Passwortsicherheit: Darum ist Passwortschutz auch 2019 ein brandaktuelles Thema
Bereits 2011 hat das Internet-Portal WEB.DE den Tag der Passwortsicherheit ins Leben gerufen, um Web-User für das Thema Passwortschutz zu sensibilisieren. Auch acht Jahre später ist der öffentliche Aufruf zu mehr Sorgfalt und Vorsicht bei der Passwortwahl so aktuell wie eh und je: Datenleaks wie „Collection #1–5“ zeigen, wie wichtig starke und einzigartige Passwörter im Kampf gegen Cyberkriminalität sind. Viel zu häufig wählen Nutzer trotz aller Appelle bei der Passwortvergabe den einfachsten Weg, ohne sich der weitreichenden Konsequenzen bewusst zu sein, die ihnen bei einem Datenklau drohen.
Passwortsicherheit 2019: Zwischen Cloud und „Collection #1–5“
In den vergangenen Jahren wurden globale Vernetzung und Digitalisierung im Eiltempo vorangetrieben. Ein Leben ohne das Internet und das World Wide Web, ohne die Möglichkeiten der Cloud oder ohne Social Media ist für die meisten Menschen nur noch schwer vorstellbar: Online wickeln wir Geschäfte ab, knüpfen Kontakte und führen private oder geschäftliche Unterhaltungen, kaufen und verkaufen, bezahlen, spielen, streamen Musik oder Filme, speichern Dateien ab und informieren uns über News-Portale über die neusten Nachrichten aus aller Welt.
Dabei geben wir eine riesige Menge sensibler Daten in die Hände von Unternehmen und Technik, wobei Passwörter in den meisten Fällen die einzige Schutzmaßnahme sind – eine, die allem Anschein nach oft nicht ernst genug genommen wird – zumindest lassen das die zahlreichen Datenlecks der jüngsten Web-Geschichte vermuten. Immer wieder ist es Cyberkriminellen gelungen, mithilfe von Angriffsmethoden wie Malware, Phishing-Mails bzw. -Websites oder Brute-Force-Attacken an Anmeldeinformationen zu gelangen und auf diese Weise vertrauliche Benutzerdaten zu erbeuten. So gelangten Kriminelle 2014 beispielsweise an diverse Log-in-Informationen für Apples iCloud und veröffentlichten private Fotos zahlreicher VIPs, da sich deren Anmeldedaten mit nur geringem Aufwand ermitteln ließen.
Im Rahmen der bereits erwähnten „Collection #1–5“ sind im Januar 2019 über zwei Milliarden E-Mail-Adressen samt Passwort veröffentlicht worden, die aus verschiedensten – teils bekannten, teils bis dato unbekannten – Leaks stammen. Solche Ereignisse unterstreichen die Wichtigkeit hoher Passwortsicherheit überdeutlich. Umso erstaunlicher sind die Ergebnisse einer repräsentativen Umfrage, die WEB.DE im Vorfeld des Tags der Passwortsicherheit 2019 durchgeführt hat: Nur etwa jeder zweite deutsche Internet-Nutzer (ein Anteil von 53 % der Befragten) nahm die Passwort-Enthüllungen zum Anlass, das eigene Passwortverhalten zu überdenken – und lediglich ein Viertel der Befragten gab an, infolgedessen Passwörter bei einigen Web-Diensten geändert zu haben.
Die Sicherheit der eigenen Passwörter wird häufig überschätzt
Der sehr unbedarfte Umgang deutscher Web-Nutzer mit Themen wie Passwortsicherheit bzw. Cybersicherheit hat mehrere Ursachen: So hegen viele den verbreiteten Irrglauben, dass die eigenen Daten für Kriminelle so uninteressant sind, dass ein Angriff gar nicht erst in Frage kommt. Eine weitere Fehlannahme besteht darin, dass es prinzipiell auch gar nicht so schlimm ist, wenn Fremde Zugriff auf einfache Dienste wie die verwendeten Social-Media- oder E-Mail-Konten erhalten. Aus diesem Grund betreiben viele bei der Passwortvergabe auch keinen größeren Aufwand. Dass Postfächer und Nutzer-Accounts für Cyberkriminelle häufig nur die Eintrittskarte in die gesamte digitale Datenwelt der Geschädigten sind, wird oft mehr oder weniger unwissend ausgeblendet.
