Passwörter sollen den Zugang zum PC oder zum ganzen Firmennetz schützen. Doch ohne für die Mitarbeiter nachvollziehbare Sicherheitsregeln sind diese Kennwörter keinen Pfifferling wert, schreibt das Magazin iX in seiner aktuellen Ausgabe und fordert Schulungen zur Sensibilisierung der Anwender. Brute-Force und Co. Die Vergabe von Benutzernamen in Kombination mit einem Passwort ist der wohl verbreitetste Zugangsschutz für Firmen-PCs oder -Netze. Viele Angestellte wählen zu einfache oder zu kurze Passwörter, bemängelt das Magazin. Diese seien zwar auf dem System verschlüsselt abgelegt, doch mit geeigneten Tools in kurzer Zeit zu knacken. Crack-Programme beispielsweise bilden den Verschlüsselungsalgorithmus nach und probieren einfach bekannte Passwörter aus. Dabei benutzen sie umfangreiche Wörterbücher, permutieren auch die einzelnen Wörter oder kombinieren diese mit Zahlen. So bedarf es oft nur weniger Minuten, um das richtige Kennwort herauszufinden. Eine andere Methode, die bei zu kurzen Passwörtern zum Erfolg führt, ist der so genannte Brute-Force-Angriff, ein Ausprobieren sämtlicher Möglichkeiten. Richtlinien zur Kennwortvergabe Um die IT-Sicherheit zu erhöhen, haben darum viele Firmen Richtlinien zur Kennwortvergabe eingeführt: Das Passwort muss eine bestimmte Mindestlänge haben, Sonderzeichen enthalten oder wöchentlich gewechselt werden. Theoretisch lässt sich so durch eine maximale Sicherheitsstufe ein erfolgreiches Knacken von Passwörtern nahezu ausschließen. Doch neuere Untersuchungen haben ergeben, dass bei zu strengen Vorschriften die Sicherheit wieder auf einen niedrigeren Level sinkt. Denn die Benutzer können sich zu komplizierte Passwörter nicht merken, wählen die einfachsten gerade noch erlaubten oder notieren sie sogar auf Zetteln. "Ein psychologisches Problem" "Eine firmenweite 'Passwortpolitik' ist nicht nur ein technisches, sondern auch ein psychologisches Problem" beschreibt iX-Chefredakteur Jürgen Seeger den Sachverhalt. "Wenn die Anwender den Sinn von Sicherheitsmaßnahmen nicht mehr verstehen, versuchen sie, diese zu umgehen." Das gleiche passiere, wenn die geforderten Verfahren sich als für die tägliche Arbeit zu umständlich herausstellten. Zur IT-Sicherheit gehöre zwingend auch die Schulung und Sensibilisierung der Benutzer, sonst sei das Geld dafür "zum Fenster hinausgeworfen". (red)