Viele Nutzer kennen es: Das Passwort zum System liegt unter der Tastatur, klebt versteckt hinter dem Bildschirm oder liegt neben dem Computer – falls man es mal vergisst. Zuhause ist das zwar nicht gut, denn ein Fremder könnte Blicke erhaschen, doch wenn ein Fremder ungewollt Zugang zum Heimcomputer hat, gibt es generell bereits ein anderes Problem. Im öffentlichen Bereich sollte man diese Praktiken jedoch unterlassen, da sonst sensible Daten stark gefährdet sind, wenn Passwörter neben Computern liegen.
Passwörter neben Computern
In der Corona-Pandemie haben viele Nutzer Informationen zum Home-Office-Zugang per Post oder per E-Mail erhalten. Häufig wurde dies sicherlich zur vereinfachten Einrichtung direkt neben dem Computer bereitgelegt. So auch bei der Covid-19-Teststraße in Wien, allerdings nicht nur während der Einrichtung. Der entsprechende Nutzername und das Passwort lag direkt sichtbar für alle, die in der Teststraße waren. Zusätzlich war die Aufnahme der Tests und der entsprechenden persönlichen Daten über eine Web-App geregelt, die öffentlich im Internet erreichbar ist. Benötigt wurde nur die entsprechende Adresse. Diese war entsprechend auf dem Laptop erkennbar, so der Bericht von „derStandard“.
Generische Passwörter
Das hat allerdings noch nicht ausgereicht. Schlimm genug, dass die Passwörter öffentlich einsehbar waren, so waren sie auch noch generisch. Das bedeutet, dass diese einem bestimmten Konzept zugeordnet waren. Sie konnten also auch für außenstehende leicht gemerkt werden. Jeder Computer hatte seinen eigenen Zugang und sein eigenes Passwort und nicht der Nutzer selbst. Hatte man sich die Computer ID gemerkt und die Teststraße, in der man war, konnte leicht das entsprechende Passwort ermittelt werden.
Daten durch Passwörter neben Computern exportierbar
Zusätzlich hat die Redaktion von „derStandard“ herausgefunden, dass es möglich war entsprechende Daten der Testpatienten aus dem System leicht in ein Excel-Tabellenkalkulationsformat zu exportieren. So hätte ein Angreifer unbemerkt Daten exportieren und anschließend auf dem eigenen Rechner analysieren können. Ein langer Verbleib im System selbst, welcher wohlmöglich entdeckt hätte werden können, wäre so nicht vonnöten gewesen. Schlimmstenfalls hätten die Daten ebenfalls so leicht in das Internet übertragen werden können.
Sichere Passwörter und 2FA
Eine sinnvollere Alternative wäre zum Beispiel das Verwenden eines Passwortsafes gewesen, welcher jedem Nutzer ein entsprechendes Passwort hätte generieren können. Generell empfiehlt es sich auch, wenn sensible Daten erfasst werden, sich mittels einer 2-Faktor Authentifizierung (2FA) anzumelden. Dies kann das Empfangen einer Kurznachricht mit einem Code oder das Verwenden eines Tokens sein. Wäre 2FA auch bei generischen Passwörtern zum Einsatz gekommen, hätte sich kein Außenstehender in das System einloggen können.