Immer dasselbe mit den Passwörtern – zu kurz, zu wenig Sonderzeichen, und eine Zahl wäre noch recht. Wer neue Zugangscodes erstellt, muss sich komplizierte Zeichenfolgen ausdenken und dann auch merken. Viele Nutzer greifen zu Eselsbrücken, verwenden ihr Geburtsdatum oder andere persönliche Informationen. „Aber damit macht man es Eindringlingen leicht, die sich unerlaubten Zugriff verschaffen wollen. Solche Passwörter sind schnell geknackt“, sagt Stefan Rass.
Der Informatiker beschäftigt sich an der Alpen-Adria-Universität mit dem Thema „Social Engineering“, also dem Ausspähen von Passwörtern und Eindringen in geschützte Computersysteme unter Ausnützung sozialer Verhaltensweisen durch Missbrauch persönlicher Daten. „Das schwächste Glied im Sicherheitssystem ist der Mensch, der leichter auszutricksen ist als technische Barrieren“, sagt Rass. Angefangen bei amateurhaften E-Mails, die nach Bank-Zugangsdaten fragen, bis hin zu „zufällig“ vergessenen USB-Sticks, die mit Schadsoftware versetzt sind, ist die Bandbreite an Finesse eines „Social Engineering“-Angriffes sehr groß. „Wirklich ausgetüftelt operieren die Angreifer, wenn sie Entscheidungsträger ins Visier nehmen. Diese Gruppe ist auch am gefährdetsten“, sagt Rass.
Denn Chefs oder Politiker ließen sich manchmal nur ungern vorschreiben, wie sie ihre IT-Sicherheit handhaben sollen. Das mache Organisationen vor allem an der Spitze verwundbar. Rass: „Entscheidungsträger werden ausgespäht und dann mit gezielten Botschaften angesprochen, mit denen sie sich ködern lassen.“ Der Schaden kann dann oft enorm ausfallen.
Schutzmaßnahmen gegen das „Social Engineering“ sind Gegenstand der Forschung, die Rass betreibt. Unter anderem geht es darum, Sicherheitssysteme einfacher nutzbar zu machen, ohne dass sie an Wirksamkeit einbüßen. „Oft ist die Handhabung von Passwörtern so umständlich, dass sie kaum nutzbar sind“, sagt Rass. Hier müsse die IT-Entwicklung als Erstes ansetzen.