kvt Kassenärztliche
Vereinigung Thüringen

Passwörter im Einsatz

Informationssysteme verarbeiten oft Daten, welche nur einem eingeschränken Benutzerkreis zur Verfügung stehen sollen. Benutzernamen und Passwort sind die gängige Methode, um sich gegenüber einem Informationssystem als berechtigt nachzuweisen. Der Fachmann spricht von authentisieren.

Die Passworteingabe wird oft als lästig, umständlich oder maximal notwendiges Übel wahrgenommen. Deshalb gibt es viele Versuche, auf das Passwort zu verzichten: Biometrische Kennzeichen wie den Fingerabdruck, auf intelligenten Chipkarten wie dem Praxisausweis gespeicherte Zertifikate oder auch berechnete Token aus einem externen Generator. Keines dieser Verfahren ist so günstig und einfach zu nutzen, wie die Authentisierung mit Benutzername und Passwort.

Leider gehören aus diesem Grunde auch Angriffe gegen Passwörter zu den häufigsten Methoden, um in IT-Systeme einzudringen. Damit wir verstehen, was ein Passwort anfällig macht, muss man sich die Techniken bzw. Werkzeuge der Angreifer ansehen.

Werkzeuge der Angreifer

Raten Anhand von allgemein zugänglichen Informationen wie dem Benutzernamen, dem Geburtstag der Kinder oder Namen der Haustiere kann man schnell individuelle Passwörter erraten. Initial, werksseitig voreinstellte Passwörter – also beispielsweise admin/admin – sind auch kein wirksames Hindernis. Eine Top 10 in welcher Sie nicht stehen wollen, veröffentlicht jährlich das Hasso-Plattner-Institut (HPI) mit der Liste der beliebtesten deutschen Passwörter.

Ausspionieren Ein zu aufwändiges Passwort dagegen zwingt einen quasi dazu, es fahrlässigerweise auf einem Zettel zu schreiben und unter die Tastatur oder an den Bildschirm zu kleben. Leider ist das der erste Platz an dem der Angreifer sucht. Wenn nicht, dann sieht Ihnen der Angreifer gerade in dem Moment über die Schulter, wenn Sie Ihr Passwort auf der Tastatur eingeben.

Austricksen Durch psychologische Tricks oder Drucksituationen bekommt man den rechtmäßigen Benutzer auch manchmal dazu, dass Passwort am Telefon zu verraten oder per elektronischer Mail zu verschicken. Oft wird das Passwort aus Nachlässigkeit in eine falsche Anmelde-Aufforderung getippt oder man gerät in die Falle einer täuschend echt aussehenden, aber gefälschten Eingabemaske. Persönlich würde ich Webseiten meiden, die einem sagen, wie gut ein Passwort ist oder ob man bereits gehackt wurde.

Ausprobieren von allen möglichen Buchstaben und Zahlen Kombinationen in schneller Abfolge mit roher Gewalt (brute force) ist das letzte Mittel. Es benötigt je nach Komplexität und Länge des Passworts unterschiedlich viel Zeit: Ein Fünf-Zeichen-Passwort fällt in weniger als einer Stunde. Ein Zwölf-Zeichen-Password hält dagegen mehr als zehn Jahre. Das Passwort-Knack-Programm „John the Ripper“ kennt 112 verschiedene Arten, ein Wort aus dem Wörterbuch zu verfremden. Also beispielsweise in dem man eine Zahl dahinter schreibt, eine Zahl davon, ein Sonderzeichen dahinter und so weiter. Das bedeutet: Wenn Ihr Passwort im Wörterbuch steht und Sie einfach nur eine Zahl oder ein Satzzeichen dahinter gehängt haben, dann ist es egal, wie lang ihr Passwort ist. Es wird innerhalb kurzer Zeit fallen. Etwas kommt es noch auf die Rechenpower an, welche ein Angreifer einsetzen kann. Ein Scriptkiddie mit seinem Wohnzimmer-PC ist dabei deutlich langsamer ein Passwort auszuprobieren als ein staatlicher Geheimdienst mit einem Rechenzentrum. Haben Sie Patienten für die sich ein Geheimdienst interessieren könnte?

