Herausforderung Cyber Security

Wie man Domains absichert und Passwortrichtlinien aufstellt

14. Juni 2022, 9:30 Uhr | Autor: Kevin Trieloff / Redaktion: Diana Künstler | Kommentar(e)
Security
© Pixabay

Wer das Vertrauen seiner NutzerInnen gewinnen will, für den ist eine sichere Website das A und O. Um die Herausforderung Cyber Security erfolgreich zu meistern, sind dabei zwei Dinge unerlässlich: Domainabsicherung und Passwortrichtlinien.

  • Warum Disclaiming?
  • Wie gelingt die Passwortrichtlinie?
  • Was ist bei User Account-Richtlinien zu beachten?
  • Was macht ein Passwort sicher(er)?
  • Wie kommuniziert man eine Passwortrichtlinie?
  • Wie speichert man Passwörter?
  • Inwiefern stellen auch die eigenen Mitarbeitenden ein Risiko dar?

Während des kalifornischen Goldrauschs im 19. Jahrhundert wurde ein bis dahin lose gelebtes Konzept zum Gesetz: das Claimrecht. Menschen steckten ihre Claims ab, um sicherzustellen, dass ihnen niemand in die Quere kommt und nur sie in diesem Bereich nach Bodenschätzen graben. Zurück im 21. Jahrhundert wollen wir unsere Bereiche im Internet genauso abstecken. Daher empfiehlt es sich, seine Domainclaims selbst in die Hand zu nehmen.

Im Markenrecht ist es längst verankert: Ist eine Marke einer anderen zu ähnlich, darf das neuere Warenzeichen unter Umständen nicht eingetragen werden. Bei Domains gibt es eine solche Regel bislang nicht, zumindest nicht international. Das bedeutet, dass man im Zweifelsfall sein Recht pro Domainendung im jeweiligen Land durchsetzen muss. Zwar ist dieser Prozess tendenziell aufwendig, kostenintensiv und zuweilen langwierig, er ist allerdings ebenso unerlässlich für die Reputation und den Erfolg einer Marke. Ruft ein User eine Domain auf und landet auf einer anderen Seite als erwartet, vielleicht einer Website, die ein ähnlich interessantes Produkt anbietet, besteht die Gefahr, dass er dort verbleibt. So können Nachahmer von den teuren Marketingaktivitäten ihrer Vorbilder profitieren und wertvolle KundInnenkontakte abgreifen.

Frei nach dem Motto „Vorsorge ist besser als Nachsorge“ lässt sich diesem Problem mit ein paar Tipps vorher greifen:

  • Verschiedene Schreibweisen: Einige Worte haben unterschiedliche Schreibweisen. Mal wird beispielsweise ein Bindestrich benutzt, mal wird der Begriff in einem Wort geschrieben. Ebenso schreiben sich einige Wörter nach der neuen deutschen Rechtschreibung anders als zuvor. Dieser Umstand sollte beim Domainclaiming berücksichtigt werden. Am besten werden möglichst viele verschiedene Schreibweisen registriert.
  • Phonetische Ähnlichkeit: Um die Markenbekanntheit zu steigern, ist unter anderem Radiowerbung ein gängiges Marketinginstrument. Ist die Marke jedoch nicht gut zu verstehen, lassen sich die Hörer*innen nur sehr schwer in Website-User konvertieren. Dasselbe gilt für Empfehlungen, die per typischer Mund-zu-Mund-Propaganda weitergegeben werden. Wenn die Empfänger*innen die genannte Domain nicht richtig verstehen oder die Schreibweise unklar ist, landen sie häufig nicht auf der gewünschten Website. Unternehmen sollten daher auch phonetisch ähnlich klingende Domainnamen registrieren und diese auf ihre eigentliche Website weiterleiten.

Anbieter zum Thema

zu Matchmaker+

Ein Beispiel aus der Praxis

Unter der Marke myticket vertreibt die mytic myticket AG Konzerttickets online in Deutschland und Österreich. Das Hamburger Unternehmen betreibt den Onlineshop marktbedingt unter den Domains myticket.de und myticket.at. Doch aufgrund unterschiedlicher Schreibweisen landet man auch bei Eingabe der Domains my-ticket.de oder my-ticket.at im Ticketshop. Auch akustisch ist der Markenname unter Umständen nicht selbsterklärend und kann ausschließlich hörend entgegengenommen zu Missverständnissen führen. Aus genau diesem Grund erreicht man den Ticketshop auch unter meinticket.de, meiticket.de oder maiticket.de. Ein weiterer Tipp aus der Praxis: Auch für Vertipper sollte vorgesorgt werden. So landet man beispielsweise auch bei Eingabe der Domain mytiket.de auf der myticket-Website.

Das ist bei User Account-Richtlinien zu beachten

Wer einen Online-Service mit individuellen Zugängen betreibt, muss sich zwangsläufig Gedanken um Passwörter machen. Möglichst sicher sollen sie sein. Aber die Nutzer*innen sollen sie sich auch merken können. Deshalb führt kein Weg daran vorbei, die Passwörter von den Usern selbst wählen zu lassen. Doch wie soll man sicherstellen, dass es sich um möglichst sichere Kennwörter handelt? Eine Antwort auf diese Frage kann eine Passwortrichtlinie sein.

Was macht ein Passwort sicher(er)?

