#Ghost Search #Google AdSense #Cookie Hinweis
Get the shit out of IT

Sicherheitsfragen: Warum „Bello“ keine gute Antwort ist

abc-der-IT 17. Feb. 2025

Problematik: Sicherheitsfragen als Achillesferse der IT-Sicherheit

Sicherheitsfragen wie „Wie lautet der Mädchenname Ihrer Mutter?“ oder „Wie hieß Ihr erstes Haustier?“ gelten seit Jahren als kritische Schwachstelle. Der Grund: Viele Antworten sind öffentlich zugänglich oder leicht zu erraten. Beispielsweise können Angreifer den Mädchennamen der Mutter über Social-Media-Profile, genealogische Datenbanken oder sogar Hochzeitsankündigungen ermitteln . Laut einer Studie der Universität Princeton können 17 % solcher Fragen von Fremden korrekt beantwortet werden – bei Bekannten steigt die Quote auf 28 % .

Fallbeispiel: Sarah Palins E-Mail-Account wurde 2008 gehackt, indem der Angreifer öffentlich verfügbare Informationen (Geburtsdatum, Wohnorte) mit Sicherheitsfragen kombinierte. Innerhalb von 45 Minuten war der Zugriff gesichert .

Risiken: Warum einfache Antworten gefährlich sind

1. Social Engineering und öffentliche Informationen

Cyberkriminelle nutzen Plattformen wie Facebook, LinkedIn oder Quiz-Apps, um Antworten auf Sicherheitsfragen zu sammeln. Ein Post wie „Erinnerst du dich an dein erstes Haustier?“ mit dem Kommentar „Mein Hund Bello war der Beste!“ liefert Angreifern direkt den Schlüssel zum Konto . Auch scheinbar harmlose Details wie der Name des Lieblingslehrers oder der Geburtsort sind oft in Profilen oder öffentlichen Foren zu finden .

2. Vorhersehbare Antworten

Antworten wie „Hund“, „Blau“ oder „Pizza“ gehören zu den häufigsten und unsichersten Wahlmöglichkeiten:

  • Statistische Schwächen: „Hund“ ist das häufigste Haustier in Deutschland – über 34 % der Haushalte besitzen einen .
  • Begrenzte Auswahl: Bei Fragen zur Lieblingsfarbe gibt es nur ~20 gängige Optionen, die sich per Brute-Force-Angriff leicht testen lassen .

Alternativen: Wie man Sicherheitsfragen sicher gestaltet

1. Kryptische Antworten statt realer Wörter

Anstelle echter Antworten sollten zufällige Zeichenfolgen wie „X7$gH2“ verwendet werden. Diese lassen sich nicht erraten und bieten ähnliche Sicherheit wie starke Passwörter. Tools wie Keeper Password Manager speichern solche Antworten verschlüsselt und automatisieren die Eingabe .

Beispiel:

  • Frage: „Wie hieß Ihr erstes Haustier?“
  • Antwort: „9f#qL2!p“ (gespeichert im Passwortmanager).

2. Dynamische Fragen

Zeit- oder kontextbasierte Abfragen reduzieren das Risiko:

  • Versionierte Fragen: „Wie hieß Ihr erstes Haustier im Jahr 2010?“
  • Situative Fragen: „Welches Buch lasen Sie im Urlaub 2023?“
    Diese Varianten erschweren Angreifern die Recherche, da die Antworten nicht dauerhaft gültig sind .

Technische Lösungen: Vom Passwortmanager zur Biometrie

1. Passwortmanager als zentrale Lösung

Dienste wie 1Password oder Bitwarden verwalten nicht nur Passwörter, sondern auch Sicherheitsfragen. Durch AES-256-Verschlüsselung bleiben Antworten vor Diebstahl geschützt. Zudem generieren sie pseudozufällige Antworten, die keine Rückschlüsse auf reale Daten zulassen .

2. Biometrische Fallbacks

Unternehmen wie Apple oder Google ersetzen Sicherheitsfragen zunehmend durch Fingerabdruck-Scans oder Gesichtserkennung. Diese Methoden sind phishing-resistent und hängen nicht von memorierbaren Informationen ab .

Unternehmensempfehlungen: Abschaffung statischer Systeme

1. Umstieg auf OTP und 2FA

Statische Sicherheitsfragen sollten durch zeitbasierte Einmalpasswörter (TOTP) oder Zwei-Faktor-Authentifizierung (2FA) ersetzt werden. Tools wie Google Authenticator oder YubiKey bieten höhere Sicherheit, da Codes nur kurzzeitig gültig sind .

2. Schulungen und Richtlinien

  • Sensibilisierung: Trainings zu Social Engineering, z. B. simulierte Phishing-Angriffe, um Mitarbeiter für Risiken zu sensibilisieren .
  • Technische Richtlinien:
    • Verbot leicht recherchierbarer Fragen (z. B. Geburtsort).
    • Erzwingung von Antworten mit Mindestlänge (z. B. 12 Zeichen) .

3. Alternative Authentifizierungsmethoden

  • Passkeys: Kryptografische Schlüsselpaare, die keine Passwörter oder Sicherheitsfragen erfordern .
  • Hardware-Tokens: Physische Geräte wie FIDO2-Security-Keys, die physischen Besitz als Authentifizierung nutzen .

Die Zukunft liegt in passwortloser Sicherheit

Sicherheitsfragen sind ein Relikt vergangener IT-Sicherheitsstrategien. Während pseudozufällige Antworten und Passwortmanager kurzfristig Abhilfe schaffen, setzt die Zukunft auf biometrische Verfahren und kryptografische Schlüssel. Unternehmen wie Microsoft und Amazon setzen bereits auf passwortlose Systeme – ein Modell, das auch für KMU skalierbar ist .

Durch die Kombination aus technologischen Lösungen und kontinuierlicher Mitarbeitersensibilisierung lässt sich die „Schwachstelle Mensch“ effektiv entschärfen – ohne Kompromisse bei Komfort oder Sicherheit einzugehen.

Tags

Jan Kunkel

Seit 2021 als ausgebildeter Systemintegrator tätig und auch neben dem Beruf viel in der digitalen Welt unterwegs.

Für sie empfohlen