von Sabrina Stein

Dass verschiedenste Online-Dienste und Apps mittlerweile ein fester Bestandteil des Alltags vieler Menschen sind, dürfte klar sein - das bedeutet oftmals auch, dass bei Verwendung der Nutzerkonten zahlreiche Daten über und durch den Verwender hinterlegt werden.
Ein gutes Passwort sorgt dafür, dass die entsprechenden Informationen nicht frei zugänglich im Internet veröffentlicht werden und im Idealfall nur durch den Nutzer abrufbar sind. Leider wird das Thema Passwortsicherheit noch immer gern vernachlässigt. Dieser Blogartikel soll die hohe Relevanz der Thematik verdeutlichen.

Bild eines Schlüssels an einem Band

Stellen Sie sich vor, Sie besitzen einen Schlüsselbund, an dem sich alle Schlüssel befinden, welche Sie besitzen – Autoschlüssel, der Schlüssel zu Ihrem Haus, zur Ferienwohnung, zum Garten, zum Safe, … Sie bewahren diesen Schlüsselbund immer an einem Ort auf, an dem er sicher vor Diebstahl ist.

Allerdings haben Sie die Zweitschlüssel für den Notfall bei Freunden, Familie und Nachbarn gelassen, denen Sie vertrauen. Sie können vielleicht nicht einschätzen, ob Ihre Schlüssel gut bei ihnen aufgehoben sind, gehen aber davon aus. Plötzlich berichtet Ihr Nachbar, dass in seine Wohnung eingebrochen wurde – Ihr Schlüssel befand sich nach dem Einbruch nicht mehr am Aufbewahrungsort – er wurde gestohlen. Was würden Sie tun? Vermutlich würden Sie das entsprechende Schloss sofort auswechseln, um einen Einbruch in Ihre Wohnung zu verhindern. Vermutlich würden Sie sich sogar ein besseres Sicherheitssystem zulegen als vorher – schließlich haben Sie ja nun gesehen, dass die Gefahr eines Einbruchs besteht und das „einfache Schloss“ nicht ausreicht. Dass ein Schloss in solch einem Fall ausgetauscht werden muss, ist also absolut klar.

Einmal angenommen, Sie würden über einen Zahlencode in Ihr Haus gelangen – würden Sie diesen regelmäßig ändern, wenn Sie wüssten, dass Spione in Ihrem Wohnviertel unterwegs sein könnten? - sicherlich schon. Und wenn es bisher keine Einbrüche gegeben hätte, würden Sie den Zahlencode dann nie ändern bzw. äußerst einfach gestalten, damit Sie Ihn sich besser merken können? - das wäre schon sehr riskant! Denn schließlich kann man nie vorhersehen, wann sich die Situation doch einmal ändert. Würden Sie vielleicht sogar ein und denselben Schlüssel für das Auto, den Garten und das Haus Ihrer Mutter verwenden? - Sicherlich nicht! Das wäre ungefähr genauso riskant, wie den Schlüsselbund einfach im Vorgarten liegen zu lassen.

Passwortsicherheit im Internet

Übertragen wir die Situation nun einmal ins Internet: Eigentlich sollte man mit Nutzerkonten, welche man im Internet anlegt – insbesondere wenn diese mit geschäftlichen Tätigkeiten oder Finanzen in Verbindung stehen – genauso vorsichtig umgehen wie mit den Schlüsseln und Sicherheitssystemen des eigenen Hauses, der Wohnung oder der eigenen Fahrzeuge.

Da das Sicherheitsrisiko im Bereich des Internets für viele Personen nicht unbedingt greifbar ist, haben wir den oben genannten Vergleich gewählt, um im Folgenden auf die Bedeutung von sicheren Passwörtern und regelmäßigen Passwortwechseln einzugehen.

Sie sollten also für den Bereich des Internets zum einen selbst sichere Passwörter anlegen, darauf achten, wem Sie diese „anvertrauen“ und zur Sicherheit variieren und regelmäßig erneuern.

Grundsätzlich – und auf einer logischen Ebene – ist vielen die hohe Bedeutung bekannt. Das eigentliche Problem ist wie so häufig die Umsetzung.

Wer kennt es nicht – spätestens alle viertel Jahre verlangt der geschäftliche Computer nach einem neuen Passwort. Gerade in stressigen Situationen fehlt vielen Anwendern die Geduld, sich jetzt ein sicheres Passwort zu überlegen. Und was passiert? Es wird ein „schwaches“ Passwort verwendet – also ein Passwort, welches möglichst kurz und vermutlich noch leicht zu erraten ist. Somit hat die routinemäßig durchgeführte Sicherheitsmaßnahme sehr wahrscheinlich ihren Sinn verfehlt – denn das neue Passwort ist möglicherweise schneller zu knacken als das alte. Noch riskanter wäre es, ein und dasselbe Passwort für alle Nutzerkonten zu verwenden. Das wäre ungefähr so, als wüssten Sie, dass sich Verbrecher in der Stadt aufhalten und Sie würden dennoch aus Mangel an Ressourcen alle Besitztümer mit einem Universalschlüssel sichern, den Sie hinter Ihrer Mülltonne versteckt haben.