Starke Passwörter

Generell gilt: ein wenig komplexes, langes Passwort (mehr als 12 Zeichen) - welches Sie sich leicht merken können - ist stärker als ein kurzes, aufwändiges und komplexes Passwort. Empfehlungen für starke Passwörter, findet man beim Bundesamt für Sicherheit in der Informationstechnik (BSI).

Ziel bei einem starken Passwort kann nicht der absolute, perfekte Schutz sein. Es soll den Einbruch nur so schwierig wie möglich machen. Das ist vergleichbar mit dem Schloss an einer Haustüre. Hatten Sie die Gelegenheit einen Schlüsseldienst dabei zu beobachten, in eine Wohnung einzubrechen? Das geht immer und manchmal erschreckend schnell. Einen umherstreunenden Kleinkriminellen hält ein Haustürschloss ab, einen professionellen Einbrecher verzögert es je nach Qualität nur etwas. Das Schloss an der Haustüre erkauft uns Zeit. Der Einbrecher braucht spezielle Werkzeuge oder macht hoffentlich einen heiden Lärm, wenn er versucht es zu knacken. Das Schloss an der Haustüre ist kein perfekter Schutz, dennoch gibt es uns das Gefühl Nachts gut schlafen zu können. Die Verwendung von starken Passwörtern haben auf mich einen ähnlichen Effekt.

Starke Passwörter braucht man nicht ständig zu wechseln. Im Gegenteil: Was passiert, wenn ein Mitarbeiter alle 90 Tage das Passwort wechseln soll? Richtig! Er hängt genervt eine Zahl daran und zählt die Zahl alle 90 Tage hoch. Anhand dieser Zahl kann man in vielen Unternehmen zurückrechnen, wie lange der Mitarbeiter bereits angestellt ist. Für die Stärke des Passwortes - siehe oben - bringt das aber Nichts. Passwörter wechselt man, wenn man vermutet, dass das Passwort kompromittiert – also einem unerwünschten Dritten bekannt wurde.

Für durchreisende Benutzer - beispielsweise Praktikanten oder WLAN-Gäste - verwendet man Passwörter, die nur einmalig oder zeitlich begrenzt funktionieren.

Der Generalschlüssel ist bequem

Der Einbruch ist passiert. Stellen Sie sich vor, jemand hat das Passwort für Ihre private Cloud geknackt. Die hängt zwar nur am Internet, damit sich die Verwandtschaft stets durch aktuelle Bilder Ihrer Kinder klicken kann. Aber nun sind auch alle Ihre persönlichen - zum Teil pikanten Urlaubsbilder - in einem DarkNet-Forum käuflich zu erwerben, Ihre Dateien wurden fremdverschlüsselt und Sie haben die Gelegenheit, sich mit dem Thema Bitcoin zu beschäftigen. Denken Sie wirklich, dass wäre das Schlimmste was passieren könnte? Auf dem Onlinespeicher befand sich auch die Kopie Ihrer Steuer-Unterlagen. Aber keine Sorge, die finanziellen Dateien sind selbstverständlich mit einem Passwort geschützt. Dumm nur, dass dieses Passwort das Selbe war, welches Sie überall verwenden. Über die Steuerunterlagen hangelt sich der Angreifer zu den Zugangdaten für Ihren eMail-, Telefonie-, Pay-TV-Anbieter, Online-Banking, dem Mitgliederportal Ihrer Kassenärztlichen Vereinigung Thüringen (KVTop) und schließlich auch Ihrem Praxisverwaltungssystem mit den Behandlungs-Daten Ihrer Patienten. Jetzt geht irgendwo eine Flasche Champagner auf.

