WiWo App 1 Monat für nur 0,99 €
Anzeigen

Hackerangriff auf Merkel-Webseite Attacke war ein wichtiges Warnsignal

Seite 3/3

Schlapphüte, Zöllner, Katastrophenschützer

Zumal die aus gut einem Dutzend IT-Spezialisten bestehende Bonner Cyber-Runde auch keinerlei Weisungsbefugnisse hat. Wie auch? Sitzen doch Behörden miteinander am Tisch, die ganz unterschiedlichen Ministerien zugeordnet sind und im Grunde strikt getrennt voneinander agieren müssen: das Bundesamt für Verfassungsschutz, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, das Bundeskriminalamt, die Bundespolizei, das Zollkriminalamt, der Bundesnachrichtendienst und der Militärgeheimdienst MAD der Bundeswehr. Die Vielzahl der daneben auch noch existierenden Landeskriminalämter ist gar nicht erst eingebunden.

00000000 für den Start von Atomraketen
Das Passwort für den Abschuss der US-Minuteman-Atomraketen war denkbar schlecht: Wie das Online-Portal " heise.de" berichtet, bestand die Kombination für fast zwei Jahrzehnte aus acht Nullen. Demnach entschied das Strategic Air Command (SAC) wohl, dass die Militärentscheider in der heißen Phase des Kalten Krieges die Raketen möglichst schnell starten können sollten. Darüber hinaus soll das Passwort auch noch auf den Start-Checklisten ausgedruckt worden sein. So hätten sogar zivile Arbeiter Zugang zu den vernichtenden Waffen gehabt. Quelle: AP
Joseph Bonneau von der Universität Cambridge hat 70 Millionen Passwörter analysiert. Dafür musste er allerdings nicht in Rechner einbrechen - er analysierte die sogenannten Hash-Werte der Passwörter. Das ist eine Art Fingerabdruck des Passworts mit dessen Hilfe Computer herausfinden können, ob ein Passwort richtig ist, ohne es im Klartext zu speichern. Die Hash-Werte lassen aber Rückschlüsse auf das Passwort zu. Quelle: dapd
In der Wirtschaft sieht es dagegen schlecht aus: Das weltweit beliebteste Passwort in der internationalen Wirtschaftswelt laut Studie ist das sehr unkreative „password1“, gefolgt von „welcome“, „password01“ und „password2“ - da wird das Passwort zur Einladung für Hacker. Quelle: dpa
Davon abgesehen spiegeln sich aber auch kulturelle Unterschiede in den Passwortgewohnheiten wieder. Die Vorliebe der Chinesen für Zahlen beispielsweise, zeigt sich auch bei den verwendeten Passwörtern. Damit landen die Chinesen im Gesamt-Ranking auf einem guten mittleren Platz weit vor den Briten. Beide müssen sich allerdings den Deutschen geschlagen geben - und unter diesen interessanterweise besonders den über 55-Jährigen. Ihre Passwörter sind besonders sicher. Die Passwörter der unter 25-jährigen seien dagegen nur halb so sicher. Allerdings könnte hier den Deutschen auch eine Eigenart ihrer Sprache helfen: Das Deutsche enthält ungewöhnlich viele lange Worte. Quelle: Reuters
Der Computerwissenschaftler fand Unterschiede und Gemeinsamkeiten zwischen den Kulturen heraus. Eine große interkulturelle Gemeinsamkeit: die Faulheit der Nutzer. Die Mehrzahl der Passwörter besteht aus gerade einmal sechs Zeichen - egal ob in Peking oder New York. Selbst ein sogenanntes „Skriptkiddie“, das nicht mehr beherrscht als bekannte Hacker-Tools einzusetzen, kann so ein Passwort innerhalb von rund zehn Minuten knacken - zumindest wenn der Computer einen Brute-Force-Angriff nicht durch technische Maßnahmen verhindert. Ein solcher Brute-Force-Angriff probiert automatisch Passwort-Kombinationen nach dem Zufallsprinzip aus - durch die große Anzahl der Versuche wird irgendwann die richtige Kombination dabei sein. Quelle: dpa
Doch wie kommen Nutzer nun zum einfachen und dennoch sicheren Passwort? Die wichtigste Regel zuerst: Wörter, die so im Lexikon stehen, sind absolut tabu. Weil viele Anmeldesysteme nur eine begrenzte Anzahl von Versuchen erlauben, sind Angreifer von der sogenannten Bruteforce-Methode abgekommen. Dabei werden einfach automatisiert sämtliche möglichen Buchstaben- und Nummerkombinationen durchprobiert. Stattdessen werden Listen mit Standard-Passwörtern abgearbeitet, die meist einfach aus Wörtern aus Lexika stammen. Foto: ap
Sonderzeichen nutzenUm sich das eigene Passwort trotzdem merken zu können, kann ein Wort mit Sonderzeichen, eigenwilliger Groß/kleinschreibung oder zusätzlichen Zahlen geschrieben werden. Beispiel: HaUspf@ndbr1ef23. Das "U" wird mitten im Satz groß geschrieben, das "A" wird durch ein "@" ersetzt, das "I" durch eine eins und am Ende des Wortes wird noch eine Nummer angehängt. Noch besser ist allerdings, wenn Sie einzelne Buchstaben mit weniger einfachen Regeln durch Zahlen ersetzen. Beispiel: Jedes "E" durch eine "11" ersetzen. Mögliche Eselsbrücke: Die Elf teilt mit dem "E" den selben Anfangsbuchstaben. Foto: ap

