1. Februar 2024

Passwörter: Sicherheit ganz groß

, , , ,
Heute ist „Ändere-Dein-Passwort-Tag“ – wie so viele dieser Tage kommt auch dieser ursprünglich aus den USA.

Der besondere Tag hat vor allem ein Ziel: die Menschen zu ermutigen, regelmäßig ihre Sicherheit per Passwort auf den Prüfstand zu stellen. Wir haben mit Marco Taubmann, IT-Chef, und Maria Bock, Datenschutzkoordinatorin, darüber gesprochen, warum man ein sicheres Passwort braucht und was es ausmacht.

Warum ist es denn so wichtig, das Passwort zu ändern oder anzupassen?

Maria Bock: Das Passwort ist die erste Barriere, die ein fremder Dritter überwinden muss, um Zugang zu Ihren persönlichen Daten zu erhalten. Vergleichen Sie das mit Ihrem Zuhause: Der Haustürschlüssel gewährt Ihnen den Zugang zur ihrer eigenen Wohnung. Wenn Sie den Schlüssel verlieren oder dieser gestohlen wird, dann ist plötzlich zugänglich, was Sie eigentlich schützen wollen, Ihr Zuhause, Ihre Privatsphäre. Übertragen Sie dieses Sinnbild auf das Passwort, so schützt das Passwort Ihre digitale Persönlichkeit. Ein sicheres Passwort ist also ausgesprochen wichtig. Um das Risiko eines Hackerangriffs oder Identitätsdiebstahls zu minimieren, sollte das Passwort regelmäßig geändert werden. Mit jeder Änderung erschweren Sie fremden Dritten möglichen Zugriff auf Ihre Konten und Daten zu erhalten.

Stichwort „sicheres Passwort“ – was genau ist denn ein sicheres Passwort?

Maria Bock: Ein sicheres Passwort erfüllt mehreren Kriterien: Zum einen sollte das Passwortes keinen persönlicheren Bezug zur eigenen Person herstellen. Leicht ableitende Varianten aus Vorname, Name oder Geburtsdatum sollten nicht verwendet werden. Weiterhin sollte es komplex sein. Das heißt: Abstrakt oder willkürlich – eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen. Im Idealfall erstellt von einem Passwortgenerator, sodass sich der Mensch das Passwort grundsätzlich nicht merken kann und es auch nicht auf Grundlage von persönlichen Informationen ableiten lässt.

Marco Taubmann: Ein weiteres Kriterium ist die Länge. Das Passwort sollte außerdem möglichst lang sein. Je länger das Passwort, desto schwieriger kann es durch einen fremden Dritten geknackt werden. Außerdem sollte jedes Passwort einzigartig sein. 

Heißt: Wenn ich ein ganz ausgeklügeltes Passwort habe und das dann für alle Zugänge nutze, bringt mir das auch nichts.

Marco Taubmann: Einzigartigkeit heißt: Jeder Zugang zu einem Konto sollte ein eigenes Passwort haben. Zu vermeiden sind also die Methoden wie ein langes Passwort für alle Zugänge. Faustregel hier: verschiedene Zugänge, verschiedene Passwörter. Diese Kriterien haben wir auch in unserem Kundenportal so implementiert. Die Bedingungen für unsere Kunden sind: Es muss mindestens acht Zeichen lang sein, mindestens einen Groß- und Kleinbuchstaben, ein Sonderzeichen und eine Ziffer enthalten.

Maria Bock: Auch ein gutes Passwort, das bei mehreren Konten eingesetzt wird, könnte gravierende Folgen haben. Sollte dieses verloren gehen oder gehackt werden, so kann der böswillige Dritte es bei anderen Zugängen oder Konten verwenden. Damit würde es zum Kontrollverlust über mehrere Konten kommen. Bis die Wiederherstellung erfolgt ist, könnten Schäden bereits vorliegen. Die Frage ist, ob die Kontrolle durch den richtigen User über das Konto überhaupt wiedererlangt werden kann, wenn gleichzeitig das Hauptkonto gehackt wurde. Das muss allerdings gar nicht bei einem Hack passieren, sondern kann auch z.B. durch technische Mängel oder Einbrüche erfolgen.

Nun gibt es ja bei einigen Anbietern sogenannte Passwortgeneratoren. Kann ich mich auf die verlassen oder sollte ich die lieber nicht nutzen?

Marco Taubmann: Die Nutzung eines Passwort-Generators ist auf jeden Fall zu empfehlen. Auch Passwort Datenbanken, sind gut. Bei uns in der Firma nutzen wir z.B. Keypass, ein Open Source Programm, das ich empfehlen kann. Aber auch viele Geräte mit Google Android oder Apple iOS, haben selber bereits in ihren Betriebssystemen einen integrierten Passwortgenerator. Also: beides zu empfehlen.

