Sie sind hier: HomeMobile Solutions

Mobile-Security: Passwörter reichen nicht mehr aus

Viele Nutzer vertrauen auf PINs und Passwörter, um ihre Mobilgeräte vor dem Zugriff Unbefugter zu schützen. Doch dieses Sicherungsverfahren reicht nicht mehr aus. Gefordert ist eine umfassende Absicherung von Smartphones und Tablets sowie der Anwendungen, auf die Nutzer zugreifen. Das erfordert ergänzende Maßnahmen wie den Einsatz biometrischer Verfahren und den Schutz von Mobilgeräten vor Schadsoftware.

Bildquelle: © blackday - fotolia.com

Für Hacker und Cyber-Kriminelle sind Mobilsysteme höchst attraktiv: Sie enthalten jede Menge Informationen, die sich zu Geld machen lassen. Sogar der Diebstahl ganzer „digitaler Identitäten“ ist denkbar, wenn ein Hacker Zugriff auf ein Smartphone oder Tablet hat. Verschärft wird die Situation durch das Synchronisieren von Daten auf mehreren Endgeräten. Apples „iCloud“, das neue Windows 10 oder Google-Services für Android und andere Betriebssysteme erlauben es, Daten auf unterschiedlichen Systemen synchron zu halten – dem Tablet, dem Smartphone, einem Notebook und einem PC. Das bedeutet, dass nicht nur der Zugang zu einem Smartphone abgesichert werden muss, sondern auch der Zugriff auf ein Tablet oder ein Notebook.

Immerhin ist der Mehrzahl der Nutzer bewusst, welchen Wert die Informationen auf ihren Mobilsystemen haben. So setzen immerhin rund 55 Prozent der Nutzer von Mobiltelefonen eine PIN ein, um Datendiebe auszusperren. Der Digitalverband Bitkom verzeichnet ein wachsendes Sicherheitsbewusstsein bei Handy- und Smartphone-Nutzern in Deutschland: Demnach verwenden 72 Prozent der deutschen User zusätzlich die Abfrage eines Passworts, Musters oder Codes in Verbindung mit einer Tastensperre. War das Smartphone einige Minuten lang inaktiv, muss der Nutzer einen Code eingeben, um darauf zugreifen zu können.

Und doch besteht noch Handlungsbedarf: Immer noch 29,3 Prozent der Nutzer verzichten selbst auf einfachste Sicherungsmethoden. Die Folge: Gelangt das Mobilsystem in fremde Hände, reicht die Auswechselung der SIM-Karte schon aus, um an die auf dem Gerät gespeicherten Daten wie Adressen, E-Mails, SMS und Geschäftsinformationen zu gelangen.

Erste Verteidigungslinie

Den Zugriff auf das Endgerät mittels eines Passworts zu schützen, stellt die erste Verteidigungslinie dar. Trotz aller Kritik an Passwörtern wird diese Form der Absicherung von mobilen Systemen Bestand haben. Daher sollten die Nutzer von Mobilgeräten und die IT-Abteilung der Pflege und dem Schutz von Passwörtern gebührende Aufmerksamkeit schenken.

In der Praxis bedeutet dies, folgende Maßnahmen umzusetzen:

  • Zwingend die Nutzung von PINs und Passwörtern vorgeben: Viele User deaktivieren solche Funktionen aus Gründen der Bequemlichkeit.
  • Eine minimale Passwortlänge vorgeben: Das BSI empfiehlt eine Länge von 12 Zeichen, andere Fachleute halten 8 bis 12 Zeichen für ausreichend.
  • Komplexe Passwörter einsetzen: Klassiker wie „12345678989“ oder der eigene Name sind ein Sicherheitsrisiko. Besser ist eine Mischung aus Buchstaben, Zahlen und Sonderzeichen in Verbindung mit Groß- und Kleinschreibung, etwa „Ms1a&pmmZ3M1“. Dieses Beispiel des BSI steht für den Satz: Morgens stehe ich auf und putze mir meine Zähne drei Minuten lang.“ Nur die ersten Buchstaben jedes Worts werden übernommen, also „MsiaupmmZdMl“. Von diesen Buchstaben werden solche, die Zahlen ähneln, durch Ziffern ersetzt, etwa das „i“ durch eine „1“.
  • Keine „pseudostarken“ Passwörter verwenden: Ziffern oder geläufige Sonder
  • zeichen wie „!“, der „?“ am Anfang oder Ende eines einfachen Passwortes stellen für Hacker keine hohe Hürde dar.
  • Passwörter regelmäßig wechseln: Nicht nur bei Arbeitsplatzrechnern oder Servern sollten Passwörter immer wieder ausgetauscht werden. Gleiches gilt für Mobilgeräte. Das heißt, spätestens alle sechs Monate einen Passwortwechsel vornehmen oder nötigenfalls mithilfe von Mobile-Device-Management-Lösungen (MDM) erzwingen.
  • Daten auf dem Mobilgerät nach einer bestimmten Zahl fehlerhafter Passworteingaben löschen: Beim „iPhone“ beispielsweise erfolgt das nach zehn Fehlversuchen. Allerdings sollte die IT-Abteilung oder der Nutzer regelmäßig eine Sicherung der Daten auf dem Mobilgerät durchführen.

Auch ein komplexes Passwort hilft jedoch nicht weiter, wenn der Nutzer es anderen zugänglich macht. Dazu reicht ein Post-it-Zettel in der Geldbörse, den der User als Merkhilfe verwendet: Wird die Börse zusammen mit dem Smartphone oder Tablet entwendet, hat der Dieb möglicherweise fette Beute gemacht: das Bargeld im Portemonnaie, das Smartphone, dazu die Kredit- und Geldkarten aus der Geldbörse und Account-Informationen, die auf dem Smartphone gespeichert sind.

Auch „virtuelle“ Post-its sollten tunlichst vermieden werden. Dazu zählen beispielsweise unverschlüsselte E-Mails, in denen Account-Informationen und Passcodes übermittelt werden. Ebenfalls beliebt sind – unverschlüsselte – Dateien mit Passwörtern, die Nutzer auf Cloud-Storage-Plattformen lagern. Die Idee dahinter: Will einem Nutzer partout ein Passwort nicht mehr einfallen, kann er es von einem anderen System aus abfragen, etwa einem Notebook. Allerdings ist es nicht anzuraten, solche sensiblen Daten auf Cloud-Plattformen zu speichern, schon gar nicht in unverschlüsselter Form.

Auch Verwandte, Freunde, Kinder, Kollegen und selbst der eigene Chef sollten möglichst nicht wissen, wie ein Nutzer seine Mobilsysteme absichert. Notfalls auf die IT-Abteilung verweisen: Sie hat in der Regel die Möglichkeit, „remote“ auf Mobilsysteme zuzugreifen.