Daten sniffen, Datensniffs vermeiden: IT-Sicherheits-Workshop an der FH Campus Wien

Der Datensicherheitsworkshop am 22.5. an der FH Campus Wien begann für die Stipendiat*innen mit einem ziemlichen Schockmoment. Wir haben alle bereits einmal von Hackern gehört, die sich in böswilliger Absicht Zugang zu unseren Passwörtern verschaffen oder Malware auf dem Computer installieren. Wie gefährlich es aber werden kann, wenn wir an das „Internet of things“ denken, war nicht allen bewusst. Umso beeindruckender war dieses Video, bei dem zwei IT-Experten vorführen, wie sie (kontrolliert und abgesprochen), ein fahrendes Auto übernehmen und der Fahrer der Steuerung durch die beiden via Computer hilflos ausgeliefert ist:

Nun sind wir nicht alle so prominente Ziele für digitale Angriffe, der Gedanke an gehackte Autos – oder auch Herzschrittmacher! – sorgte aber für ein deutlich höheres Problembewusstsein als vorher.

Nach einer kurzen theoretischen Einführung überprüften wir zunächst unsere genutzten Browser, mittels Check auf der Seite www.panopticlick.eff.org, wie es um unseren digitalen Fingerabdruck steht – wie detailliert also bereits Daten über meinen PC im Netz vorhanden sind und wie genau ich damit identifizierbar bin. Die wichtigen Einstellungen betreffend Tracking- und Fingerprinting (z.B. Einstellungen von Cookies, privates Surfen, AdBlocker, etc.) nahmen wir anschließend gleich vor.

Wie einfach es ist, in (öffentlichen) Netzwerken Passwörter und andere Daten auszulesen, zeigte ebenfalls der Selbsttest. Anhand des Betriebssystems und einem kleinen, kostenlosen Programm, bekamen wir Zugang zu allen eingegebenen Passwörtern und Usernamen auf den Rechner im Raum. Wie schnell ein (sensibles) Passwort auch offline mittels Social Engineering herausgefunden werden kann, zeigte anschließend dann dieses Video:

Jetzt war es an der Zeit, unsere Emailadresse zu überprüfen, ob diese bereits einmal von Hacks betroffen war und welche Daten dabei ausgelesen wurden. Nachdem einige betroffen waren, arbeiteten wir in der letzten Stunde an sicheren Passwörtern. Dabei wurde zunächst mit hartnäckigen Mythen aufgeräumt. Die berühmten Regel (8 Zeichen, Groß- und Kleinbuchstaben, Sonderzeichen, …) sind nämlich schlicht und ergreifend Humbug. „Passwort.1“ wäre damit ein sicheres Passwort, ist aber wahrscheinlich schneller herausgefunden, als wir zur Erstellung dieses Passwortes benötigen. Viel wichtigere Regeln zur Erstellung eines Passwortes sind: je länger, desto besser (die Recherchezeit eines Rechners wächst exponentiell mit jeder zusätzlichen Stelle), keine Trivialwörter (z.B. Wörter, wie sie in Lexika stehen), und: gut zu merken!

Einen Ansatz, die Wortkombinationsmethode, veranschaulicht dieser Comic:

Quelle: https://xkcd.com/936/

Eine andere Methode ist die der Anfangsbuchstaben. Dabei werden die ersten Buchstaben sowie Satzzeichen eines Textes verwendet, den man auswendig kann. Und schon hat man eine zufällig (erscheinende) Zeichenkombination, die es auch bei sehr guter Rechenleistung schwer macht, ausfindig gemacht zu werden.

Ein letzter Praxistipp war dann noch die Verwendung eines Passwortsafes wie z.B. KeePass, der es uns erlaubt, zufällig generierte Passwörter mit 15 – 20 Zeichen Länge für alle unsere notwendigen Zugänge zu erstellen und uns trotzdem nur ein Masterpasswort merken zu müssen. Auf dass wir in Zukunft hoffentlich alle grünes Licht bekommen bei der Frage „Have I been pawned?“