Und natürlich führen auch die IT-Sicherheitsstäbe der Bundesministerien ein Eigenleben, ebenso wie die Sicherheitsabteilung etwa des Bundestages. „Sie glauben doch nicht, dass sich die Cyber-Schützer der Legislative, der verfassungsrechtlich ersten Gewalt, von Institutionen der Exekutive irgendwelche Vorgaben machen lassen“, verweist ein hochrangiger IT-Experte auf zusätzliche verfassungsrechtliche Klippen in einer koordinierten Abwehr von digitalen Angriffen.

Verwirrendes Nebeneinander

Daneben fördern, finanzieren und erforschen neben den involvierten noch diverse nicht eingebundene staatliche Stellen Schutzkonzepte, Abwehrtechniken und Wirkungsszenarien für den Umgang mit Cyber-Angriffen – in aller Regel nebeneinander her und nicht abgestimmt.

Insofern trifft die im vergangenen Sommer unter anderem von der "Süddeutschen Zeitung" publik gemachte Kritik des Bundesrechnungshofes an Konstruktion und Wirksamkeit des Cyber-Abwehrzentrums („Es sei ‚fraglich‘, welchen Nutzen die Einrichtung überhaupt entwickeln könne“) sicher zu. Angesichts des existierenden Rechtsrahmens scheint die Bonner Cyber-Runde aber trotzdem zumindest ein Schritt in die richtige Richtung zu sein. Einer, der Fahnder und Schlapphüte zumindest mal „unter strikter Wahrung ihrer jeweiligen gesetzlichen Aufgaben und Befugnisse“ zur kooperativen Zusammenarbeit nötigt.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Digitale Welt



    Politik muss endlich handeln

    Auf dem Weg zu einer stringenten deutschen Cyber-Abwehrstrategie, die ihren Namen auch verdient, die klare Zuständigkeiten und Budgetverantwortung schafft (egal, ob beides dann bei der Bundes-Verteidigungsministerin oder dem ‑Innenminister liegt), sind das Abwehrzentrum und das darin organisierte Chaos trotzdem bestenfalls ein Schrittchen.

    Und in dem Sinne könnte die jüngste DDoS-Attacke zumindest als Warnsignal dienen: Dass es beim nächsten Mal viel dicker kommen kann. Und, dass politisches Handeln höchst überfällig ist.

    Inhalt
    Artikel auf einer Seite lesen
    Zur Startseite
    © Handelsblatt GmbH – Alle Rechte vorbehalten. Nutzungsrechte erwerben?
    Zur Startseite
    -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%