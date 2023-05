Einfallsloser könnten die Lieblingspasswörter der Deutschen nicht sein. „123456″ landete 2022 auf Platz Eins, gefolgt von „123456789″, wie aus einer Erhebung der Hasso-Plattner-Instituts hervorgeht. Klar, solche Passwörter sind kurz und leicht zu merken – aber gerade das macht sie für Hackerinnen und Hacker zu einem gefundenen Fressen.

Der Welt-Passwort-Tag, der jedes Jahr am ersten Donnerstag im Mai und dieses Jahr am 4. Mai stattfindet, erinnert daran, wie wichtig ein sicheres Passwort ist. Denn wenn Cyberkriminelle Zugang zu Ihren Accounts haben, können die Folgen immens sein: Die Angreifenden könnten große Zahlungen über Ihre Zahlungsmethoden tätigen, E-Mails in Ihrem Namen schicken – im schlimmsten Fall Ihre Identität stehlen. Was braucht ein Onlinekonto also, um gut geschützt zu sein?

Was ist überhaupt so gefährlich an einem einfachen Passwort?

Vielleicht haben Sie sich auch schon mal gefragt, wie denn ein anderer Mensch je darauf kommen könnte, dass der Name Ihrer Katze Ihr Passwort ist – geschweige denn weiß, wie ihr Haustier überhaupt heißt. Cyberkriminelle sitzen jedoch nicht vor einem Rechner und raten bei der Passworteingabe ins Blaue. Sie benutzen unter anderem Programme, die unterschiedliche Buchstaben- und Zahlenkombinationen austesten und sich dafür bei Wörterbüchern und zahlreichen anderen Quellen bedienen. Einfache Passwörter können sie damit teils in Sekundenschnelle ermitteln – und das macht sie so unsicher.

Wie werden meine Passwörter sicherer?

Bei Passworterstellung gibt es nicht die eine richtige Strategie für alle Menschen. Das Wichtigste ist, dass das Passwort für Kriminelle sehr schwer zu knacken ist und Sie es sich gut merken können. Obendrein muss es die jeweiligen Mindestanforderungen von Portalen erfüllen. Um starke Passwörter zu kreieren, stehen Ihnen verschiedene Wege zur Verfügung. Die Verbraucherzentralen raten etwa: Ein Passwort sollte acht Zeichen lang sein und aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen bestehen. Dabei gilt: je länger, desto besser.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) unterscheidet zwischen zwei Strategien: ein langes und weniger komplexes sowie ein kürzeres und komplexes Passwort. Für Letzteres gelten die gleichen Regeln, die die Verbraucherzentrale genannt hat – es sollte aber nicht wesentlich länger als acht Zeichen sein, damit es nicht so kompliziert zu merken ist. Ein langes und weniger komplexes Passwort könnte dagegen so aussehen: fernseher_regenschirm_stuhl_grün_mexiko_schokomuffin. Der Vorteil hieran ist, dass es leichter zu merken ist und Cyberkriminellen aufgrund der Länge und zusammenhangslosen Wörter trotzdem Schwierigkeiten bereitet. Laut BSI sollte ein solches Passwort mindestens 25 Zeichen haben, braucht dafür aber nur zwei Zeichenarten. Groß- und Kleinbuchstaben zum Beispiel.

Eine weitere Variante: Einen leicht zu merkenden Satz wählen und davon die jeweiligen Anfangsbuchstaben der Wörter nehmen oder Wörter durch Zahlen ersetzen. Wenn der Satz also „Ich esse am liebsten zwei Bananen und einen Apfel zum Frühstück“ lautet, könnte daraus „iEaL2b&1AzF“ lauten. Solange Sie einen beliebigen, einfachen Satz wählen und wie in dem Beispiel festlegen, dass jeder zweite Buchstabe großgeschrieben wird und die Zahlen durch Ziffern sowie „und“ durch „&“ ersetzt wird, fällt es Ihnen leichter, sich das daraus entstehende Passwort zu merken. Mit Passwörtern dürfen Sie also gern kreativ werden, Sie sollten sie sich aber auf jeden Fall gut merken können.

Reicht also ein einziges starkes Passwort für alle Accounts?

Es ist sehr verlockend, sich ein einziges starkes Passwort zu überlegen und für jedes Portal zu nutzen – gerade wenn einige Accounts eher „unwichtig“ erscheinen. Zum Beispiel das Konto für einen Onlineshop für Duftkerzen, den Sie nur selten nutzen. Was spricht also dagegen, ein gutes Passwort mehrfach zu verwenden?

Zunächst einmal kann auch ein sicheres Passwort in die Hände von Cyberkriminellen gelangen. Ein großes Einfallstor stellen etwa Phishing-Kampagnen dar: Angreiferinnen und Angreifer manipulieren E-Mails und bewegen ihre Angriffsziele dazu, ihre Daten preiszugeben. Viele Phishing-Mails sind leicht zu identifizieren, aber die Täterinnen und Täter werden immer geschickter.

