"Ganzen Satz verwenden und noch einen Rechtschreibfehler einbauen"
IT-Sicherheitsexperte Kalinna: „Passwort-Policies“ überdenken / Praxisnahe Tipps zur IT-Sicherheit / Interview
Verwaltung der Zukunft: Herr Kalinna, wie ist es grundsätzlich um die IT-Sicherheit in der deutschen Behördenlandschaft bestellt?
Kalinna: Es handelt sich mittlerweile um ein systemisches Problem für weite Teile des öffentlichen Sektors. Viele Behörden hinken mit der Hardware weit hinterher, weil viele Jahre nicht oder zu wenig investiert wurde. Hinzu kommt, dass der öffentliche Sektor insbesondere mit Blick auf die IT radikal unterbesetzt ist – es fehlt nicht nur an Personal, sondern auch den richtigen Leuten.
Es handelt sich mittlerweile um ein systemisches Problem für weite Teile des öffentlichen Sektors.
VdZ: Das oft beschriebene Problem der Bezahlung im Rahmen öffentlicher Tarife….
Kalinna: Ja, gerade in der aktuellen Hochkonjunkturphase gehen die wenigen IT-Absolventen lieber in die Industrie, mit der Staat und Kommunen beim Gehalt nicht mithalten können. Oft sind aber auch zu geringe Mittel vorhanden, um gute externe Dienstleister einzukaufen und zu wenig Wissen, um diese überhaupt controllen zu können. Das wird immer mehr zum Problem.
In kleinen Gemeinden bis zu Mittelstädten mit mehreren Zehntausend Einwohnern ist die Lage meiner Erfahrung oft prekär.
VdZ: Auf welcher staatlichen Ebene ist die Situation aus Ihrer Sicht nicht nur unbefriedigend, sondern nicht mehr zu tolerieren?
Kalinna: In kleinen Gemeinden bis zu Mittelstädten mit mehreren Zehntausend Einwohnern ist die Lage meiner Erfahrung oft prekär. Wenn ich mir die Sicherung so manches Netzwerks anschaue, fällt mir nicht mehr viel ein. Kommunen sollen und müssen Redundanzen vermeiden, trotzdem laufen vielerorts alte und neue Firewall- und andere Software-Systeme unnötigerweise nebeneinander.
An anderer Stelle haben Doppelstrukturen durchaus Sinn, zum Beispiel bei der Netzinfrastruktur. Was nützen mir heutzutage alle Vorkehrungen, wenn der Internetzugang ausfällt? Um passende und finanzierbare Modelle zu finden, muss man aber mit den Providern sprechen. Das bringt oft Probleme mit sich.
An anderer Stelle haben Doppelstrukturen durchaus Sinn, zum Beispiel bei der Netzinfrastruktur. Was nützen mir heutzutage alle Vorkehrungen, wenn der Internetzugang ausfällt?
VdZ: Und wie sieht es auf Bundesebene aus?
Kalinna: Größere Einrichtungen auf Bundesebene sind meist besser aufgestellt. Vor allem die Sicherheitsbehörden beim Bund und in den Ländern müssen aber auch einem höheren Anspruch genügen, da sie ganz anderen Angriffen ausgesetzt sind. Die Vergangenheit hat das mehrfach gezeigt.
VdZ: Welche Rolle spielt der „Faktor Mensch“ in der IT-Sicherheit?
Kalinna: Letztlich geht es immer um den Menschen, der die Systeme schließlich betreibt und nutzt. Wenn schon kaum fachkundiges Personal vorhanden ist oder angeworben werden kann, muss geschult und fortgebildet werden! Das mag auch vielerorts vorgesehen sein, meiner Erfahrung nach hakt es aber weiterhin an der faktischen Umsetzung.
VdZ: Was können Mitarbeiter der öffentlichen Verwaltung ohne größeren Ressourcenaufwand tun, um die Sicherheit zu erhöhen?
Kalinna: Eine Möglichkeit liegt zum Beispiel bei den Passwörtern. Ihre Stärke und damit die Zugangssicherheit hängen vor allem von ihrer Länge ab. Mit jedem zusätzlichen Zeichen erhöhen sich die Möglichkeiten milliardenfach. Wir haben das an der Hochschule Emden/Leer mit einem extrem leistungsfähigen Rechner mehrfach durchgespielt.
VdZ: Was würden Sie also konkret empfehlen?
Kalinna Ich rate dazu, mindestens 18 bis 20 Zeichen zu verwenden, bestmöglich gekoppelt mit einer Zahl. Grundsätzlich gilt: Je mehr Zeichen, desto sicherer. Nehmen Sie einen ganzen Satz und bauen noch einen Rechtschreibfehler ein, dann müssen sie keine „Hieroglyphen“ mehr integrieren und das Passwort nicht so oft wechseln. Das bringt schon sehr viel mehr Sicherheit, als die üblichen acht Zeichen.
Ich rate dazu, mindestens 18 bis 20 Zeichen zu verwenden, bestmöglich gekoppelt mit einer Zahl.
VdZ: Wie viel Sicherheit denn?
Kalinna: Für „normale“ Zwecke sollte das reichen. Wenn es allerdings darum geht, Geheimdienste wie die NSA draußen zu halten, brauchen Sie womöglich noch weitaus mehr als 20 Zeichen. Genau ist das schwierig zu sagen, weil eben die Halbwertszeit des Wissens in der IT-Sicherheitsbranche sehr gering ist und sich die technischen Möglichkeiten rasant weiterentwickeln. Das gilt insbesondere für Super-Computer, die ja zum Hacken von Sicherheitssystemen genutzt werden.
Die Lage wird auch absehbar leider so bleiben, weil eben nur ein winziger Prozentsatz an IT- Absolventen und -Fachkräften in die alternde öffentliche Verwaltung nachrückt.
VdZ: Viele Systeme lassen aber gar nicht zu, dass so viele Zeichen genutzt werden…
Kalinna: Es ist tatsächlich ein Problem, dass ein einzelner Mitarbeiter nicht einfach mal schnell umprogrammieren und lösen kann. Dabei geht es um die größere „Passwort-Policy“ der jeweiligen Behörde oder Organisation – das ist ggf. eine Aufgabe für die Entscheidungsebene. Allerdings herrscht hier oft nicht der technische Sachverstand, um sich dieser und anderer Missstände bewusst zu werden. Die Lage wird auch absehbar leider so bleiben, weil eben nur ein winziger Prozentsatz an IT- Absolventen und -Fachkräften in die alternde öffentliche Verwaltung nachrückt.