Passwortsicherheit und die Umsetzung

Dass die oben beschriebene Situation keine Ausnahme, sondern eher die Regel ist, zeigen wissenschaftliche Untersuchungen*. Diese belegen, dass die mit der Zeit abnehmende „Kreativität“ bei der Passwort-Erstellung zu einer erhöhten Unsicherheit dieser führen.

Betrachtet man diese Erkenntnisse, liegt die Vermutung nahe, dass es sinnvoll sein könnte, die Passwörter lieber seltener zu wechseln und sich stattdessen besser ein besonders sicheres Passwort zu überlegen. Dieser Tipp wird seit einiger Zeit zum Tag des Passwortwechsels am 1. Februar gern gegeben. Den Überlegungen zufolge könnte es sinnvoll sein, das Passwort nur dann zu wechseln, wenn bekannt geworden ist, dass wieder einmal ein Passwort-Leak aufgetaucht und in den Medien verkündet worden ist. Millionen Nutzerdaten – also Kombinationen aus Login-Daten und Passwörtern kursieren in diesem Fall im Internet. Mithilfe verschiedener Online-Tools kann man sogar überprüfen, ob man selbst betroffen ist – grundsätzlich erst einmal keine schlechte Idee.

Doch diese Vorgehensweise hat einen Haken! Es wird nie eine Garantie geben, dass über all diese Fälle tatsächlich berichtet oder in irgendeiner Form kommuniziert wird – eventuell vergeht zwischen dem Datendiebstahl und dem Bekanntwerden auch eine gewisse Zeit. Stellen Sie sich vor, der Dieb hat den Schlüssel aus der Wohnung Ihres Nachbars entwendet und Sie erfahren erst Monate später davon. Er verschafft sich seitdem bereits regelmäßig Zutritt, um Sie auszuspionieren – aber erst nach vielen Monaten tauschen Sie das Schloss aus, da in der Zeitung eine Meldung über einen Einbrecher in Ihrem Wohnviertel erscheint – eine erschreckende Vorstellung.

Somit gibt es nur eine gute Lösung: Verwenden Sie sichere Passwörter UND wechseln Sie diese regelmäßig!

In Anbetracht der geschilderten Überlegungen möchten wir Ihnen nun abschließend die folgenden Tipps für die Sicherheit Ihrer Passwörter mitgeben:

Konkrete Tipps

  1. Nehmen Sie sich immer die Zeit, sich ein sicheres und komplexes Passwort zu überlegen! - denn die Zeit (und auch finanzielle Ressourcen) für den Ausgleich eines möglichen Schadens wären kein Vergleich dazu! Werden Sie bei der Passwort-Erstellung kreativ und verwenden Sie lange Passwörter, welche eine nicht nachvollziehbare Buchstaben-Zahlen-Sonderzeichen-Kombination darstellen. Hierbei ist es beispielsweise sinnvoll, Zahlen, Sonderzeichen und Buchstaben hinsichtlich ihrer Reihenfolge zu „mischen“ - also z.B. das Passwort: H&d3Hue+t3
  2. Die Anzahl der Zeichen sollte sich nach dem Verwendungszweck und der verwendeten Technologie richten. Das Passwort sollte allerdings mindestens über 8 – besser noch 12 Zeichen verfügen - denn je länger ein Passwort ist, desto schwerer haben es die Hacker und desto länger dauert es auch, dies zu knacken.
  3. Nehmen Sie regelmäßig – und auch unabhängig von in den Medien bekannt gewordenen Passwort-Leaks – einen Wechsel Ihrer Passwörter vor. Sollte ein Passwortwechsel nicht automatisch regelmäßig verlangt werden, legen Sie sich hierfür Termine im Kalender an – möglichst alle 3 Monate.
  4. Mindestens genauso wichtig: Verwenden Sie – zumindest für alle wichtigen Nutzerkonten – unterschiedliche Passwörter bzw. Login-Daten – denn für Ihr Fahrrad und Ihren Safe verwenden Sie schließlich auch nicht den selben Schlüssel ;)
  5. Unabhängig vom eigentlichen Passwort ist die wichtigste „Maßnahme“, darauf zu achten, auf welchen Seiten Sie persönliche Daten und Passwörter eingeben. Geben Sie Passwörter nur auf der Seite ein, für die Sie sie auch angelegt haben und achten Sie auf eine sichere Datenübertragung via SSL bzw. https-Protokoll, welche durch das Schloss-Symbol in der Browser-Adresszeile signalisiert wird.
  6. Und zuletzt: Bewahren Sie Ihren Schlüssel niemals neben der Mülltonne oder unter dem Fußabtreter auf ;)

Viele Grüße
Ihre Keyweb AG


* Quelle (Studien): https://arstechnica.com/information-technology/2016/08/frequent-password-changes-are-the-enemy-of-security-ftc-technologist-says/

Weitere Hinweise zu sicheren Passwörtern finden Sie beispielsweise auf der Website des Bundesamtes für Sicherheit in der Informationstechnik unter:
https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html