Stichwort: Zwei-Faktor Authentifizierung. Naiv würde ich jetzt annehmen, dass mich diese Methode, selbst bei unsicherem Passwort, schützt. 

Marco Taubmann:  Guter Einwand. Aber: Stellen Sie sich vor, der zweite Faktor wird abgefangen, dann muss im Grunde nur noch das Passwort überwunden werden. Entspricht das Passwort nicht den bereits genannten Kriterien, kann das Passwort sehr schnell entschlüsselt werden. Demnach empfiehlt sich auch bei Zwei-Faktor-Authentifizierung in jedem Fall ein kompliziertes Passwort aus Groß- und Kleinbuchstaben, Sonderzeichen und Ziffern zu verwenden.

Maria Bock: Hinzu kommt: Kriminelle werden immer raffinierter, lernen mit jedem Hack dazu und entwickeln immer schneller neueste Verfahren bzw. Systeme, um die vermeintlich sicheren Verfahren knacken zu können. Eine hundertprozentige Sicherheit, dass alle Verfahren auf lange Zeit sicher sind, gibt es nicht. Aus diesem Grund gilt auch bei der Zwei-Faktor-Authentifizierung: Verwenden Sie ein sicheres Passwort, nutzen Sie den zweiten Faktor und ändern Sie Ihr Passwort regelmäßig. 

Marco Taubmann: Ein wichtiger Hinweis. In unserem Unternehmen haben wir die Regel, dass das Passwort alle drei Monate geändert werden muss. Meiner Ansicht nach ist das ein guter Zeitraum. Unterstützt wird der User durch unseren Passwort Manager, der sichere Passwörter generiert. Diese kann der User nutzen oder auch individuell anpassen.

Also, liebe Leser:innen: Wann haben Sie das letzte Mal Ihre Passwörter geändert? Ist es länger als drei Monate her? Dann ändern Sie es am besten gleich. Einfach z.B. im Kundenportal einloggen und in den Kontoeinstellungen das Passwort ändern.

Worst Case: Ich bin gehackt worden. Was kann schlimmstenfalls passieren?

Maria Bock: Das hängt von meiner persönlichen Schmerzgrenze ab. Tangiert es mich bereits sehr, wenn ich weiß, dass meine Daten im Internet verkauft bzw. veröffentlich werden oder wenn diese willkürlich weitergegeben werden und ich damit einen Kontrollverlust habe? Oder liegt meine Schmerzgrenze eher im finanziellen Bereich, sprich wenn auf mein Bankkonto zugegriffen wird und diverse Zahlungen getätigt werden?

Marco Taubmann: Vor allem, wenn Bank-Accounts gehackt sind, können gravierende Schäden entstehen. Mindestens ebenso schlimm ist der Identitätsklau. Durch den Kontrollverlust an meiner digitalen Identität können z.B. Nachrichten in meinem Namen versendet werden. Dadurch würden eventuell andere mir nahstehende Personen betroffen werden. Oder auch Geschäftsgeheimnisse können an die Öffentlichkeit gelangen sowie detaillierte Geschäftsbeziehungen.

Wie merke ich denn, dass ich gehackt worden bin?

Marco Taubmann: Da gibt's inzwischen einige gute Möglichkeiten. Eine Seite, die ich empfehlen kann, ist diese hier. Hier können Sie Ihre E-Mailadresse oder Accounts eingeben und die Seite zeigt Ihnen an, ob Ihre E-Mailadresse in vergangenen öffentlich gewordenen Datenleaks auftaucht.

Zusätzlich sollte man regelmäßig prüfen, ob es merkwürdige Aktivitäten in den eigenen Accounts gibt.

Was sind Eure Top-Empfehlungen für einen sicheren Umgang mit den eigenen Daten? 

  1. Beachten Sie unsere Passwort-Hinweise für ein sicheres Passwort
  2. Führen Sie regelmäßig Updates für alle Systeme, mit denen Sie arbeitest, durch.
  3. Überprüfen Sie regelmäßig, ob es bei Ihren Accounts zu merkwürdigen oder auffälligen Aktionen kam. Habe ich das selbst initiiert oder kommt das von außen?
  4. Öffnen Sie nur E-Mails, die von Absendern kommen, denen Sie vertrauen. Klicken Sie auf keinen Fall Links an, die oftmals mit Mails verschickt werden. Prüfen Sie den Absender bei den E-Mails, die Ihnen seltsam vorkommen.
  5. Klingt banal, ist aber wichtig: Geben Sie das Passwort nicht an andere weiter!