Mit Zähneknirschen haben machtlose Web-User die Meldung im Dezember 2017 aufgenommen, dass rund 70’000 Zugangsdaten zu Online-Diensten entwendet wurden. In diesem Fall bestanden die gestohlenen Daten meistens aus einem Benutzernamen, der mit der Mail-Adresse identisch war, sowie einem Passwort. Kürzlich wurden hunderte Deutsche Politiker und Prominente Ziel eines Häckerangriffs. Handynummern, Kreditkarteninfos und private Bilder wurden veröffentlicht.
Geschiehst ein solcher Angriff in der Schweiz stellt die Melde- und Analysestelle Informationssicherung Melani jeweils ein Check-Tool zur Verfügung (siehe Box weiter unten «Passwort gestohlen? Mit diesen Datenbanken machen Sie den Check»). Für die Bestohlenen ist dies zwar ernüchternd, doch es zeigt, wie wichtig ein gutes Passwort ist und welche Fehler man möglichst vermeiden sollte.
Die 7 häufigsten Passwort-Sünden
Dass ein Passwort erraten wird, liegt oftmals an der eigenen Bequemlichkeit – aber auch an Halbwahrheiten aus dem Internet, die sich hartnäckig in den Hinterköpfen der Nutzer halten.
Diese Fehler werden immer wieder beobachtet:
1. Ein Passwort für alles
Was analog gilt, sollte auch für die digitale Welt beherzigt werden. Oder würden Sie nur einen Schlüssel verwenden, um Wohnungstüren, Veloschlösser oder den privaten Safe aufzuschliessen? Wird der Schlüssel gestohlen, wäre wohl das gesamte Hab und Gut verloren. Als erstes Gebot für sichere Passwörter gilt deshalb: Für jeden Webdienst ein anderes Kennwort! Mit einem Passwort-Manager müssen Nutzer zudem keine Gedächtniskünstler sein.
2. Zu einfache Passwörter
«Passwort», «12345» oder eine Aneinanderreihung von nebeneinanderliegenden Computertasten (z. B. «qwertz») ist selbst für einen dilettantischen Hacker ein gefundenes Fressen. Auch Begriffe aus Wörterbüchern werden bei einer sogenannten Brute-Force-Attacke schnell geknackt. Dabei testet eine Software verschiedene Zeichenkombinationen durch und beginnt zuerst mit den abgegriffensten Passwort-Varianten. Weil ein solches Hacking-Verfahren Millionen von Möglichkeiten pro Sekunde systematisch abfragt, haben solche einfachen Wörter meistens keine Chance zu bestehen.
3. Zu persönliche Passwörter
Kennwörter, die relativ leicht Rückschlüsse auf die Person erlauben, gelten ebenfalls als wenig sicher. Dazu zählen etwa das Geburts- oder Hochzeitsdatum, der Name des Haustiers oder das erste eigene Automodell. Dies umso mehr, wenn man in den sozialen Medien häufig persönliche Informationen preisgibt. Ein Beispiel: Wenn allgemein bekannt ist, wofür Ihr Herz schlägt, sollten Sie Passwörter wie «IloveStarWars» oder «HoppFCBasel» am besten vermeiden. Hobby-Hacker machen es sich zum Sport, genau solche Fan-Informationen, die öffentlich im Netz vorhanden sind, einzuholen.
4. Grundlos das Passwort wechseln
Die Aufforderung von IT-Abteilungen, die Passwörter regelmässig zu ändern, nützt in den meisten Fällen wenig. Grund dafür ist die menschliche Natur: Wozu sich ein kompliziertes Passwort ausdenken, wenn bald wieder die nächste Änderung ansteht?
Forscher aus Nordamerika haben nachgewiesen, dass Firmenmitarbeiter in der Regel nur ein leicht abgeändertes Passwort verwenden. Aus «Passwort» wird dann einfach «Passw0rt» – eine Kombination, die ein Hackerprogramm im Standard-Repertoire beherrscht. Wirklich sinnvoll ist ein Wechsel deshalb erst dann, wenn der Verdacht auf einen Missbrauch gegeben ist.
5. Passwort aufschreiben
Den wohl schwerwiegendsten Fehler begeht ein Nutzer, wenn das Passwort auf ein Post-it geschrieben und am Computerbildschirm oder auf die Rückseite eines Smartphones geklebt wird. Besonders bei Grossraumbüros mit viel Durchgangsverkehr ist dringend davon abzuraten – und auch, falls das Handy abhandenkommen sollte.
