So umgehen Sie häufige Fehler

Ein grösseres Datenleck von Facebook macht im April 2021 Schlagzeilen. Betroffen sind über 530 Millionen Nutzer. Der Datensatz, der in einem Hacker-Forum veröffentlicht wurde, besteht grösstenteils aus Telefonnummern, die mit der Identität der Nutzer in Verbindung gebracht werden. Darunter befinden sich auch 1,5 Millionen Daten aus der Schweiz.

Auch wenn Facebook angibt, das seit längerem bekannte Sicherheitsleck gelöst zu haben, verschwinden solche gestohlenen Daten nicht einfach aus dem Netz. Diese werden vielfach unter Hackern ausgetauscht, um so zu einem noch detaillierteren Bild ihrer Opfer zu gelangen. Phishing-Angriffe werden so immer raffinierter Phishing Immer raffiniertere Betrugsversuche .

Der grösste Gau in Sachen Cybersecurity tritt jedoch dann ein, wenn ein Hacker die Mailadresse und das dazugehörige Passwort kennt. Der Super-Gau besteht dann nur noch darin, dass dieses Passwort auch für weitere Konten benutzt wird. Wie Sie diese und weitere Passwort-Sünden vermeiden und ob Ihre Mailadresse oder Handynummer vom jüngsten Datenleck betroffen ist, erfahren Sie im Folgenden sowie über die Check-Tools am Ende des Ratgebers.

Dass ein Passwort erraten wird, liegt oftmals an der eigenen Bequemlichkeit – aber auch an Halbwahrheiten aus dem Internet, die sich hartnäckig in den Hinterköpfen der Nutzer halten.

Diese Fehler werden immer wieder beobachtet:

Was analog gilt, sollte auch für die digitale Welt beherzigt werden. Oder würden Sie nur einen Schlüssel verwenden, um Wohnungstüren, Veloschlösser oder den privaten Safe aufzuschliessen? Wird der Schlüssel gestohlen, wäre wohl das gesamte Hab und Gut verloren. Als erstes Gebot für sichere Passwörter gilt deshalb: Für jeden Webdienst ein anderes Kennwort! Mit einem Passwort-Manager müssen Nutzer zudem keine Gedächtniskünstler sein.

«Passwort», «12345» oder eine Aneinanderreihung von nebeneinanderliegenden Computertasten (z. B. «qwertz») ist selbst für einen dilettantischen Hacker ein gefundenes Fressen. Auch Begriffe aus Wörterbüchern werden bei einer sogenannten Brute-Force-Attacke schnell geknackt. Dabei testet eine Software verschiedene Zeichenkombinationen durch und beginnt zuerst mit den abgegriffensten Passwort-Varianten. Weil ein solches Hacking-Verfahren Millionen von Möglichkeiten pro Sekunde systematisch abfragt, haben solche einfachen Wörter meistens keine Chance zu bestehen.

Kennwörter, die relativ leicht Rückschlüsse auf die Person erlauben, gelten ebenfalls als wenig sicher. Dazu zählen etwa das Geburts- oder Hochzeitsdatum, der Name des Haustiers oder das erste eigene Automodell. Dies umso mehr, wenn man in den sozialen Medien häufig persönliche Informationen preisgibt. Ein Beispiel: Wenn allgemein bekannt ist, wofür Ihr Herz schlägt, sollten Sie Passwörter wie «IloveStarWars» oder «HoppFCBasel» am besten vermeiden. Hobby-Hacker machen es sich zum Sport, genau solche Fan-Informationen, die öffentlich im Netz vorhanden sind, einzuholen.

Die Aufforderung von IT-Abteilungen, die Passwörter regelmässig zu ändern, nützt in den meisten Fällen wenig. Grund dafür ist die menschliche Natur: Wozu sich ein kompliziertes Passwort ausdenken, wenn bald wieder die nächste Änderung ansteht?

Forscher aus Nordamerika haben nachgewiesen, dass Firmenmitarbeiter in der Regel nur ein leicht abgeändertes Passwort verwenden. Aus «Passwort» wird dann einfach «Passw0rt» – eine Kombination, die ein Hackerprogramm im Standard-Repertoire beherrscht. Wirklich sinnvoll ist ein Wechsel deshalb erst dann, wenn der Verdacht auf einen Missbrauch gegeben ist.

Den wohl schwerwiegendsten Fehler begeht ein Nutzer, wenn das Passwort auf ein Post-it geschrieben und am Computerbildschirm oder auf die Rückseite eines Smartphones geklebt wird. Spätestens wenn das Handy abhandenkommen sollte, wird es zum Problem.