Das ist wie im richtigen Leben: Sie kommen doch vermutlich auch mit dem Schlüssel der Haustür durch die Wohnungstür, in alle Ihre Mietwohnungen und in Ihre Betriebsstätte, in die Behandlungsräume, in den Tresor und in die Geldkassette im Tresor. Oder etwa nicht? Warum nicht? Das wäre doch sehr bequem. Einfach und bequem verträgt sich oft nicht mit der Sicherheit. Deshalb gilt: Bitte verwenden Sie das selbe Passwort nicht mehrfach. Mindestens private und geschäftliche Zugangsdaten müssen Sie unterscheiden. Besser ist es, bei jeder Gelegenheit ein gesondertes Passwort zu verwenden. Falls es Ihnen hilft, dann verwenden Sie einen vertrauenswürdigen Passwort-Speicher, um den Überblick zu behalten.

Noch so eine bequeme Idee ist der Passwort-Speicher in Ihrem Webbrowser: Wenn Sie auf die Seite des Mitgliederportals KVTop kommen, füllt der Webbrowser die Felder Benutzername und Passwort automatisch aus. Das ist so bequem, aber auch genau so sicher, wie den Schlüssel ständig in der Haustür stecken zu lassen. Sie denken jetzt vielleicht: Mir doch egal. Ist doch eh‘ nur die Haustür der KV, was geht mich deren Sicherheit etwas an? Nicht ganz. Überlegen Sie nur mal kurz, was man inzwischen alles in Ihrem Namen bei der KV anstellen kann, welche finanziellen Dokumente dort zu Ihrer Abholung bereit liegen. Immer noch egal?

Ohne Ihre Angestellten geht es nicht

So wie Sie Ihren persönlichen Umgang mit Passwörtern ständig überdenken und anpassen müssen, genau so müssen Sie auch ihre Angestellten dazu bringen, über deren Umgang mit Passwörtern nachzudenken. Keine noch so teuren technischen Hilfsmittel werden das Problem für Sie beheben können. Das Sicherheitsrisiko sitzt vor dem Rechner. Die Kette ist nur so stark wie das schwächste Glied. Das bedeutet das ein schwaches Passwort eines einzigen Mitarbeiters für einen erfolgreichen Einbruch in Ihrer Praxis-IT ausreicht. So ein Mist - und wer ist gleich noch mal für die gesamte Sicherheit der Betriebsstätte verantwortlich?

Deshalb: Machen Sie regelmäßig auf das Problem aufmerksam. Schaffen Sie ein Bewusstsein für die Verwendung von starken Passwörtern. Erklären Sie Ihren Angestellten, wie ein Passwort aufgebaut sein sollte. Beispielsweise mit dem Aushang des Faktenblattes des BSI für starke Passwörter in den Praxisräumen. Das macht auch auf sensible Patienten mit einer Ausbildung aus dem IT-Bereich Eindruck.

Legen Sie die Komplexität und Länge von Passwörter in Ihrer Betriebsstätte fest. In manchen Systemen kann man solche Passwort-Regeln technisch erzwingen. Das sollte man nutzen, aber am Ende muss der Mitarbeiter einsehen, wieso diese Regeln gefordert werden. Denken Sie dabei auch an neue Angestellte.

Ermutigen Sie Ihre Angestellten dazu, bei jeder Gelegenheit ein gesondertes Passwort zu verwenden. Wenn es sein muss, dann stellen Sie ein Passwort-Speicher-Programm zur Verfügung.

Je nach Ihrer persönlichen Einschätzung der Bedrohung und dem vorhandenen Personal, können Sie mit einem Passwort-Knack-Programm die Passwörter Ihrer eigenen Benutzerdatenbank durchprobieren (lassen). Je größer die Betriebsstätte, je wahrscheinlicher ist auch, dass ein Mitarbeiter gesondert auf das Problem „einfaches Passwort“ angesprochen werden muss.

Wenn Sie bis hier im Text durchgehalten haben, dann haben Sie den ersten Schritt für mehr Sicherheit der Passworte in den IT-Systemen Ihrer Betriebsstätte gemacht. Alleine schon das Interesse für die Problematik spricht für Ihr Verantwortungsbewusstsein. Leider beginnt jetzt der anstrengende Teil mit der Änderung der eigenen, bereits lieb gewonnenen Verhaltensweisen und dem Weiterverbreiten dieser Erkenntnis in Ihrer Betriebsstätte. Viel Erfolg!

Ansprechpartner

Informationssicherheitsbeauftragter (ISB)