Alle Anwender mit Online-Konten für Webdienste und -anwendungen müssen immer wieder Antworten für Sicherheitsfragen hinterlegen. Für die Einrichtung neuer Bankkonten, Social-Media-Plattformen oder kostenpflichtiger Online-Dienste dienen diese Angaben zur eindeutigen Personenidentifizierung. Auf diese Weise lässt sich unsere Identität regelmäßig überprüfen oder bei Bedarf der Zugang wiederherstellen. Vergessen wir das persönliche Passwort, können wir immer noch über die gespeicherten Geheimfragen auf unseren Account zugreifen und ihn anschließend neu einrichten.
Beispiele für typische Sicherheitsfragen
- In welcher Stadt wurden Sie geboren?
- Wie heißt Ihr Lieblingshaustier?
- Wie lautet der Mädchenname Ihrer Mutter?
- Welchen Schulabschluss haben Sie?
- Welche Grundschule haben Sie besucht?
- Was war Ihr erstes Auto?
- Was war Ihr Lieblingsessen als Kind?
- Wo haben Sie Ihren Ehepartner kennengelernt?
Warum sind Sicherheitsfragen ein Problem?
Es gibt aber auch ein Problem mit solchen Sicherheitsfragen (und unseren Antworten): Sie können zu einer Belastung werden, wenn die Angaben beispielsweise durch eine Datenschutzverletzung online abgegriffen oder über Plattformen, wie soziale Medien, öffentlich bekannt werden. Das liegt daran, dass viele Websites identische Sicherheitsfragen verwenden. Die vermeintlichen Geheimfragen unterscheiden sich von Website zu Website zumeist nur wenig, so dass sich die Antworten der Benutzer zwangsläufig wiederholen. Die Standardisierung der gut gemeinten Sicherheitsfragen schafft damit ein erhebliches und unnötiges Risiko.
Bedrohungen durch häufige Sicherheitsfragen sind vergleichbar mit der Wiederverwendung von Passwörtern. Sicherheitsexperten und Endanwender sollten darauf achten, dass sie ein Kennwort niemals kontenübergreifend einsetzen. Falls ein Konto kompromittiert wird und das Passwort nicht mehr geheim ist, droht ansonsten die Gefahr, dass die mit Ihren Anmeldedaten oder Ihrer Identität verknüpften Angaben auch für zukünftige Angriffe auf andere Konten mit identischen Benutzernamen verwendet werden. In Dutzenden von Konten wiederverwendete Passwörter führen dazu, dass Angreifer mit geraubten Daten weitere Konten übernehmen und letztendlich Ihre Identität kompromittieren können.
Bessere Sicherheitsabfragen
In der Regel haben wir die Kontrolle über die von uns gewählten Passwörter, aber die Sicherheitsfragen sind von den Websites und Online-Diensten vorgegeben und lassen sich individuell nicht ändern. Allerdings können wir diese Fragen auf kreative Weise beantworten und so unsere Konten besser absichern, um Gefahren durch kompromittierte Konten zu minimieren. Hier sind einige Tipps, wie Sie Sicherheitsfragen grundsätzlich stärken können:
1. Unterschiedliche Sicherheitsfragen auswählen: Soweit möglich, wählen Sie sinnvollerweise nicht dieselben Sicherheitsfragen für mehrere Plattformen. Ihre Auswahl der Fragen sollte für jede Website einzigartig sein, falls Sie die Fragen auswählen können. Dieser Schritt trägt dazu bei, dass die negativen Auswirkungen eines kompromittierten Accounts von vorneherein begrenzt bleiben, wenn die Sicherheitsfrage oder -antwort tatsächlich einmal durchsickern sollte. Für Personen des öffentlichen Lebens ist diese Maßnahme besonders wichtig, da ihre Lebensgeschichte allgemein bekannt und dokumentiert ist. Sicherlich kennen Sie den Geburtsort Ihres Lieblingsmusikers oder -schauspielers…
2. Sonderzeichen in den Antworten verwenden: Beantworten Sie Sicherheitsfragen nicht in Ihrer Muttersprache. Genau das wird zwar erwartet, aber das ist aus Sicherheitssicht ein Fehler. Behandeln Sie Ihre Antworten wie Passwörter und erhöhen Sie die Komplexität Ihrer Antworten durch Einfügen zusätzlicher Sonderzeichen. Angenommen der Geburtsort wäre Little Rock, Arkansas. Die Antwort auf die Sicherheitsfrage, in welcher Stadt man geboren wurde, wäre also „Little Rock“. Eine höhere Passwortkomplexität erreichen Sie, indem Sie die geforderte Antwort als „L!ttl3 r0ck“ einpflegen. Die Antwort ist damit schwieriger zu erraten, schwerer durch automatisierte Tools zu knacken und bietet eine einfache Verschleierungsebene, um Ihre Antworten auf Sicherheitsfragen zu schützen. Falls Sie jemals gefragt werden, können Sie ganz ehrlich zugeben, dass der Mädchenname Ihrer Mutter tatsächlich Zahlen und Symbole enthält… oder etwa nicht? Sie verstehen, was gemeint ist — etwas Verschleierung erhöht den Schutz Ihrer Antworten.