Auch eine elektronische Passwortliste auf dem Rechner ist nicht viel besser – es sei denn, man hat das Dokument mit einer genügend starken Verschlüsselung abgelegt. Dasselbe gilt für das Verschicken von Passwörtern via Mail – welche Gründe das auch erfordern mögen. Ohne Verschlüsselung ist das etwas so sicher, wie wenn Sie einen Brief per Post verschicken: Jeder, der den Brief in die Hände bekommt, kann ihn problemlos öffnen.

Um Geld am Automaten abzuheben, benötigt man eine Karte und die PIN-Nummer. Das erhöht die Sicherheit, weil ein Dieb für einen Zugriff beides braucht. Ein ähnlicher Schutz wird erreicht, wenn ein Webdienst zusätzlich eine Handynummer verlangt. Mit einer SMS, die einen Code mitliefert, kann nur die Besitzerin bestätigen, dass sie gerade auf ein Konto zugreift – und nicht ein Hacker, der zu einem fremden Passwort gekommen ist. Diese Zwei-Faktor-Authentifizierung (2FA) ist zwar umständlich, doch man sollte sie nutzen, wenn dieser Service angeboten wird.

Ein Kennwort mit vielen Sonderzeichen wie «P@$$w0rt!» ist zwar sicherer als ein normal Geschriebenes – kann aber trotzdem nicht empfohlen werden. Das National Institute of Standards and Technology (NIST), eine US-Behörde, die an Unternehmen und Private Empfehlungen bezüglich aktueller Technologiestandards herausgibt, rät von diesem allgemeinen Trick ab. Der Grund: Algorithmen von Hackerprogrammen können neben den oben erwähnten Beispielen auch Sonderzeichen durchtesten und bedienen sich anhand gängiger Variationen.

Zudem sind wahllos gesetzte Sonderzeichen auch für den Nutzer meistens zu kompliziert, um sich daran erinnern zu können. Das NIST hält nicht viel von diesbezüglichen Vorgaben. Es bringe für die Sicherheit nicht mehr, wenn Betreiber von Websites mindestens einen Buchstaben, eine Zahl sowie ein Sonderzeichen verlangen. Um einiges besser seien unterschiedliche und möglichst lange Phrasen.

Wenn Sie es besser machen wollen, gilt: Je länger – je sicherer: Für das NIST wären sogar bis zu 64 Zeichen sinnvoll, um längere Phrasen bilden zu können. Ein Kennwort wie «Fussball» mit acht Zeichen – das absolute Minimum für ein Passwort – knackt ein Programm unmittelbar. Bei «Fussballgott» mit zwölf Zeichen, ist eine Maschine schon 300 Jahre beschäftigt – ein viel zu grosser Aufwand, der sich nicht lohnt.

Doch Vorsicht: Abgedroschene Phrasen oder berühmte Zitate wie «Du kommst hier nicht rein» oder «Sein oder nicht sein, das ist hier die Frage» kennt auch eine halbwegs intelligente Hacking-Software. Auch gleiche Buchstaben, die einfach zu «aaabbbccc» aneinander gereiht werden, sind für Hacker eine leichte Beute.

Gute alternative Lösungen bieten daher sogenannte Passwort-Manager, um unterschiedliche und längere Passwörter für diverse Konten zu erstellen, die man sich nicht alle im Einzelnen merken muss. Mit Lastpass, Dashlane, 1Password, Enpass oder KeepassX legt man einmalig ein Master-Passwort fest und kann so im verschlüsselten Programm-Modus auf die restlichen Kennwörter zugreifen. Die Anwendung ist in Kombination als Browser-Erweiterung, als Software-Download auf dem Desktop oder über eine mobile App nutzbar und läuft synchron auf mehreren Geräten. Dank moderner Verschlüsselungsmethoden sehen bei den Passwort-Managern selbst zwei identische Kennwörter in chiffrierter Form völlig anders aus, was das Entziffern für Hacker äusserst schwierig macht. Auf diese Weise kann man sich die grösstmögliche Sicherheit schaffen.

Wer nicht auf die meist kostenpflichtigen Passwort-Manager zurückgreifen möchte, kann anderweitig in die Trickkiste greifen. Als sehr effektiv erweisen sich etwa Passwörter, die nur aus den Anfangsbuchstaben eines Merksatzes bestehen. Aus «Im Winter bauen Tina und Lukas zusammen mit Papa und Mama einen grossen Schneemann» wird «IWbTuLzmPuMegS». Sonderzeichen müssen in diesem Passwort nicht vorkommen, wenn es lang genug ist.