Auch eine elektronische Passwortliste auf dem Rechner ist nicht viel besser – es sei denn, man hat das Dokument mit einer genügend starken Verschlüsselung abgelegt.
…Sie eine Beratung zum Thema Datenschutz brauchen.
Bei Fragen im Zusammenhang mit Privaten und Bundesbehörden ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) zuständig. Bei Fragen im Zusammenhang mit kantonalen oder kommunalen Behörden gelangen Sie an den Datenschutzbeauftragten Ihres Wohnkantons.
…jemand mit Daten Ihre Persönlichkeit verletzt.
Fordern Sie den Bearbeiter der Daten zunächst auf, die verletzenden Inhalte zu entfernen. Wenn das nichts nützt, können Sie eine Zivilklage anstreben. Dabei können Sie insbesondere verlangen, dass die Datenbearbeitung gesperrt wird, dass keine Daten an Dritte weitergegeben werden und dass diese berichtigt beziehungsweise vernichtet werden.
…Sie wissen möchten, wer überhaupt Daten sammeln darf.
Schauen Sie ins Register der Datensammlung (www.datareg.admin.ch). Dort sind aber nicht alle Datensammler aufgeführt – Private sind nur unter
gewissen Voraussetzungen verpflichtet, sich ins Register einzutragen.
…Sie wissen wollen, ob und welche Daten über Sie bearbeitet werden.
Stellen Sie ein Auskunftsbegehren beim Inhaber der Datensammlung. Legen Sie eine Pass- oder ID-Kopie bei. Die Auskunft muss innerhalb von 30 Tagen erteilt werden.
…Ihnen die Auskunft zu Unrecht verweigert wird.
Falls ein Privater die Auskunft verweigert, können Sie grundsätzlich eine gerichtliche Klage zur Durchsetzung des Auskunftsrechts einreichen. Falls ein Amt die Auskunft ohne Begründung verweigert, können Sie eine Verfügung verlangen. Auch dagegen können Sie gegebenenfalls ein Rechtsmittel ergreifen. Wenn Ihnen jemand vorsätzlich eine falsche oder unvollständige Auskunft erteilt, macht er sich - auf Antrag - sogar strafbar. Am besten lassen Sie sich zunächst beim zuständigen Datenschutzbeauftragten beraten.
…jemand falsche Daten über Sie speichert.
Wer Personendaten bearbeitet, muss falsche Daten berichtigen. Weisen Sie den Inhaber der Datensammlung auf die Fehler hin und fordern Sie, dass er diese berichtigen respektive löschen soll. Falls das nichts nützt, gelangen Sie zunächst an den zuständigen Datenschutzbeauftragten. Ihre Ansprüche können Sie wiederum gerichtlich geltend machen.
6. Keine Zwei-Faktor-Authentifizierung
Um Geld am Automaten abzuheben, benötigt man eine Karte und die PIN-Nummer. Das erhöht die Sicherheit, weil ein Dieb für einen Zugriff beides braucht. Ein ähnlicher Schutz wird erreicht, wenn ein Webdienst zusätzlich eine Handynummer verlangt. Mit einer SMS, die einen Code mitliefert, kann nur der Besitzer bestätigen, dass er gerade auf ein Konto zugreift – und nicht ein Hacker, der zu einem fremden Passwort gekommen ist. Diese Zwei-Faktor-Authentifizierung (2FA) ist zwar umständlich, doch man sollte sie nutzen, wenn dieser Service schon angeboten wird.
7. Möglichst viele Sonderzeichen verwenden
Ein Kennwort mit vielen Sonderzeichen wie «P@$$w0rt!» ist zwar sicherer als ein normal Geschriebenes – kann aber trotzdem nicht empfohlen werden. Das National Institute of Standards and Technology (NIST), eine US-Behörde, die an Unternehmen und Private Empfehlungen bezüglich aktueller Technologiestandards herausgibt, rät von diesem allgemeinen Trick ab. Der Grund: Algorithmen von Hackerprogrammen können neben den oben erwähnten Beispielen auch Sonderzeichen durchtesten und bedienen sich anhand gängiger Variationen.
