Was nützt die beste Sicherheitstechnik, wenn der Mensch sie unterläuft. Einer Umfrage des britischen Anbieters von Sicherheitslösungen und –services Infosecurity Europe zufolge ist es um die Verlässlichkeit des Anwender schlecht bestellt. Im Rahmen der Erhebung haben 64 Prozent von rund 300 Befragten ihr Passwort verraten. Die Erhebung hat bewusst mit zwischenmenschlichen Tricks gearbeitet, um die Schwächen des Passwortschutzes zu demonstrieren.
Die Interviewer haben Pendlern in einem Londoner Bahnhof sowie IT-Pofis auf einer IT-Messe mit einem Schokoriegel gelockt, an einer Studie teilzunehmen. Zunächst stellten sie ihren Gesprächspartnern die Frage, was ihrer Meinung nach das häufigste Passwort ist, um sie unmittelbar danach nach ihrem eigenen Passwort zu fragen. 22 Prozent der IT-Profis fielen auf den Trick herein und verrieten ihren persönlichen Schutz-Code, bei den Büroangestellten waren es erstaunliche 40 Prozent.
Im zweiten Schritt wurden die zunächst Standhaften bearbeitet. Ihnen wurde die Frage gestellt, ob ihr Passwort der Namen ihres Kindes, Haustiers oder eines Fussball-Teams ist, um dann den Kinds- oder Klubnamen zu erraten. Mit dieser Technik wurden die Marktforscher erneut fündig: Weitere 42 Prozent der IT-Profis und 22 Prozent der Pendler offenbarten ihr Passwort. Was viele der IT-Profis nicht beachtetet hatten: Die Interviewer konnten sich anhand des Messeausweises sowohl Namen als auch Firma notieren. Insgesamt haben die Interviewer damit 64 Prozent der Befragten überlistet.
In ergänzenden Befragungen hat sich zudem herausgestellt, dass 67 Prozent der Teilnehmer davon ausgehen, dass die Sekretärin oder der persönliche Assistent der Geschäftsleitung das Passwort des Chefs kennen.
Mittlerweile scheinen sich die Schwächen dieses Systems herumzusprechen. Ein Fünftel der Firmen vertraut nicht mehr auf Passwörter zum Schutz der Unternehmensinformationen. Fünf Prozent haben statt dessen biometrischen Verfahren eingeführt, 15 Prozent vertrauen auf Tokens.
Im Durchschnitt muss sich jeder IT-Nutzer fünf Passwörter merken, einige der Befragten haben sogar 20 oder mehr Zugangs-Codes zu verwalten. In 71 Prozent der Fälle müssen sie ihre Passwörter monatlich ändern. Kaum verwunderlich ist daher, dass 58 Prozent der Teilnehmer der Einfachheit halber die Büro-Codes auch für ihre privaten Accounts verwenden, also etwa für das Online-Banking, den E-Mail-Zugang und den Online-Kauf.
Versäumnisse gibt es nach Angaben der IT-Profis häufig auch bei Zugangs-Codes zu Servern und Applikationen. Sie werden insbesondere in kritischen Systemen aus Furcht vor einem Crash oftmals gar nicht geändert. Einige der IT-Experten berichteten über fehlende Admin-Passwörter.
29 Prozent der Befragten kennen die Zugangsdaten von Kollegen. Obwohl bekannt ist, dass Passwörter auch bei Nachfrage nicht in die Hände von Mitarbeitern aus den IT-Abteilungen gehören, würden 39 Prozent der Pendler und IT-Profis genau dies tun. Offenbar vertrauen sie dabei den Support-Mitarbeitern mehr als ihrem Chef: Nur knapp ein Drittel würde dem Vorgesetzten das Passwort verraten.
Die größten Begehrlichkeiten wecken die Lohnlisten: Zwei Drittel würde sich die Tabellen ansehen, falls sie fälschlicherweise in ihre Hände gelangen würden, ein Fünftel würde sie an einen Kollegen weiterleiten.
Auch um die Loyalität scheint es nicht besonders bestellt zu sein: Gefragt, ob sie Kontaktdaten oder für den Wettbewerb interessante Informationen mitnehmen würden, wenn sie das Unternehmen verlassen, antworteten 58 Prozent mit "ja". Ein Verkäufer verriet den Marktforschern, er habe eine Woche zuvor seine alte Firma verlassen und die gesamte Liste mit den anstehenden Aufträgen mitgenommen (mehr zum Thema im Security-Expertenrat). (jha)