Und auch durch Datenleaks erlangen Kriminelle teils Millionen Benutzernamen, E-Mail-Adressen und Passwörter. Unter anderem hatte der Social-Media-Riese Facebook ein Leck zu beklagen, durch das die Daten von Hunderten Millionen Nutzerinnen und Nutzern in einem Hackerforum landeten. Und das Karrierenetzwerk Xing warnte im Sommer 2020 seine Userinnen und User vor einem Datenleck, das die Universität Bonn entdeckte. Es enthielt auch Anmeldedaten, die zum Einloggen bei Xing genutzt wurden. Das Leck war jedoch nicht bei dem Portal selbst aufgetreten.

Vor solchen Angriffen schützen auch die stärksten Passwörter nicht – handelt es sich aber um ein einmaliges Passwort, lässt sich der Schaden aber begrenzen. Denn dann können Cyberkriminelle maximal auf den Account zugreifen, der zu dem Passwort gehört. Angreiferinnen und Angreifer versuchen aber immer wieder, sich mit den erlangten Zugangsdaten auch in andere Portale einzuloggen. Jüngstes Beispiel sind die Kundinnen und Kunden der Online-Apotheke DocMorris: In einer Angriffswelle haben unbekannte Täterinnen und Täter auf mehrere Tausend Konten zugegriffen, deren Zugangsdaten sie woanders erbeutet haben, wie „Spiegel“ berichtet.

Dabei handelt es sich um eine sogenannte Credential-Stuffing-Attacke. Die Angreiferinnen und Angreifer haben in diesem Fall Adressen der Kundenkonten geändert und Medikamente bestellt. Die Erfolgsquote war mit 0,2 Prozent von 10,4 Millionen Accounts recht gering – jedoch waren damit immer noch Tausende Menschen betroffen. Das zeigt: Jeder Account sollte mit einem einzigartigen und starken Passwort geschützt sein.

Wie kann ich mir die ganzen schwierigen Passwörter merken?

Ein Passwort für jedes Portal schützt auch alle anderen Onlinekonten besser, aber die große Kunst ist es, sich alle auch zu merken. Bei Dutzenden verschiedenen Konten ist das aus dem Gedächtnis heraus kaum möglich, zumal auch Details in langen Merksätzen falsch in Erinnerung bleiben können. Man könnte etwa einzelne Wörter verwechseln oder vergessen, welche Buchstaben groß- oder kleingeschrieben sind. Um einen Überblick über alle Passwörter zu bewahren, sollten Sie sich die Passwörter also idealerweise notieren.

Allerdings sollten Sie dabei gängige Fehler vermeiden: etwa alle Passwörter auf einen Zettel zu schreiben und diesen unter die Tastatur zu legen, oder sie in einem unverschlüsselten Dokument auf dem PC zu speichern. Denn wenn Diebe an die entsprechenden Dokumente herankommen, haben sie theoretisch Zugang zu jedem einzelnen Konto. Passwörter sollten also stets gut unter Verschluss gehalten werden, rät das BSI.

Dafür eignen sich beispielsweise Passwortmanagementdienste wie „Keepass“ oder „Lastpass“: Dort können alle Passwörter sicher aufbewahrt werden. Praktischerweise bieten viele solcher Tools auch die Möglichkeit, starke Passwörter zu generieren – welche Anforderungen sie erfüllen, können Sie bestimmen. Alles, was Sie sich dann noch merken müssen, ist das Masterpasswort. Denn nur so kommen Sie an alle Passwörter im Passwortmanager heran. Genau wie alle anderen Passwörter sollte es sicher sein und die empfohlenen Standards erfüllen. Vergessen Sie das Masterpasswort, gehen im schlimmsten Fall alle Daten verloren.

Auch Passwortmanager sind jedoch zunehmend ins Visier von Cyberkriminellen geraten. Schließlich finden sie hier alle Passwörter von unzähligen Menschen auf einen Schlag. Zuletzt war der Dienst „Lastpass“ von einem Angriff betroffen, bei dem sich die Täterinnen und Täter Passworttresore der Kundinnen und Kunden geschnappt haben. Ob sie sie öffnen konnten, hing nur noch von der Stärke des Masterpassworts ab.

Eine klassischere Strategie ist das Passwortmerkblatt, bei dem Sie händisch Passwörter auf einen Zettel notieren. Dabei sollten Sie sich aber nie die kompletten Passwörter und ihre Zuordnung zum Account aufschreiben. Das BSI empfiehlt für diese Methode, nur den zweiten Teil des Passworts in die Liste einzutragen und den ersten Teil lediglich im Kopf zu behalten. Letzterer sollte mindestens acht Zeichen lang und für jeden Account gleich sein, damit Sie sich ihn auch merken können. Beispiel: Der erste Teil lautet „tisch-himmel“ und kommt nicht auf den Zettel, der zweite erfüllt die vom BSI empfohlenen Kriterien für kurze und komplexe Passwörter und wird direkt an den ersten Teil rangehängt.

Ein einzigartiges, starkes Passwort für jedes Portal – reicht das aus, um mein Konto zu schützen?

Gute Passwörter sind immer noch der beste Schutz für Ihre Accounts, aber bei Datenleaks oder erfolgreichen Phishing-Attacken können sich Angreiferinnen und Angreifer trotzdem Zugang zum Konto verschaffen – zumindest dann, wenn nur das Passwort zwischen Cyberkriminelle und Ihrem Account steht. Inzwischen lässt sich der Schutz in vielen Onlineportalen aber auch sinnvoll erweitern. Beispielsweise per Zwei-Faktor-Authentisierung, mit der man für den Login die Identität nachweisen muss.

Hierbei reicht nicht nur das Passwort zum Login aus: Sie müssen auch einen weiteren Code eingeben, der Ihnen zugeschickt wird. Dieser ist für jeden Login einmalig und sie können ihn zum Beispiel per SMS oder über eine spezielle Authentifizierungsapp erhalten, beispielsweise die von Microsoft oder Google. Der Vorteil hieran ist, dass Hackerinnen und Hacker auch dann nicht auf Ihren Account zugreifen können, wenn sie das Passwort herausgefunden haben. Nicht jedes Portal bietet das an, aber das BSI appelliert, immer wenn möglich diesen erweiterten Schutz zu nutzen. „In jedem Fall bietet ein Log-in mit einem zweiten Faktor ein höheres Maß an Sicherheit als nur die Eingabe von Benutzername und Passwort“, heißt es auf der Homepage.

Ist die Zwei-Faktor-Authentisierung komplett sicher?

Onlinekriminelle versuchen auch die Zwei-Faktor-Authentisierung zu umgehen – in einigen Fällen sogar mit Erfolg. In kriminellen Communities wird zunehmend mit Bots gehandelt, die einige solcher Systeme austricksen können. Und einige Arten der Zwei-Faktor-Authentisierung können sie auch relativ einfach knacken – beispielsweise die Sicherheitsfrage. Das Problem ist, dass die hierfür vorgegebenen Standardfragen wie „Wer war Ihr bester Schulfreund?“ oder „Was ist Ihr Lieblingsverein?“ nicht immer als guter Identitätsnachweis taugt. Sie sollten sich dabei immer fragen: Ist die Antwort wirklich so geheim, dass nur Sie sie wissen können? Wer etwa das Wappen des Lieblingsvereins stolz im öffentlichen Social-Media-Account präsentiert, macht es Onlinekriminellen leichter, die entsprechende Frage zu beantworten.

Dennoch bleibt die Zwei-Faktor-Authentisierung in Kombination mit einem starken Passwort der beste Schutz für Ihr Konto. Angreiferinnen und Angreifer müssen dann schon sehr viel Arbeit darin investieren, sowohl ihr Passwort als auch diesen weiteren Schutz zu knacken. Einige Portale verzichten inzwischen gar auf ein Passwort und setzt nur noch auf die Authentisierung per Handy.

Fazit: Ein Restrisiko bleibt immer – aber doppelt hält besser

IT-Sicherheitsexpertinnen und -experten warnen bereits seit Jahren vor der steigenden Gefahr durch Cyberkriminelle. Sie versuchen stets Sicherheitslücken und menschliche Schwächen auszunutzen, um an Daten und Geld zu kommen – und werden darin immer besser. Jedes schlecht geschützte Konto stellt daher ein Sicherheitsrisiko dar. Und gerade wichtige Accounts fürs Bankkonto, E-Mail und Co. brauchen inzwischen mehr als ein Passwort, um gut geschützt zu sein. Ein Restrisiko bleibt zwar auch mit einem starken Passwort und Zwei-Faktor-Authentisierung. Aber beides verringert deutlich die Gefahr, dass Ihre Accounts in die Hände von Cyberkriminellen gelangen.

Wenn Sie erfahren möchten, ob Ihre E-Mail-Adresse bereits schon unter Kriminellen gehandelt wird, können Sie zum Beispiel das Tool „have i been pwned?“ des australischen Sicherheitsforschers Troy Hunt oder den Identity Leak Checker des Hasso-Plattner-Instituts für Digital Engineering verwenden. Die Dienste checken mit Ihrer Mailadresse, ob Ihre Identitätsdaten bereits im Internet veröffentlicht wurden. Wenn das der Fall ist – aber auch unabhängig davon –, sollten Sie unbedingt alle Ihre Passwörter prüfen und Ihre Accounts wenn möglich zusätzlich mit einer Zwei-Faktor-Authentisierung ausstatten. Damit sind Ihre Konten und Daten künftig besser vor Cyberangriffen geschützt.

Anmerkung: In einer früheren Version dieses Artikels hieß es, dass bei Xing selbst ein Datenleck aufgetreten war. Das war jedoch nicht der Fall: Das Karrierenetzwerk warnte seine Nutzerinnen und Nutzer proaktiv, als es von den geleakten Datensätzen im Netz erfuhr. Wir haben das korrigiert.