Cloud-Sicherheit Ist Ihr P4$$w0r7 stark genug?

Redakteur: Robert Horn

Aktuell ist die Häme groß. Einige Social-Media-Accounts von Mark Zuckerberg wurden gehackt. Offensichtlich hat der Facebook-Gründer grundlegende Passwortregeln ignoriert. Der Fall zeigt: Irren ist menschlich – und Passwörter sind als Sicherheitsmechanismen denkbar ungeeignet.

Firmen zum Thema

Wie sicher ist eigentlich Ihr Passwort? Gerade bei Cloud-Diensten sollten Nutzer über ausreichende Schutzmaßnahmen nachdenken.
Wie sicher ist eigentlich Ihr Passwort? Gerade bei Cloud-Diensten sollten Nutzer über ausreichende Schutzmaßnahmen nachdenken.
(Bild: Skyhigh Networks)

Experten empfehlen zwar, ausschließlich starke Passwörter zu verwenden. Diese bestehen aus einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Aber viele Menschen – normale Angestellte bis hin zu CEOs – merken sich solche Passwörter schlecht. Warum auch? Die meisten Angebote der Public Cloud drängen nicht auf starke Passwörter.

Skyhigh Networks hat mehr als 14.000 Cloud-Dienste analysiert: nur 6,5 % verlangen ein starkes Passwort und weitere 13,6 % setzen immerhin ein mittelstarkes Passwort voraus, also eine Kombination aus Buchstaben und Ziffern. Jedoch nahezu 80 % erlauben selbst Passwörter, die nur aus Kleinbuchstaben bestehen und dadurch am leichtesten zu hacken sind.

Man sieht: Wer allein auf Passwörter baut, der baut auf Sand. Vorbildliche Cloud-Dienste setzen zusätzlich Multi-Faktor-Authentifizierung ein. In diesem Verfahren müssen sich Anwender nicht nur mit den üblichen Zugangsdaten, Benutzername und Passwort, sondern auch anhand einer SMS oder Textnachricht, die ihnen aufs Handy geschickt wurde, identifizieren. Durch diesen zweiten Schritt lässt sich der unberechtigte Zugriff mit gestohlenen oder gehackten Passwörtern verhindern oder zumindest erschweren.

Zusatzschutz dringend empfohlen

Aber aktuell unterstützen nur 15,4 % der Cloud-Dienste diese Multi-Faktor-Authentifizierung – und viele davon, wie Office 365, setzen sie nicht zwingend voraus. Deswegen lassen viele Anwender diesen Sicherheitsmechanismus deaktiviert. Manche Provider versuchen sich daher in Kreativität. So will Dropbox angeblich Anwender mit kostenlosem Speicherplatz dazu bewegen, Multi-Faktor-Authentifizierung und starke Passwörter zu benutzen.

Eine wohl effektivere Methode besteht darin, über maschinelle Lernverfahren atypisches Nutzerverhalten zu erkennen und Alarm zu schlagen. Der Login könnte verweigert oder eine Multi-Faktor-Authentifizierung zwingend abgefragt werden. Banken nutzen einen ähnlichen Ansatz, um Kreditkartenbetrug zu bekämpfen. Erkennt das System untypische Zahlungsmuster, wird die Karte gesperrt und der Eigentümer gebeten, sich an die Hotline zu wenden.

Cyberkriminelle rüsten auf. Cloud-Dienste mit geringem Schutzniveau werden über kurz oder lang Opfer einer Attacke. Unternehmen, die die Vorteile der Cloud für sich nutzen wollen, sollten sich nicht auf die Serviceprovider verlassen. Sie sollten das Heft selbst in die Hand nehmen und einen vielschichtigen Sicherheitsmechanismus implementieren. Mittlerweile können sie dafür auf zahlreiche technische Lösungen zurückgreifen.

(ID:44096678)