Bundesamt für Sicherheit in der Informationstechnik

M 2.313 Sichere Anmeldung bei Internet-Diensten

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT

Verantwortlich für Umsetzung: Benutzer

Bei vielen Internet-Diensten müssen Benutzer sich anmelden, um diese nutzen zu können. Dazu ist in der Regel mindestens die Angabe eines Benutzernamens und eines Passwortes erforderlich, häufig werden aber auch mehr Informationen erfragt, wie z. B. Vor- und Familienname, Arbeitgeber, E-Mail-Adresse, etc. Werden Internet-Dienste für dienstliche Zwecke genutzt, sollten die Regelungen der Institution zur Internet-Nutzung beachtet werden, in der unter anderem beschrieben sein sollte, welche Angaben bei der Registrierung und Nutzung der Dienste gemacht werden dürfen (siehe dazu M 2.458 Richtlinie für die Internet-Nutzung ).

Jeder Benutzer sollte sich genau überlegen, welche Angaben hier gemacht werden, da dies zum Beispiel unerwünschte Werbeaktionen auslösen kann. Um dies zu vermeiden, sollten möglichst wenig detaillierte Informationen weitergegeben und die Datenschutz-Hinweise genau gelesen werden. Die Benutzer sollten bei jeder Angabe personenbezogener Daten überlegen, inwieweit sie diese wirklich an den Dienstleister weitergeben möchten und welcher weiteren Verwendung sie dabei zustimmen. Falls eine funktionierende E-Mail-Adresse benötigt wird, aber die Weitergabe der dienstlichen oder privaten E-Mail-Adresse als Absenderadresse nicht erwünscht ist, kann hierbei auf Wegwerf-E-Mail-Adressen zurückgegriffen werden, die über kostenfreie Internet-Dienste erzeugt werden können.

Falls bestimmte Internet-Dienste regelmäßig beruflich genutzt werden, sollten von der Institution möglichst Vorgaben für die Mitarbeiter erarbeitet werden, wie die einzelnen Felder beim Anmeldevorgang auszufüllen sind.

Das Passwort für den jeweiligen Internet-Dienst sollte angemessen sorgfältig ausgesucht werden (siehe dazu auch M 2.11 Regelung des Passwortgebrauchs ). Vor allem sollten solche Passwörter nicht mit einem Passwort übereinstimmen, das wichtige Daten schützen soll, also z. B. den Büro-Rechner.

Falls bei der Anmeldung personenbezogene Daten angegeben werden müssen, so sollte dies möglichst nur SSL-gesichert erfolgen (siehe auch M 5.66 Clientseitige Verwendung von SSL/TLS ). Wenn die Nutzung eines Angebots die Angabe sensitiver Daten über eine ungesicherte Verbindung erfordert, so sollte sorgfältig abgewogen werden, ob dieses Angebot wirklich genutzt werden soll.

Viele Internet-Dienste bieten eine Recovery-Funktion für Passwörter an, also eine Rettungsmöglichkeit, wenn ein Benutzer sein Passwort vergisst. Hierfür müssen im Vorfeld oft einige Fragen beantwortet werden. Die Antworten werden vom Dienstleister gespeichert und der Benutzer wird danach gefragt, wenn er sein eigentliches Passwort vergessen hat. Die Fragen sind häufig vorgefertigt, oft wird z. B. nach dem Namen der Mutter oder des Haustieres, der Lieblingsfarbe oder des Geburtsortes gefragt. Leider bieten nur wenige Dienstleister die Möglichkeit, die Frage selbst vorzugeben.

Hinweis: Bei vielen Angriffen über Social Engineering oder Phishing wird nicht plump nach Passwörtern gefragt, sondern anscheinend unverfänglich nach dem Haustier oder der Lieblingsfarbe. Daher ist es sinnvoll, bei Recovery-Funktionen keine wahrheitsgemäßen Antworten zu geben, sondern solche, auf die kein Angreifer kommt, die man sich aber selbst merken kann.

Prüffragen:

  • Ist sichergestellt, dass die bei Internet-Diensten genutzten Passwörter von anderen Passwörtern verschieden sind?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK