Nach zahlreichen Angriffen auf Computernetze durch Hacker:innen oder Erpresser:innen sind in der Presse regelmäßig Artikel zu lesen, die darüber aufklären, wie Nutzer*innen sich online schützen können. Dabei hat jeder einzelne Artikel seine Berechtigung, denn eine große Zahl von Nutzer*innen macht sich nach wie vor nur wenige Gedanken über die eigene Datensicherheit. Grundlegend für sicheres Surfen ist in vielen Fällen ein sicheres Passwort. Doch schon daran scheitert es bei den meisten Internetnutzer:innen. Laut aktuellen Zahlen des Hasso-Plattner-Instituts werden täglich ca. 1,3 Millionen Accounts geleakt, also gehackt. Ein sicher gewähltes Passwort kann Sie davor schützen, ein Teil dieser Statistik zu werden.
Ein sicheres Kennwort schützt vor Angriffen
Hacker:innen-Attacken und die Meldungen darüber sind mittlerweile nicht nur so häufig wie Nachrichten über Naturkatastrophen und andere Unglücksfälle, sondern müssen aufgrund ihrer oft zu Beginn nicht abzusehenden Reichweite selbst als Katastrophen angesehen werden. Ein Beispiel aus der jüngeren Vergangenheit stellt die Ransomware WannaCry bzw. Wcrypt dar, mit dem fast eine Viertel Million Rechner in über 150 Länder befallen wurde – und wird. Darunter befanden sich auch die PCs von Krankenhäusern, großen Unternehmen (u. a. Deutsche Bahn) und Privatpersonen. Andere Angriffe zielen auf Kreditkarten-Daten ab: So wurden kürzlich tausende Kreditkarten-Daten, u.a. der Commerzbank, gehackt.
Um sich vor derartigen Angriffen bzw. vor Malware im Allgemeinen (Viren, Trojaner, Würmer, Spyware etc.) zu schützen, gibt es verschiedene Ansätze, wie etwa die erhöhte Vorsicht bei Dateidownloads aus dem Internet oder bei dem Öffnen von E-Mail-Anhängen von unbekannten Absender:innen. Eine weitere wichtige Maßnahme, die zudem von jedem / jeder Internetnutzer:in ergriffen werden kann und soll, ist eine sorgfältige Wahl aller Passwörter – nehmen Sie daher unbedingt die Sicherheit Ihrer Passwörter aktiv in Angriff!
Welche Anforderungen muss ein sicheres Passwort erfüllen?
Die Liste der am häufigsten verwendeten Passwörter sollte Ihnen beim Durchlesen eigentlich direkt Magenschmerzen bereiten. Nein,"123456789"oder "111111" sind ebenso wenig unknackbare Passwörter wie "VornameNachname"oder "Passwort123". Diese einfachen Zeichenfolgen können Sie sich zwar leicht merken, aber Hacker:innen können diese ebenso leicht durchschauen und knacken: Hacker:innen haben die Möglichkeit, komplett automatisch sowohl alle gängigen Zeichenfolgen wie auch bereits im Internet veröffentlichte Passwörter abzufragen, um so Accounts zu leaken. Auch die automatisierte Abfrage kompletter Wörterbücher ist so ohne weiteres möglich. Ebenso sollten Sie beim Erstellen Ihres Kennwortes darauf verzichten, personenbezogene Daten zu verwenden: Namen, Geburtsdaten oder Handynummern. Diese sind nicht nur Ihnen, sondern auch Ihrem Umfeld bekannt. Verabschieden Sie sich also von einer etwaigen Passwort-Bequemlichkeit und verwenden Sie sichere Passwörter – auch wenn das einiger Anstrengung und einer konsequenten Umsetzung bedarf.
Unsere Tipps für ein sicheres Passwort
Angelehnt an die Passwort-Richtlinien vom Bundesamt für Sicherheit und Informationstechnik (BSI) können wir Ihnen folgende Passort-Empfehlungen mit auf den Weg geben:
Passwort-Länge: Ihr Passwort sollte aus mindestens acht bis zwölf Zeichen bestehen, wenn Sie dabei drei Zeichenarten verwenden (z.B. Sonderzeichen, Buchstaben und Zahlen). Bei besonders sensiblen Bereichen, wie beispielswiese beim Online-Banking oder bei einem Master-Passwort, sollten es mit bis zu 25 Zeichen deutlich mehr sein.
Passwort-Komplexität: Erhöhen Sie die Passwort-Komplexität durch unterschiedliche Zeichenfolgen, wie Sonderzeichen, Groß- und Kleinbuchstaben, Leezeichen und Zahlen. Allerdings sollten Sie bei Umlauten aufpassen – bei Reisen im Ausland kann die Eingabe eines solchen Passwortes aufgrund der landestypischen Tastatur so zum (nahezu) unlösbare Problem werden.
Persönlicher Passwort-Bezug: Ein sicheres Passwort sollte am besten keinen Sinn ergeben oder keinen Bezug zu Ihrer Person haben – wie bereits erwähnt können Hacker:innen Wörterbücher vollautomatisiert abfragen und Ihr Umfeld hat Einblick in Ihre Vorlieben. Der Name Ihres Kindes oder Ihres Haustieres sind und bleiben somit unsichere Passwörter.
Passwortmethoden kombinieren: In vielen Online-Bereichen ist dies ohnehin bereits der Fall, aber wenn Sie die Möglichkeit haben, dann setzen Sie auf eine Zwei-Faktor-Authentisierung. Dies kann beispielsweise die Eingabe eines Kennwortes und dessen Bestätigung per SMS-TAN sein.
Einzigartige Passwörter: Ein sicheres Passwort anzulegen, heißt auch: Vergeben Sie jeden Code nur einmal. Ihr favorisierter Online-Händler, Ihr E-Mail-Postfach und alle anderen geschützten Seiten sollten jeweils ein individuelles Passwort erhalten. Das ist zwar nicht ohne einen bestimmten Aufwand zu erreichen, erhöht aber Ihren persönlichen Schutz maßgeblich. Der Name des verwendeten Online-Tools mit angehängter Ziffer, z.B. Dropbox1 ist im Übrigen auch kein empfehlenswertes Passwort-System.
Tipp: Beliebt ist die Methode zur Erstellung eines sicheren Passwortes, bei der Sie einen willkürlichen, aber eingängigen Satz bilden, sich von jedem Wort die beiden Anfangsbuchstaben merken und zusätzlich noch Buchstaben durch Zahlen ersetzen („i“ sieht in unserem Beispiel aus wie „1“ aus und „e/E“ wie „3“). Variieren Sie dabei auch zwischen Groß- und Kleinschreibung (groß bleibt groß, klein bleibt klein). So wird aus dem Satz „Goethe isst gerne warmes Erdbeereis“ das Passwort „Go1sgewa3r“.
Wie häufig sollten Passwörter geändert werden?
Noch bis vor kurzem lautete die Antwort auf diese Frage: So oft wie möglich. So einfach ist die Antwort allerdings nicht. In Unternehmen, bei denen das Passwort alle 30 Tage geändert werden musste, beobachtete man in der Praxis eine abnehmende Passwort-Qualität. Es zeigte sich, dass bei dieser häufigen, erzwungenen Änderungsfrequenz Arbeitnehmer:innen oft ein „Standard-Passwort“ nur geringfügig abändern, um es sich noch gut merken zu können. So wurde aus „Sommer2016_1“ „Sommer2016_2“ und später „Sommer2016_3“.
Expert:innen für IT-Sicherheit sowie die BSI Passwortrichtlinie raten User:innen deshalb im Allgemeinen dazu, Passwörter ca. drei bis sechs Monate zu ändern. Sie sollten jedoch aufmerksam bleiben und situativ reagieren. Kommt es zu Cyberangriffen, die beispielsweise eine Unternehmensplattform betreffen, bei der Sie registriert sind oder es handelt sich um ein soziales Netzwerk, das angegriffen wurde, sollten Sie sofort reagieren und unverzüglich Ihr Passwort ändern – auch, wenn Sie persönlich nicht von der Attacke betroffen sind. Gehackte Passwörter werden nämlich oftmals im Netz veröffentlicht oder zum Kauf angeboten. Je länger solche geraubten und veröffentlichten Zugangsdaten nicht geändert werden, desto mehr Unbefugte können sie anschließend für ihre Zwecke nutzen.
Sollten Sie sich unsicher sein, ob ein Zugang von Ihnen gehackt wurde, können Sie dies bei verschiedenen Portalen überprüfen lassen: Der deutschsprachige HPI Identity-Leaker ist ein hilfreiches Beispiel für ein solches Portal.
Wie Sie am besten Ihre Passwörter verwalten
Wer viele passwortgeschützte Webzugänge verwalten muss und die Regel beherzigt, für jeden einzelnen ein komplexes Passwort zu verwenden, steht schnell vor der Schwierigkeit, sich viele unterschiedliche Codes zu merken. Auf einen Zettel schreiben und unter dem Notebook oder der Tastatur zu verstecken, ist keine gute Lösung. Greifen Sie am besten auf einen seriösen Passwort Manager zurück, der mit einer sicheren Verschlüsselung arbeitet. Eine weitere gute Möglichkeit bietet ein Passwort-Generator. Mit einer solchen Software können Sie sichere Passwörter erzeugen und abspeichern. Aber auch hier ist Vorsicht geboten, solange es sich um einen online Passwortgenerator handelt. Sie wissen nie genau, ob ein Anbieter nicht Ihre Codes abgreift – so erstellte Passwörter also besser ebenfalls noch einmal individualisieren.
Seit einigen Jahre auf dem Markt sind außerdem Anbieter wie netID, die mit Single Sign-on (SSO), einer zentrale Nutzer:innen-Authentifizierung, arbeiten. Dies könnte vor allem für Passwort-Skeptiker:innen eine alternative Lösung darstellen.
Autorin: Kathrin Strauß
Artikel veröffentlicht am: 20.07.2020