Google, Facebook oder Yahoo – die neu entdeckte IT-Lücke "Heartbleed" macht viele Website und deren persönliche Zugänge unsicher. Experten raten jetzt zu Passwortwechsel und mehr. Schlecht geschützt gegen Angriffe aus dem Netzt sind besonders mittelständische Firmen aus Deutschland.
Die Meldungen zu gestohlenen Passwörtern und Sicherheitslücken einzelner oder mehrerer Websites mehren sich in den vergangenen Wochen. Online-Sicherheit wird immer wichtiger – speziell für den deutschen Mittelstand. Dieser ist bislang noch wenig auf die Angriffe von Hackern und Online-Kriminellen vorbereitet. Das ergab eine Umfrage der Beratungsgesellschaft PricewaterhouseCoopers (PwC), über die das "Manager Magazin" am Wochenende berichtete.
Der Umfrage zufolge sind Sicherheitsvorkehrungen bei kleinen und mittelständischen Firmen oft lückenhaft oder überhaupt nicht vorhanden. Nicht selten würden Cyber-Angriffe komplett übersehen, da Kontrollen fehlen. Trotzdem kommen so nicht selten Verluste von bis zu 100.000 Euro zustande.
Wie das Magazin berichtet schützt rund jedes fünfte der 405 befragten Unternehmen seine Daten nur unzureichend. Nur ein Drittel hätte nach Bekanntwerden der NSA-Affäre die eigene Onlinesicherheit überprüft.
Experten raten: Passwörter ändern
Problematisch sind aber nicht nur Angriffe durch Hacker von außen, die durch ein abgesichertes Netzwerk abgewehrt werden können. Auch ganz normale Vorgänge wie das Versenden von E-Mails über die gebräuchlichen Server von beispielsweise Google und Yahoo oder das Kopieren und unverschlüsselte Abspeichern von Daten auf USB-Sticks durch Mitarbeiter können Unsicherheiten mit sich bringen. Sensible Daten können so schnell verloren gehen, wenn im Umgang mit der Firmen-IT keine Standards für alle gelten.
Wie schnell es zu Problemen kommen kann, zeigt auch der aktuelle Fall der Sicherheitslücke "Heartbleed". Denn ausgerechnet die Software OpenSSL, die wichtige Daten eigentlich schützen soll, hat ein Leck. Sie wird von zahlreichen Webseiten eingesetzt, darunter unter anderem auch Google, Facebook oder Yahoo. Betroffen sind daher fast alle Internetnutzer.
Sicherheitshalber sollten Nutzer daher ihre Passwörter für Webseiten und Dienste ändern, raten Experten. Am wichtigsten sei dabei das E-Mail-Konto. Eine Liste verschiedener Webseiten und Dienste hat das US-Blog "Mashable" zusammengestellt.
Potenzielle Angreifer können die OpenSSL-Schwachstelle nutzen, um eigentlich geschützte Informationen abzufangen, darunter auch Zugangsdaten. Der Passwortwechsel ist dann sinnvoll, wenn eine Webseite die Lücke beseitigt hat. Das sollte nach Ansicht von Jan-Peter Stotz vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt nun erfolgt sein.
Stotz geht zwar davon aus, dass die großen Plattformbetreiber ihre Nutzer über den nötigen Passwortwechsel informieren. Unabhängig davon sollten sie aber ruhig jetzt schon aktiv werden. Besondere Aufmerksamkeit verdient dabei das E-Mail-Konto, sagt der Experte: Verschafft sich ein Angreifer Zugriff darauf, kann er über die Passwort-Rücksetzfunktion auch andere Dienste angreifen, bei denen der Nutzer einen Account hat. Das gilt selbst dann, wenn das fehlerhafte OpenSSL dort gar nicht im Einsatz war.
Wie ein gutes Passwort aussieht
Ein gutes Passwort hat nach Angaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) mindestens zwölf Zeichen, darunter neben großen und kleinen Buchstaben auch Zahlen und Sonderzeichen. Namen sind ebenso tabu wie Begriffe aus Wörterbüchern oder Tastaturmuster wie "asdfg". Um den Schaden bei einem erfolgreichen Angriff oder Datendiebstahl möglichst klein zu halten, sollten Nutzer für jeden Dienst ein anderes Passwort verwenden.
Je mehr Nutzerkonten jemand hat, desto schwieriger wird das natürlich. Sicherheitsexperte Stotz empfiehlt daher, sich Hilfe zu besorgen. "Die Faustregel bei Passwörtern ist immer: Besser ein gutes aufgeschriebenes beziehungsweise gespeichertes als ein schlechtes gemerktes", sagt er.
Nutzer können ihre Zugangscodes zum Beispiel einem Passwort-Manager überlassen, die es als Browsererweiterung, PC-Programm oder App gibt. Damit müssen sie sich nur noch ein Master-Passwort merken, der Rest läuft automatisch. Es geht aber durchaus auch analog, erklärt Stotz: "Wichtige Passwörter kann man auch zu Hause auf Papier an einem sicheren Platz abheften." Dort seien sie zwar nicht vor Einbrechern, aber zumindest vor Hackern geschützt. dpa/dhz