Der spektakuläre Raubüberfall im wohl wertvollsten Museum Europas zeigt einmal mehr, wie gravierend IT-Schwachstellen sein können. Ein Bericht der französischen Tageszeitung Libération legte kürzlich Ergebnisse von Sicherheitsprüfungen offen: Demnach wurden im Louvre grundlegende Sicherheitsprozesse verletzt. So ließ sich beispielsweise mit dem simplen Kennwort „Louvre“ auf die Videoüberwachung des Museums zugreifen. Auch die Sicherheitssoftware war veraltet und mit dem Namen des Dienstleisters als Passwort geschützt. Das war natürlich ein gefundenes Fressen für die Angreifer – mit fatalen Folgen für das Museum! Der geschätzte materielle Schaden liegt bei 88 Millionen Euro, vom historischen Wert der gestohlenen Kunstwerke ganz zu schweigen.
Angreifer nicht unterschätzen!
An ein Passwort zu kommen ist dabei leichter als viele glauben. So testen Angreifer beispielsweise bei einem sogenannten Brute-Force-Angriff alle denkbaren Kombinationen. Vergleichbar ist dieses Vorgehen mit dem Probieren vieler Schlüssel, bis einer ins Schloss passt. Nicht weniger erfolgreich ist ein Angriff mit Rainbow-Tables: Hier nutzen Kriminelle vorbereitete Listen mit sogenannten Hashes, also verschlüsselten Fingerabdrücken von Passwörtern. Statt jede Kombination neu zu berechnen, vergleichen sie den Hash des Zielpassworts mit diesen Listen und können so häufig verwendete Passwörter sehr schnell identifizieren. Im Fall des Pariser Museums wäre das Passwort „Louvre“ vermutlich gleich auf der ersten Seite eines solchen Wörterbuchs zu finden gewesen. Was können wir nun aus diesem Vorfall lernen? Auch unsere Kunden, beispielsweise Banken oder Sparkassen könnten vergleichbaren Risiken ausgesetzt sein. Institutsnamen, Standorte, Bankleitzahlen oder ähnliche der Bank zuordenbare Zeichenketten für Passwörter zu nutzen verbietet sich aus diesem Grund.
Ein starkes Passwort ist ein Muss!
Für den Schutz sensibler Daten, wie etwa bei der Verschlüsselung von PDF-Dateien in der Gremienkommunikation, sollte das Passwort nicht erratbar, sondern generiert sein. Empfehlenswert ist ein 32-stelliges Passwort, das Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthält.
Tipp: Wer sich mit der Erstellung eines so komplexen Passworts schwertut, kann eine einfache Methode anwenden: Vier Sätze notieren, von jedem Wort die ersten beiden Buchstaben nehmen und anschließend Zahlen und Sonderzeichen ergänzen. So entsteht ein sicheres und zugleich merkbares Passwort.
Sicherheit und Komfort passen gut zusammen
Bei unserer Anwendung dp:board entfällt mit der Nutzung der iPad-App oder der Anwendung für Windows-Endgeräte die händische Eingabe dieses wichtigen Schlüssels. Deswegen empfehlen wir den Institutionen, die seitens der Aufsichts-, Verwaltungs- oder Stadträte noch über ihren Browser arbeiten, unbedingt auf die iPad- oder Windows-Anwendung zu wechseln.
Im Zeichen der Sicherheit und des Komforts passiert hier im Grunde der Wechsel vom Trabant zum Mercedes: Denn mit einem modernen Endgerät für den Zugang zu vertraulichen Informationen entfällt die Browsernutzung durch die Räte. Sie entgehen damit auch gleich einer weiteren erheblichen Gefahr: Sind die Räte beispielsweise im Urlaub oder auf Geschäftsreise und haben ihre eigenen Notebooks nicht dabei, könnten sie sich unvorsichtigerweise auf fremden Rechnern (z. B. Hotel-PCs) in den Datenraum von dp:board einloggen. Diese fremden Rechner könnten jedoch mit sogenannten Keyloggern ausgestattet sein, die jeden Tastaturdruck in einer Textdatei mitloggen. Das darf auf keinen Fall passieren! Damit muss den Räten auch klar sein, dass sie sich niemals auf fremden Rechnern in ihre eigenen Systeme wie beispielsweise E-Mail, soziale Medien, Bank, Online-Shops einloggen dürfen. Dort ist die Wahrscheinlichkeit hoch, dass ihre Zugangsdaten in fremde Hände fallen. Es gilt: „Fremde Rechner sind wie fremde Menschen – vertraue Ihnen keinesfalls, bis sie sich deines Vertrauens als würdig erweisen!“
Fazit: Vertrauen ist gut, Sicherheit ist besser
Der Louvre-Raub zeigt: Starke Passwörter, aktuelle Software und konsequente Sicherheitsprozesse bilden die Grundlage für den Schutz sensibler Informationen. Mit dp:board lässt sich diese Verantwortung in die digitale Praxis übertragen. Vertrauliche Daten bleiben geschützt, Gremienarbeit wird effizienter, und die Zusammenarbeit erhält eine stabile, sichere Basis. Digitale Sicherheit ist unser aller Pflicht – umso wichtiger ist es, sorgsam mit Passwörtern umzugehen.
