Das digitale Schloss
Weder Schloss, Stahlwände noch Tarnung können sie schützen – elektronische Daten. Aus dem Alltag sind sie längst nicht mehr wegzudenken, sei es in der Kommunikation oder in der Archivierung von Informationen und Dokumenten. Auch die Beschäftigten und Studierenden der Universität Münster arbeiten zum Großteil digital und nutzen dafür das Netzwerk des Zentrums für Informationsverarbeitung (ZIV) der WWU – mithilfe von mehr als 47.000 Netzanschlüssen, rund 1750 WLAN-Access-Points und fast 200 Kilometer Glasfaserverkabelung wird an jedem Werktag per E-Mail ein Datenvolumen von 16 Gigabyte empfangen. Der Datentransfer zum Internet geht in den vierstelligen Terabyte-Bereich. Um in dieser virtuellen Welt persönliche Daten vor Missbrauch zu schützen, ist vor allem eins unerlässlich: sichere Passwörter und der Einsatz von Verschlüsselungstechniken.
„Die Kombination aus Benutzername und Passwort ist heutzutage die am weitesten verbreitete Methode, um sich bei Geräten und persönlichen Diensten anzumelden“, erklärt Thorsten Küfer, Leiter des „IV-Sicherheitsteams“ (Informationsverarbeitung) der WWU. Das Gremium bündelt die Sicherheitskompetenzen im Bereich Informationstechnik (IT) des ZIV und der Informationsverarbeitungs-Versorgungseinheiten (IVVen) und erstellt Empfehlungen zur IT-Sicherheit. Zusätzliche Sicherheit biete die Ergänzung des Passwortes durch einen zweiten Faktor, beispielsweise dem Fingerabdruck, der Gesichtserkennung oder einer Transaktionsnummer (TAN). Thorsten Küfer trägt mit einem sogenannten USB-Token eine weitere Möglichkeit zur doppelten Authentifizierung bei sich – der elektronische Schlüssel hängt passenderweise an seinem Schlüsselbund.
Der richtige Umgang mit Zugangsdaten und insbesondere Passwörtern stellt jedoch häufig ein großes Problem dar. Auch beinahe 30 Jahre nach Erfindung des World Wide Web besteht großer digitaler Aufklärungsbedarf. Ein Blick in die Top-Ten-Liste der meistgenutzten Passwörter der Deutschen, die das Hasso-Plattner-Institut jedes Jahr veröffentlicht, zeigt, dass die Ziffernfolge „123456“ den Spitzenplatz belegt – gefolgt von „12345“ auf Platz zwei. „Problematisch wird es vor allem, wenn die selben schwachen Passwörter bei verschiedenen Diensten genutzt werden“, sagt Thorsten Küfer. Wenn Datendiebe ein solch schlichtes Passwort ausfindig machen, haben sie leichtes Spiel. Thorsten Küfer empfiehlt, dienstliche und private Daten in jedem Fall zu trennen und für jeden Dienst ein anderes Passwort zu verwenden – bestehend aus mindestens acht Zeichen inklusive Sonderzeichen.
Doch wie soll man bei all den Online-Diensten, Clouds und E-Mail-Konten den Überblick über die unzähligen, komplexen Passwörter behalten? Eine gute Möglichkeit bietet ein Passwort-Tresor. „Programme zur Kennwortverwaltung sammeln, verwalten und generieren sichere Passwörter“, schildert Thorsten Küfer die Funktionsweise. Auf diese Weise müsse man sich nur zwei Passwörter merken: das Zugangspasswort zum Passwort-Tresor und das Anmeldepasswort für den Computer.
Eine sichere Aufbewahrung für elektronische Dokumente bietet äquivalent ein digitaler Tresor. „Technisch handelt es sich um ein speziell geschütztes und verschlüsseltes Verzeichnis, in welches zum Beispiel Zeugnisse, Pässe oder Verträge digital abgelegt werden können“, beschreibt Prof. Dr. Gottfried Vossen vom Institut für Wirtschaftsinformatik der WWU. „Das Verzeichnis wird in einer privaten Cloud abgelegt, die der Betreiber des Tresordienstes, zum Beispiel eine Bank, bereitstellt. Sofern man im Besitz der Zugangsdaten ist, kann man von überall auf der Welt darauf zugreifen.“ Die sicherste Möglichkeit zur Speicherung sensibler Daten ist jedoch viel simpler, erläutert der Fachmann: ein externes Medium wie USB-Stick oder externe Festplatte, das nur bei Bedarf an einen Computer angeschlossen wird.
Auch wenn Passwörter und Daten sicher gespeichert sind, stellt der elektronische Datentransfer eine weitere Schwachstelle dar. Digitale Zertifikate ermöglichen daher beispielsweise elektronisches Unterschreiben und Verschlüsseln von E-Mails sowie den sicheren Abruf von Webseiten. An der WWU ist die Zertifizierungsstelle (WWUCA) für Beschäftigte die zentrale Anlaufstelle, um eine digitale Identität (ID) zu erhalten. Bisher ist die Verwendung einer digitalen ID vonseiten des ZIV eine Empfehlung und keine Verpflichtung. Denn wie auch bei Passwörtern hat der Umgang mit Zertifikaten seine Tücken. Wer es verliert, hat keinen Zugriff mehr – Daten und Dienste bleiben folglich unter Verschluss.
Tipps zum sicheren Umgang mit Computer, Tablet und Smartphones finden Studierende und Mitarbeiter der WWU auf den Seiten des Zentrums für Informationsverarbeitung unter https://go.wwu.de/itsec.
Autorin: Jana Schiller
Dieser Artikel stammt aus der Unizeitung „wissen|leben“ Nr. 4, 5. Juni 2019.