Reizthema Passwörter
So selbstverständlich wie der Einsatz von Passwörtern ist im Alltag der Ärger mit ihnen. Dabei ist in der Theorie alles klar: Die Anwender sollten keine Passwörter verwenden, die entweder leicht zu erraten sind oder sich automatisiert durch ein Wörterbuch ermitteln lassen. Für verschiedene Konten sollten immer verschiedene Passwörter verwendet werden. In der Praxis verhallen solche Vorschläge bislang ungehört. In den Betrieben kursieren unter den Kollegen die Passwörter, die in der Regel kein Verfallsdatum haben, so lange, bis niemand mehr den Überblick hat, wer auf welche Konten Zugriff hat. Ausgenommen davon sind nur die Kennungen der Chef-Etage, die so die Regel bestätigen. „Wir haben bei einem unserer Kunden versuchsweise die Regelung eingeführt, das Passwort zwingend alle sechs Monate zu ändern“, erzählt beispielsweise ein Provider. „Das wurde genau einmal durchgehalten, und das Ganze endete im Chaos. Seitdem sind dort die Passwörter wieder unbegrenzt gültig.“ Firmendaten und -systeme sind nicht nur elektronischen Angriffen ausgesetzt. Feuer, Wasser und Strom stellen ebenfalls ernst zu nehmende Gefahren dar, gegen die physische Schutzmechanismen einzusetzen sind. Um auch für Notfälle gerüstet zu sein, sollten Notfallchecklisten erstellt und die einzelnen Szenarien durchgespielt werden - nach dem Muster: Was geschieht, wenn der Strom ausfällt?

Szenarien durchspielen
Für Unternehmen, die sich mit dem Thema Sicherheit systematisch auseinandersetzen wollen, ist der Sicherheitsleitfaden des BSI nur als Einstiegshilfe gedacht. Eine gründliche Analyse kann und will er nicht ersetzen. Aber auch für die ausführliche Sicherheitsüberprüfung gibt es amtliche Unterstützung - mit dem „IT-Grundschutzhandbuch“ des BSI. Dabei handelt es sich um eine Sammlung von 2000 losen Blättern, die drei Aktenordner füllen. Dennoch sei das Grundschutzhandbuch deutlich weniger komplex, als es den Anschein erwecke, sagt Dirk Fox von der Sicherheitsberatung Secorvo und lobt: „Das BSI ist pragmatisch vorgegangen und hat ein Bausteinkonzept entwickelt.“ IT-Verantwortliche müssten nur die für sie relevanten Module etwa für ein Novell-Netz oder eine Lotus-Installation heraussuchen. Systematisches Vorgehen dabei sorgt dafür, dass kein Baustein vergessen wird. (uk)