3. Fiktive Informationen verwenden: In vielen Fällen bietet es sich an, fiktive (und damit einzigartige) Informationen zu den Fragen anzugeben. Sie können einen persönlichen Passwortmanager verwenden, um die Antwortfelder mit kennwortähnlichen Antworten zu füllen. Speichern Sie nächstes Mal jede Frage und Antwort in Ihrem Passwortmanager. Für eine E-Commerce-Website können Sie beispielsweise den Eintrag „ecommercesite.com/question_birthcity“ als Konto erstellen und dann ein zufälliges, empfohlenes Kennwort als Sicherheitsantwort wählen. Diese Vorgehensweise bietet den erwünschten Speicherschutz, den Sie bei Passwortproblemen benötigen, wobei Ihre Antworten auf gleiche Sicherheitsfragen unterschiedlicher Websites und Anwendungen zufällig und einzigartig bleiben.
Deshalb ist der Verzicht auf typische Sicherheitsfragen sinnvoll
Sicherheitsfragen wurden mit der Zielsetzung entwickelt, die Validierung der für den Zugriff auf Anwendungen und Websites benötigten Identität zu stärken, insbesondere bei Passwortproblemen oder anderen Fehlern. Die wiederholte Verwendung identischer Passwörter hat genau wie die wiederholt gleichen Sicherheitsfragen und Antworten auf mehreren Plattformen dazu geführt, dass es Bedrohungsakteuren leichter fällt, viele Konten mit einer dechiffrierten Identität zu kompromittieren. Für das Zurücksetzen eines Kennworts mittels hinterlegter Sicherheitsfrage sollte es eigentlich Standard sein, dass ein Hacker dafür noch eine sekundäre Anwendung wie E-Mail oder SMS kompromittieren muss. Leider verzichten einige Websites und Anwendungen auf diese Sicherheitsvorkehrung, so dass sie schon mit dem bloßen Wissen über die verknüpfte Antwort das betreffende Nutzerkonto kompromittieren können.
Für IT- und Sicherheitsexperten, die an strengeren und gründlicheren Richtlinien für unterschiedlichste Identitäten (Unternehmen und Personen) und besseren Strategien zu ihrem Schutz interessiert sind, ist die folgende Lektüre empfehlenswert: Identity Attack Vectors: Implementing an Effective Identity and Access Management Solution. Das Buch haben Darran Rolls, ehemaliger CTO bei SailPoint, und ich zusammen geschrieben. Außerdem können Sie ein gemeinsames On-Demand-Webinar abrufen: Deconstructing Identity as a Cyberattack Vector.

Morey J. Haber, Chief Technology Officer, BeyondTrust
With more than 20 years of IT industry experience and author of Privileged Attack Vectors, Mr. Haber joined BeyondTrust in 2012 as a part of the eEye Digital Security acquisition. He currently oversees BeyondTrust technology for both vulnerability and privileged access management solutions. In 2004, Mr. Haber joined eEye as the Director of Security Engineering and was responsible for strategic business discussions and vulnerability management architectures in Fortune 500 clients. Prior to eEye, he was a Development Manager for Computer Associates, Inc. (CA), responsible for new product beta cycles and named customer accounts. Mr. Haber began his career as a Reliability and Maintainability Engineer for a government contractor building flight and training simulators. He earned a Bachelors of Science in Electrical Engineering from the State University of New York at Stony Brook.