Um ein Kennwort zu knacken, werden in der Regel computergesteuert alle möglichen Kombinationen aus Buchstaben, Ziffern und Sonderzeichen ausprobiert. Ein Passwort mit fünf Zeichen kann mit der sogenannten Brute-Force-Methode beispielsweise innerhalb von wenigen Sekunden erkannt werden. Besteht die geheime Phrase jedoch aus zehn Zeichen inklusive Groß- und Kleinschreibung, Ziffern und Sonderzeichen, kann ein solcher Angriff mehrere Jahre dauern.

Tipps für eine Passwortrichtlinie
Um nicht nur sich selbst, sondern vor allem seine KundInnen vor unangenehmen Erfahrungen zu schützen, hilft es, eine Richtlinie für Passwörter festzulegen und zu kommunizieren. Anhand dieser Passwortrichtlinie können User sichere Zugänge zu Online-Services erstellen.

Mit guter Führung zum erfolgreichen Datenschutz:

  1. Machen Sie den Usern Vorgaben bezüglich der Länge, enthaltenen Sonderzeichen und dem Thema des Passwortes. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt eine Mindestlänge von acht Zeichen. Ebenso sollte es möglichst wenig Einschränkungen bei der Wahl der Zeichen geben. Dieser Hinweis schlägt im Übrigen auch auf der Website der Daten zu Buche und sollte bei der Übertragung bspw. im charset beachtet werden. Abwechselnde Groß- und Kleinschreibung, Sonderzeichen und die Vermeidung von Namen, Orten oder Geburtsdaten im Passwort sind zusätzliche wertvolle Vorgaben.
  2. User zum regelmäßigen Ändern ihrer Passwörter zu animieren, scheint sinnvoll, betrachtet man die Geschwindigkeit, mit der Passwörter automatisiert entschlüsselt werden können. Dennoch kann dieser Hinweis zu einem Password-Loop führen: User benutzen die gleichen zwei bis drei Passwörter im Wechsel und haben so dennoch ein hohes Sicherheitsrisiko. Außerdem kann die ständige Aufforderung zur Passwortänderung eine Hürde für die Nutzung des Online-Angebots darstellen und so die Bouncing Rate erhöhen. Aufwand und Nutzen sollten hier genau abgewogen werden.
  3. Old but gold: Passwörter nie zweimal verwenden. Gefühlt bluten uns schon die Ohren bei diesem Tipp und dennoch ist er aktuell und goldwert. Für jede Anwendung sollte nicht nur ein eigenes, sondern im Idealfall auch ein zufällig generiertes Kennwort verwendet werden.

Wie kommuniziert man eine Passwortrichtlinie?

Idealerweise kommuniziert man die Passwortrichtlinie für seine User direkt am Ort des Geschehens. Die Regeln werden den NutzerInnen bei der Registrierung neben dem Feld für ihr Passwort in kurzen, prägnanten Worten angezeigt und bestenfalls optisch unterstützt. Beispielsweise kann sich jeweils ein rotes Icon neben den Regeln grün färben, wenn während des Tippens eine Vorgabe erfüllt wurde.

Speicherung der Passwörter

Kevin Trieloff, For Sale Digital
Der Autor, Kevin Trieloff, ist seit neun Jahren technischer Leiter der E-Commerce-Agentur For Sale Digital. Das 45-köpfige Team von For Sale Digital unterstützt Unternehmen dabei, ihre digitalen Marken- und Kauferlebnisse zu optimieren.
© For Sale Digital

Wer seine User zu Sicherheit anhält, sollte diese auch selbst anstreben. Die Passwörter der User sollten unter keinen Umständen im Klartext gespeichert werden, ansonsten könnte jeder mit Zugriff auf den Speicherort die Kennwörter auslesen. Das mag sich in der Kunden-Hotline zwar als praktisch erweisen, öffnet aber Tür und Tor für mögliche Eindringlinge. Mit nur einem Angriff könnten so sämtliche Passwörter ausgelesen werden.

Aus diesem Grund empfiehlt es sich, die Kennwörter vor der Speicherung in einem Einweg-Verfahren zu verschlüsseln. Damit lässt sich ein Hash erzeugen, aus dem ein Rückschluss auf die Eingabe nur sehr schwer möglich ist. So wird beispielsweise mit Hilfe des MD5-Algoritmus aus der Zeichenfolge „passwort“ der Hash „e22a63fb76874c99488435f26b117e37“ und ist somit nicht mehr im Klartext auslesbar.
Noch sicherer wird es, wenn man an das vom User eingegebene Passwort eine geheime Zeichenkette anhängt, das sogenannte Salt. Wenn dieses Salt beispielhaft „geheim“ lautet und an „passwort“ angehängt wird, ändert sich der MD5-Hash zu „b3cebdae6cd5b9b37153a83027f0a103“. Besonders sicher wird die Speicherung, wenn das Salt zufällig generiert und nicht mehrfach eingesetzt wird.

Die eigenen Mitarbeitenden als Risiko

Nicht nur die Passwörter der User sollten möglichst sicher sein, sondern auch die der Mitarbeitenden. Diese melden sich an den internen Systemen mit ihren Zugangsdaten an und haben dort Zugriff auf sensible Informationen wie beispielsweise Bestell- und Kundendaten. Aus diesem Grund sollte es auch für das gesamte Unternehmen eine Passwortrichtlinie geben, die systematisch nachgehalten wird. Und die das ewige Post-It am Monitor endlich verbannt.


Das könnte Sie auch interessieren

Verwandte Artikel

for sale. Frankfurt, funkschau

Matchmaker+