7.1 Aufheben des Blattschutzes per VBA
Wie sich Zellen sperren lassen und wie sich ein Blatt dann schützen lässt, haben Sie in den vorstehenden Kapiteln erfahren. Dieser Schutz ist aber alles andere als sicher. Auf entsprechenden Internet-Seiten erfahren Sie, wie sich dieser Schutz mit Hilfe eine kleinen VBA-Makros wieder aufheben lässt, egal wie lang und wie gut Ihr Kennwort ist. Dies ist der folgenden Tatsache geschuldet.
Jedes Zeichen eines Kennworts besteht aus einem Byte, also aus 8 Bit. Um zu verschlüsseln, wird jeder Binärwert im Kennwort um eine Stelle nach links verschoben. Dies entspricht einer Multiplikation mit 2. Dadurch verlängert sich die Binärzahl um eine Stelle. Das zweite Zeichen wird um 4 Bit nach links verschoben, die Binärzahl wächst auf 10 Stellen. Das geht so weiter, bis die maximale Länge von 16 Bit erreicht ist. Dies bedeutet, es gibt 65.536 Möglichkeiten, ein Kennwort zu speichern. Ein für das eingegebene Kennwort erzeugter Hash-Wert ist auf Grund der zur Verfügung stehenden Länge also nicht eindeutig und kann mit einem VBA-Makro mit 32767 Durchläufen ermittelt und der Schutz aufgehoben werden.
7.2 Blattgeschützte Mappen mit Open Office Calc öffnen
Noch einfacher geht es, wenn Sie eine mit Excel 2007/2010/2013-Mappe mit Open Office Calc öffnen. Hier wird der Blattschutz sofort entfernt und nicht einmal mehr, wie in früheren Versionen (2003) angezeigt.
7.3 Erlaubt oder verboten?
Sofern Sie diese beiden Möglichkeiten bei eigenen Dateien anwenden, spricht nichts dagegen. Handelt es sich aber um Daten eines Dritten, zu denen Sie sich widerrechtlich Zugang verschaffen, bekommen Sie es mit dem § 202a StGB zu tun und machen sich strafbar.
Übrigens macht Microsoft zu diesem Thema sinngemäß die Anmerkung, dass diese Schutzmethoden nichts mit der Datensicherheit zu tun haben, sondern nur dazu dienen, unbeabsichtigte Änderungen an Zellen durch den Nutzer zu verhindern.
7.4 Öffnen von lesegeschützten Mappen
Um eine lesegeschützte Mappe, die mit einem Kennwort bewehrt ist, öffnen zu können, bedarf es größerer Anstrengungen. Allerdings ist dies ebenfalls ohne große Probleme möglich. Hierzu gibt es im Web entsprechende Programme, die für frühere Excel-Versionen meist kostenlos waren.
Leider (erfreulicher Weide) werden viele Tools zum Knacken von Excel Passwörtern aus Rechtsgründen nicht mehr angeboten. Bei den neuen Office-Versionen 2007, 2010 und 2013 sind die Kennwörter zudem sehr gut verschlüsselt. Dennoch gibt es genügend Programme, mit den sich ein vergessenes Kennwort umgehen lässt. Auch hier gilt selbst verständlich das in Kapitel Erlaubt oder verboten? gesagte.
7.5 Hinweise zu einem sichereren Kennwort
Folgende Dinge sollten Sie bei einer Kennwortvergabe vermeiden:
- Verwenden Sie keine Begriffe aus Wörterbüchern
- Verwenden Sie keine Namen oder Namensfragmente wie Pete23.
- Unsicher sind auch Geburtstage oder Jahreszahlen.
- Verwenden Sie keine Kennwörter, die kürzer sind als 8 Zeichen.
- Ihr Kennwort sollte aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen.
- Sie sollten Ihr Kennwort regelmäßig in nicht zu langen Abständen ändern.
- Verwenden Sie unterschiedliche Kennwörter für unterschiedliche Anwendungen.
7.6 Unterschiedliche Ansätze, mit denen sich ein Kennwort knacken lässt
Schwacher Algorithmus:
Die Verschlüsselung selbst ist schwach, deswegen gibt es ein mathematisches Verfahren, das Kennwort zu ermitteln beziehungsweise das Dokument zu entschlüsseln (ältere Office-Dokumente mit RC4).
Fehlerhafte Implementierung:
Das Verfahren ist derzeit zwar sicher, aber eine real programmierte Komponente hat Schwächen, beispielsweise der Zufallszahlengenerator.
Seitenkanäle:
Oft kommt der Angreifer auf Umwegen an den Code, indem er beispielsweise die Spannung am Prozessor misst und daran erkennt, was dieser gerade ausrechnet. Als Seitenkanal könnte man auch bezeichnen, Linux im Single-User-Mode zu booten.
Sniffen:
Mit Tools wie Wireshark lassen sich Login-Daten aus dem Netzwerkverkehr belauschen.
Social Engineering:
Professionelle Angreifer versuchen oft menschliche Schwächen im direkten Kontakt auszunutzen: ‚Hier ist Meier von der EDV. Geben Sie mir mal schnell Ihr Serverpasswort.
Passwort neu setzen:
Manchmal ist es nicht möglich, das blockierende Passwort herauszubekommen, aber der Cracker setzt einfach ein neues (alle Windows-Versionen)
Schwachstelle Passwörter:
Das komplette Verfahren ist immer nur so stark, wie das schwächste Glied. Wählt der Anwender hansi7, so nutzt ihm das sicherste AES nichts.
Brute Force:
Wenn alles nichts hilft, muss der Hacker rohe Gewalt anwenden, indem er alle möglichen Passwörter durchprobiert. Bei schwachen Kennwörtern (s. o.) ist das durchaus erfolgreich.