Ausgerechnet mir… ja, ja, ich sehe sie förmlich vor mir, Eure hämisch grinsenden Gesichter, wenn ich nun beichten muss, ich habe mich bei meinem BIOS ausgesperrt.
Ich hätte es natürlich auch einfach verschweigen können. Nie hätte es jemand erfahren und ich hätte in aller Ruhe weiter am Nimbus des Unfehlbaren feilen können. 😉
Nein, ganz im Ernst, weder bin ich unfehlbar, noch habe ich das jemals geglaubt oder bin ernsthaft bestrebt dieses Ziel zu erreichen und auch wenn ich stets danach strebe, alles möglichst korrekt zu machen und mit meiner Pingeligkeit den einen oder anderen hin und wieder zu nerven scheine, so bin auch ich nicht davor gefeit, mir mal den einen oder anderen Patzer zu erlauben. Die Frage in solchen Fällen, und nur so lernt man aus seinen Fehlern, muss, neben all dem persönlichen Ärger über den Vorfall, aber lauten; wie konnte das passieren, und was tue ich, damit das nicht wieder passiert?
Natürlich ist es mir ein wenig peinlich, dass ausgerechnet mir, der Kunden regelmäßig den sicheren Umgang mit Daten und IT lehrt ausgerechnet sowas passiert. Noch mehr ärgert es mich, dass nun nachdem es passiert ist, mir erst klar geworden ist, wie sinnlos mein Unterfangen, dem Rechner einen gewissen zusätzlichen Schutz zu geben insgesamt gewesen ist, doch dazu in einem anderen Beitrag später mehr.
Als im letzten Jahr der Akku meines Laptops getauscht werden musste, hatte ich mir überlegt, dass mein BIOS-Passwort vielleicht nicht das allerbeste sei und ich habe es daraufhin geändert. Ich sollte an dieser Stelle vielleicht noch hinzufügen, dass ich bereits einige Zeit zuvor das Passwort schon einmal geändert hatte. Der Grund hierfür war, dass mein BIOS Passwort mit rund 24 Stellen höchst komplex und damit auch sehr schwer einzugeben gewesen ist. Ich hatte das Kennwort also auf ein deutlich einfacheres Kennwort geändert, mich nun aber entschlossen dies wieder rückgängig zu machen. Zumindest zu einem Teil.
Aus Sicherheitsgründen gehe ich bei solchen Passwortänderungen, die derart systemrelevant sind, immer wie folgt vor.
-
- Ich überlege mir ein neues, sicheres Passwort oder lasse den Passwort-Manager eines erstellen.
- Ich speichere das Passwort in meinem Passwort-Manager und in meinem Passwort Backup-System. (Ich verwende sogar zwei grundsätzlich unterschiedliche Passwort Manager).
- Ich drucke zur Sicherheit das Kennwort einmal aus.
- Ich speichere meine Passwort-Manager, melde mich aus beiden Systemen erst ab und dann wieder an.
- Um ganz sicherzugehen, dass das Passwort wirklich korrekt gespeichert wurde, vergleiche ich in jedem Passwort-Manager das Kennwort mit der gedruckten Version, und zwar einzeln und getrennt voneinander.
- Erst dann ändere ich das Passwort im System. Wenn es möglich ist, kopiere ich das Passwort (beim BIOS geht sowas in der Regel nicht). Dabei gehe ich in der Regel erneut so vor, dass ich beide Passwort-Manager verwende. In der Regel verlangen die meisten Systeme eine Wiederholung des Passwortes. Verwendet man hierbei nicht das bereits aus dem ersten Passwort-Manager kopierte Passwort erneut, sondern kopiert es für die Wiederholung aus dem zweiten Passwort Manager, so hat man noch einmal eine prüfende Instanz zum Abgleich, ob beide Passwörter identisch sind. Hätte sich hier dennoch ein Fehler eingeschlichen bekäme man nun eine Warnung, dass beide Passwörter nicht identisch sind.
- Nun speichere ich das neue Passwort, melde mich ab und versuche sowohl mit dem Passwort aus dem einen, wie auch aus dem anderen System das Login. Funktionieren beide, bin ich mir sicher das richtige Passwort gespeichert zu haben (und ein entsprechendes Backup zu besitzen).
- Nun vernichte ich den gedruckten Zettel. Das neue Passwort ist einsatzbereit.
Nun darf man sich getrost die Frage stellen, wo ist bei dieser Vorgehensweise denn der konzeptionelle Fehler, der es überhaupt möglich macht, dass sowas passiert?
Die Antwort ist ebenso kurz und eindeutig wie schmerzhaft.
Nirgendwo!
Nicht das System hat einen Fehler, sondern der handelnde Mensch ist eben nicht fehlerfrei. Und auch wenn wir versuchen noch so viele Absicherungen und doppelte Böden einzubauen, es funktioniert nur, wenn sie die handelnden Personen auch daran halten.
Wie ich bereits schrieb, hatte ich in der Vergangenheit bereits eine Passwortänderung vorgenommen und wollte nun wieder zurück auf das alte längere Passwort. Dabei muss ich einen Fehler bei der Eingabe gemacht haben, bzw. mich beim Ablesen des alten Kennwortes irgendwo verhauen haben. Dabei hielt ich dann, weil ja ein altes, bekanntes Passwort werden sollte die doppelte Prüfung nicht mehr für nötig und so übersieht man dann Tippfehler oder speichert das Passwort nicht erneut, und schon ist es passiert.
Die Ursache ist also menschliches Versagen, wie es immer so schön heißt. Und es lehrt mich vor allem eines, immer wenn ein Mensch involviert ist, wird es damit die Wahrscheinlichkeit für ein Versagen geben, und immer wenn es diese Wahrscheinlichkeit gibt, egal wie gering sie sein mag, wird sie irgendwann eintreffen. Trotz also allen Regelwerks und Maßnahmen zur Risikominimierung, die man ergreift, muss man auch immer mit dem Fall rechnen, dass das Risiko eintritt. Es gilt auch dafür vorbereitet zu sein. Dadurch, dass ich auf mein Notebook noch Service habe und mich von daher an den Hersteller wenden kann, habe ich im Prinzip meine Rückversicherung, doch das Ergebnis oder besser gesagt die Konsequenz aus dem dort erlebten, bringt mich zu einem ganz anderen Schluss, was die vermeintliche Sicherheit eines BIOS-Passworts betrifft.
Zu den Folgeüberlegungen und warum ich mir das Passwort sogar hätte sparen können komme ich jedoch zu einem späteren Zeitpunkt in einem eigenen Artikel.
© 2021, DeBussy. All rights reserved.