Ich hab jetzt schon einige Sicherheitsempfehlungen und -system von Firmen gesehen. Bitlocker für Festplatten ist wohl Standard, auch die Authentifizierung mit Smartcard (=Badge). Um die Smartcard freizuschalten, braucht man natürlich immer ein Passwort und das muss sicher gewählt sein. Meistens gibt es für Windows und für die Smartcard zwei (theoretisch) verschiedene Passwörter. Natürlich wird gleich mal empfohlen, das Windows- und das Smartcard-Passwort einander anzugleichen. Das allein ist schon eine Sicherheitslücke, wenn auch keine grosse, solange das Passwort sicher gewählt ist, nirgends anders verwendet und vielleicht noch regelmässig geändert wird. Witzig ist dann aber der Hinweis auf dem Willkommensblatt, dass ich doch das Passwort beispielsweise auf den gleichen Wert wie die PIN meiner EC-Karte setzen solle. Ähm, hallo? Das widerspricht ja allen Sicherheitsregeln. Wenn jemand mein Windows-Passwort klaut, kann er gleich noch Geld abheben. Oder wenn jemand mich beim Geldabheben beobachtet, kann er mir hinterher gleich noch den Laptop klauen (Portemonnaie hat ja die Smartcard drin) und dann Daten aus dem Firmennetzwerk absaugen.
Als ob das nicht schon widersprüchlich genug wäre, hab ich natürlich (wegen vier neuer Hochsicherheitspassworte inklusive PIN-Briefen etc.) gleich mal das falsche Passwort eingetippt und damit meine Smartcard gesperrt. Also musste ich bei der Hotline anrufen. Wie das bei modernen Firmen so zu sein scheint, haben wir aber ausschliesslich den Laptop als Arbeitsgerät und das Telefon hängt an diesem dran und läuft (per Headset) nur dann, wenn man auch im Windows angemeldet ist. Was mache ich jetzt, wenn ich mich nicht anmelden kann? Den Servicedesk kann ich ja nicht erreichen… Na gut, es gibt ja Arbeitskollegen. Also mit dessen Headset die Hotline angerufen. Die Passwort-Rücksetzprozedur funktioniert dann sogar absolut hochsicher mit Challenge-Response, d.h. ich muss einen 16-stelligen Hexadezimal-Code per Telefon durchgeben und kriege einen 16-stelligen Hex-Code zurück, den ich eintippe und kann dann ein neues Passwort setzen. Der Hotline-Mitarbeiter hatte allerdings keine Ahnung, dass das Hexadezimal war, sonst hätte er mich zum Verständnis nicht gefragt, ob ich “D” oder “G” gesagt habe. Nachdem ich dann im NATO-Alphabet buchstabiert habe, ging es reibungslos. Immerhin nicht A wie … im August 2012.
Keine theoretische Sicherheit der Welt nützt was, wenn man die Benutzer nicht dazu zwingt, mitzumachen. Andererseits bringt’s auch nichts, wenn die Hotline den halben Tag damit verbringt, Passworte der Benutzer zurückzusetzen und sich alle beschweren.