Zudem sind wahllos gesetzte Sonderzeichen auch für den Nutzer meistens zu kompliziert, um sich daran erinnern zu können. Das NIST hält nicht viel von diesbezüglichen Vorgaben. Es bringe für die Sicherheit nicht mehr, wenn Betreiber von Websites mindestens einen Buchstaben, eine Zahl sowie ein Sonderzeichen verlangen. Um einiges besser seien unterschiedliche und möglichst lange Phrasen.
Passwort-Härtetest: Auf die Länge kommt es an
Je länger – je sicherer: Für das NIST wären sogar bis zu 64 Zeichen sinnvoll, um längere Phrasen bilden zu können. Ein Kennwort wie «Fussball» mit acht Zeichen – das absolute Minimum für ein Passwort – knackt ein Programm unmittelbar. Bei «Fussballgott» mit zwölf Zeichen, ist eine Maschine schon 300 Jahre beschäftigt – ein viel zu grosser Aufwand, der sich nicht lohnt.
Doch Vorsicht: Abgedroschene Phrasen oder berühmte Zitate wie «Du kommst hier nicht rein» oder «Sein oder nicht sein, das ist hier die Frage» kennt auch eine halbwegs intelligente Hacking-Software. Auch gleiche Buchstaben, die einfach zu «aaabbbccc» aneinander gereiht werden, sind für Hacker eine leichte Beute.
Passwort-Generatoren und Passwort-Manager
Wem kein gutes Kennwort einfällt, kann online auf Passwort-Generatoren wie passwort-generator.org oder den Kennwortgenerator von Norton Identity Safezurückgreifen. Diese würfeln zufällig Buchstaben, Zahlen und Sonderzeichen zusammen. Der Nachteil: Solche Passwörter sind schwer zu merken, weil der Nutzer keinen Bezug herstellen kann.
Eine alternative Lösung, ein kompliziertes Passwort zu generieren, sich dieses aber nicht einprägen zu müssen, bietet die App «Safer-Code». Bei dieser Schweizer Erfindung geht es darum, sich auf einer sogenannten Codemap ein Symbol zu merken, das umgeben ist von einzelnen Blöcken mit jeweils zwei Ziffern oder gemischten Zeichen. Der Nutzer muss sich hierzu nur das Symbol und einen Pfad (z. B. in Form eines Hufeisens) darum herum merken, nicht aber das Passwort an sich. Danach speichert man die Codemap ab und vergibt ihr einen Namen für einen Webdienst. Wenn man sich dort einloggt, braucht man nur auf der Codemap nachzusehen und das Passwort abzutippen. Die patentierte App kann im Apple-Store heruntergeladen werden und kostet fünf Franken.
Ebenfalls eine gute Unterstützung, um sich unterschiedliche und längere Passwörter für das Mail-Konto, Amazon, Facebook und die Kreditkartenfirma merken zu können, sind sogenannte Passwort-Manager. Mit Lastpass, Dashlane, 1Password, Enpass oder KeepassX legt man einmalig ein Master-Passwort fest und kann so im verschlüsselten Programm-Modus auf die restlichen Kennwörter zugreifen, ohne diese auswendig zu lernen. Die Anwendung ist in Kombination als Browser-Erweiterung, als Software-Download auf dem Desktop oder über eine mobile App nutzbar und läuft synchron auf mehreren Geräten. Dank moderner Verschlüsselungsmethoden sehen bei den Passwort-Managern selbst zwei identische Kennwörter in chiffrierter Form völlig anders aus, was das Entziffern für Hacker äusserst schwierig macht. Auf diese Weise kann man sich die grösstmögliche Sicherheit schaffen.
Nur die Anfangsbuchstaben als Merkhilfe verwenden
Wer nicht auf die meist kostenpflichtigen Passwort-Manager zurückgreifen möchte, kann andersweitig in die Trickkiste greifen. Als sehr effektiv erweisen sich etwa Passwörter, die nur aus den Anfangsbuchstaben eines Merksatzes bestehen. Aus «Im Winter bauen Tina und Lukas zusammen mit Papa und Mama einen grossen Schneemann» wird «IWbTuLzmPuMegS». Sonderzeichen müssen in diesem Passwort nicht vorkommen, wenn es lang genug ist.
- Grosse frei zugängliche Datenbank: https://haveibeenpwned.com
- Check-Tool von NCSC/Melani: https://checktool.ch
- «Identity Leak Checker» des Hasso-Plattner-Instituts in Potsdam: https://sec.hpi.de/ilc/search