Passwörter

Inhalt• Warum ein Passwort verwenden• Was tun Passwörter• Passworte dürfen nie weitergegeben werden• Ausspionieren von Passworten• Social Engineering• Was man unter Social Engineering versteht• wie man sich am Besten davor schützt

Warum ein Passwort verwenden• Passworte dienen zur Zugriffskontrolle auf sensible und

schützenswerte Daten.• Sie können ein Passwort mit Ihrem Haustürschlüssel

vergleichen. Mit diesem kontrollieren Sie den Zugang zu Ihrem Haus. Genauso kontrolliert man mit dem "Schlüssel" Passwort den Zugang zu sensiblen Daten.

Was tun Passwörter

• Passworte werden bei Anmeldungen an Rechnern, Netzwerken, Netzlaufwerken, Domänen und PC-Anwendungen verwendet. Sie schützen Ressourcen wie Verzeichnisse und Dateien vor unberechtigtem Lesen, Schreiben, Ändern oder Löschen.

• Auch der Zugang zu Programmen und Anwendungen wird häufig durch Passworte geschützt. Z.B. können nur Sie mit Ihrem Anmeldenamen und Ihrem Passwort Ihre E-Mails lesen.  

Passworte dürfen nie weitergegeben werden

• Ein Beispiel:Ihr Telefon klingelt. Ein freundlicher Mann meldet sich: "Guten Tag. Hier ist der User-Help-Desk. Wir arbeiten gerade an einem E-Mail-Problem und würden gerne testen, ob Ihr Login wieder funktioniert. Können Sie uns bitte Ihr Passwort geben?"

• Wie verhalten sie sich ?

So verhalten Sie sich richtig:

• Fragen Sie den Anrufer nach Name und Telefonnummer

• Melden Sie den Vorfall dem User-Help-Desk oder Ihrem Systemadministrator

Ausspionieren von Passworten

• Gefahren lauern schon bei der Passwort-Eingabe:• Wer kann auf Ihrer Tastatur mitlesen, wenn Sie Ihr Passwort

eingeben, z.B. durch die Bürotür oder ein Bürofenster? Deshalb gilt:• Achten Sie darauf, dass Sie möglichst niemand bei der Eingabe des

Passwortes beobachten kann. • Passworte sollten regelmäßig geändert werden, mindestens alle 90

Tage – in vielen Fällen werden Sie automatisch durch das System daran erinnert.

• Wenn Sie befürchten, dass jemand Ihr Passwort erraten hat, ändern Sie es sofort!

Social Engineering

• Unter Social Engineering versteht man das Sammeln von Informationen sowie das Auskundschaften von Zugangsmöglichkeiten unter Verwendung einer vertrauten Identität. Der Angreifer gibt sich am Telefon, per E-Mail oder auch persönlich als eine vertrauenswürdige Person aus und versucht, von Ihnen vertrauliche Informationen oder Zugangsdaten zu erhalten.

• Hier ist Wachsamkeit geboten: Jeder Mitarbeiter im Unternehmen ist angehalten, keine sensiblen Informationen an unbefugte Dritte weiterzugeben. Das gilt insbesondere für Zugangsdaten wie Login oder Passwort.

Schutz vor Social Engineering

• Woran Sie einen möglichen Social Engineering Angriff erkennen können:

• Der Angreifer gibt sich als Kollege oder Autoritätsperson aus und droht mit Sanktionen bei Nicht-Kooperation

• Weigerung, eine Rückrufnummer anzugeben • Ungewöhnliches, nicht alltägliches Anliegen • Besonders hohe Dringlichkeit; meist in Kombination mit hohen zu

erwartenden Schäden bei Nicht-Kooperation • Der Angreifer benutzt die Identität einer Person, deren Funktion

Ihnen bekannt ist, bei der Sie aber davor zurückschrecken, Rückfragen zu stellen

• Angreifer lässt gelegentlich bekannte Namen fallen und empfindet Rückfragen als lästig

• Komplimente, Schmeicheleien oder sogar flirt-haftes Verhalten