sein wird, die Online-Ausweisfunktion auch in anderen Ländern des Europäischen Wirtschaftsraums (EU sowie Norwegen, Island und Liechtenstein) einzusetzen. Der rechtliche Rahmen dafür bietet die eIDASVerordnung für die gegenseitige Anerkennung von elektronischen Identifizierungsmitteln und Vertrauensdiensten in der EU.

Ziel im Bereich der elektronischen Identifizierung ist es, die grenzüberschreitende Abwicklung von Verwaltungsdienstleistungen auf europäischer Ebene erheblich zu vereinfachen. Ein entsprechendes Pilotprojekt wurde Ende Januar 2017 erfolgreich abgeschlossen. So lässt sich die Online-Ausweisfunktion des deutschen Personalausweises zum grenzüberschreitenden Identitätsnachweis bereits jetzt bei der niederländischen nationalen eID-Infrastruktur einzusetzen. 

Fazit

Sichere Identitäten sind für den Internet-Nutzer schon heute erreichbar. Bereits die Einhaltung einfacher Verhaltensregeln erhöht den Schutz vor einem Missbrauch der eigenen digitalen Identität erheblich. Zusätzliche Sicherheit ermöglichen Zwei-FaktorAuthentifizierungsverfahren, die von vielen Internet-Diensten inzwischen standardmäßig angeboten werden.

Weiterhin ist das Potenzial des elektronischen Personalausweises noch lange nicht ausgeschöpft. Die sich in der Praxis bewährte Online-Ausweisfunktion  wird zukünftig eine stärkere Rolle spielen und die Identität von Millionen deutscher Bürger schützen. Lesen Sie im dritten Teil über die „Königsdisziplin“ des elektronischen Identitätsnachweises, die kaum bekannt, doch für die sichere Internet-Kommunikation und vertrauenswürdige Online-Transaktionen unerlässlich ist. 

Ulrich Hamann

 

Ulrich Hamann, Vorsitzender des Vereins Sichere Identität Berlin Brandenburg e.V.

 
 
 
 
GRID LIST
Login

Neuer Sicherheitscheck als Managed-Service

Die SpyCloud soll gestohlene digitale Informationen von Kunden im Web finden. Gepaart mit…
Tb W190 H80 Crop Int 9cc0f78c8e26d024ae4e442e61f01e6b

SecurEnvoy gibt Version 9 von SecurAccess frei

SecurEnvoy hat die neuest Version von SecurAccess, seiner Lösung zur…
Ausweiserkennung

Deep Learning: Die Ausweiserkennung der nächsten Generation

Mithilfe von Deep Learning setzt IDnow neue Standards in der digitalen Ausweiserkennung:…
Secured Access

One Identity Safeguard: mehr Sicherheit für privilegierte Konten

Der One Identity Safeguard bietet Sicherheit für privilegierte Konten und unterstützt…
Handscan

Fujitsu: Neue biometrische Authentifizierungslösung

Fujitsu sorgt mit der neuen biometrischen Authentifizierungslösung für hohe Sicherheit in…
Digitale Identität

Identitäten für elektronische Finanztransaktionen

'Digitale Identität' weist eine entsprechende Online-Identität aus, so wie man es von…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet