Die größte Passwortsünde

Der erste Februar wurde von IT-Sicherheitsforschern zum „Ändere dein Passwort“-Tag ausgerufen. Doch beim Gedanken daran, sich ein neues Passwort merken zu müssen und eines zu finden, das mindestens acht Zeichen lang ist, Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen enthält, graust es vielen. Doch ist das wirklich nötig? Ja, besonders wenn man ein Passwort wie "12345" hat. Aber es gibt eine wichtigere Schutzmaßnahme, um sich sicher im Internet zu bewegen.

Ein und dasselbe Passwort sollte nie mehrmals verwendet werden. Nutzt man etwa Google, Facebook und Amazon, sollte für jeden Dienst ein individuelles Passwort angelegt werden. Das ist nötig, da sich die Angriffsmethoden von Cyberkriminellen in den vergangenen Jahren gewandelt haben. Anstatt die Computer einzelner Personen zu hacken, werden Server von großen Unternehmen angegriffen, wie es etwa bei Sony, Dropbox und Adobe der Fall war. So werden E-Mail-Adressen und Passwörter von hunderttausenden oder sogar Millionen Nutzern auf einmal erbeutet.

Sonderzeichen sind kein Schutz

Diese Datenbanken werden erst in einschlägigen Online-Marktplätzen verkauft und landen früher oder später frei zugänglich im Internet, wo sie jeder herunterladen und missbrauchen kann. Cyberkriminelle nutzen diese Datenbanken für automatisierte Programme. Diese testen, ob die Kombination aus E-Mail und Passwort, die etwa beim Einbruch auf dem Dropbox-Server erbeutet wurde, auch bei Amazon, Google oder Online-Banken funktioniert. Und wenn bei allen Internet-Diensten dasselbe Passwort verwendet wurde, hilft es auch nicht, wenn das ein vermeintlich sicheres war, wie etwa „fuz0-ist_5upa!“.

Die Verwendung von Sonderzeichen und möglichst vielen Buchstaben und Zahlen ist übrigens kein garantierter Schutz vor Hackern. Denn wie oben beschrieben erbeuten diese ohnehin die E-Mail-Adressen und Passwörter von den Servern. Internetdienste nötigen ihre Nutzer trotzdem zum Einrichten solcher Kombinationen. Das soll verhindern, dass Standard-Passwörter genutzt werden, die schon millionenfach gestohlen wurden, wie etwa „123456“ und „hallo“.

Passwort-Manager

Wer sich nicht für alle seine Online-Aktivitäten verschiedene Passwörter merken will, kann Passwort-Manager nutzen. Das sind Programme, in denen Passwörter für die verschiedenen Web-Dienste generiert werden und verschlüsselt am Computer oder Smartphone gespeichert sind. Man braucht sich nur ein einziges Master-Passwort zu merken. Beliebte Passwort-Manager sind Enpass, KeePass, LastPass, Password Depot und SafeInCloud. Je nach Features und Betriebssystem sind diese kostenlos oder kostenpflichtig für PC, Mac, iOS und Android verfügbar.

Wer den Manager-Programmen nicht traut, kann online überprüfen, ob das gewählte Passwort schon bei früheren Datenbank-Hacks aufgetaucht ist. Dies ist auf Have I been Pwnd möglich. Auf der Webseite kann auch anhand der Mail-Adresse überprüft werden, von welchen Angriffen auf Datenbanken man betroffen ist. Das Hasso-Plattner-Institut bietet unter https://sec.hpi.de/ilc/ ebenfalls diesen Service an. Wurde man fündig, sollte man das Motto des Tages befolgen: „Ändere dein Passwort“. Und hat man die Codephrase mehrfach in Verwendung, ist es höchste Zeit, individuelle Passwörter für jeden Online-Dienst festzulegen.

Phishing

Neben dem Abgreifen großer Datenbanken ist das Phishing immer noch eine weit verbreitete IT-Betrugsmasche. Laut einer aktuellen Google-Studie haben schon 49 Prozent der Österreicher Phishing-Versuche erlebt. In gefälschten E-Mails von Banken, Amazon oder Apple wird der Empfänger aufgefordert, einen Link anzuklicken. Der Link führt zu Imitationen der eigentlichen Webseiten. Gibt man hier seine Nutzerdaten ein, werde diese an die Hacker übermittelt. Deshalb sollte man immer skeptisch sein und falls man sich wirklich unsicher ist, die Adressen für die Webseiten direkt im Browser eingeben.

Auch Viren und Malware sind immer noch eine Bedrohung. Es gilt nach wie vor: Immer Software-Updates installieren, speziell von Browser und Betriebssystem, und nachdenken, bevor man etwas anklickt. Speziell bei Anhängen in E-Mails und Links in Kettenbriefen, die per Messenger-Apps verbreitet werden, sollte man prinzipiell skeptisch sein.