Zudem sehen viele Nutzer keinerlei Notwendigkeit, das eigene Passwortverhalten zu verändern, weil sie die eigenen Kennwörter bereits für sicher genug halten oder darauf vertrauen, dass die eigene Sicherheitssoftware bzw. die Sicherheitslösungen von Internet-Provider und Service-Anbietern ausreichend Schutz vor Datendiebstahl bieten.
Für ihre Angriffsversuche nutzen Cyberkriminelle in den meisten Fällen nicht den eigenen Computer, sondern die Geräte argloser Nutzer. Auf diese wurde zuvor eine schädliche Software eingeschleust, die es dem Angreifer ermöglicht, das gekaperte System aus der Ferne zu bedienen. Man bezeichnet die infizierten Computer, die für potenzielle Angriffe in riesigen Netzwerken vereint werden, häufig auch als Bots oder Zombies. Um derartigen Netzwerken den Kampf anzusagen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Zusammenarbeit mit IONOS und anderen IT-Spezialisten bereits im Jahr 2010 das Projekt botfrei ins Leben gerufen.
Zu oft verwendet, durchschaubar, inspirationslos: Typische Passwort-Fehler sind auch 2019 präsent
Das fehlende Gespür dafür, dass der Hack eines einzelnen Dienstes auch mit dem Risiko des Datenverlusts auf anderen Plattformen verbunden ist, zeigt sich am deutlichsten darin, dass mehr als die Hälfte der Nutzer auch 2019 das gleiche Passwort bei mehreren (54 %) oder gar bei allen verwendeten Onlinediensten (5 %) nutzen. Diese Zahlen bedeuten zwar einen leichten Rückgang gegenüber dem Vorjahr, in dem noch ganze 61 % der Befragten angaben, ihre Kennwörter mehrfach zu nutzen, aber sie sind immer noch so hoch, dass sie signalisieren, wie wichtig Aufklärungsarbeit zum Thema Passwortsicherheit auch weiterhin bleibt.
Das macht sich auch darin bemerkbar, dass jeder Fünfte (21 %) bei der Passwortkreation auf persönliche Informationen wie Geburtsdaten, Spitznamen oder Hobbys zurückgreift. In der Gruppe der 18- bis 29-Jährigen sind es sogar 30 % der Befragten, die derartige leicht zu erschließende Informationen in ihre Kennwörter einbauen. Außerdem verzichten rund ein Drittel der deutschen Internet-Nutzer auf Sonderzeichen, was Cyberkriminellen die Entzifferung mithilfe von Tools unnötigerweise erleichtert.
Die detaillierte Studie von web.de zum Tag der Passwortsicherheit finden Sie hier bei Slideshare.
Der Wunsch zum Tag der Passwortsicherheit: Mehr Fantasie und Komplexität
Sichere Passwörter zu erstellen ist eine große Herausforderung, der Sie sich langfristig stellen sollten, wenn Sie die Möglichkeiten der digitalen Welt sorgenfrei nutzen möchten. Denn da Kriminelle ständig neue Methoden entwickeln, um Kennwörter herauszufinden, sollten Sie sich niemals mit einer einfachen Lösung zufriedengeben und Ihre Passwortstrategie immer weiter perfektionieren. Dabei sollten Sie vor allem folgende Tipps und Tricks für eine höhere Passwortsicherheit beherzigen:
- Gehen Sie bei der Passworterstellung möglichst kreativ vor: Nutzen Sie Fantasiewörter oder im besten Fall willkürliche Kombinationen von Buchstaben (Klein- und Großschreibung), Zahlen und Sonderzeichen.
- Tragen Sie bewusst falsche Antworten für Sicherheitsfragen ein! Je aktiver Sie im Web sind, desto leichter gelangen auch Fremde an Ihre privaten Informationen, um derartige Fragen korrekt beantworten und so die Passworteingabe umgehen zu können.
- Wählen Sie für Ihre Passwörter eine Länge von mindestens acht Zeichen, um die Entschlüsselung so schwer wie möglich zu machen. Lässt ein Service ausschließlich Kennwörter mit weniger Zeichen zu, sollten Sie auf dessen Nutzung verzichten.
- Verwenden Sie nicht dasselbe Passwort für unterschiedliche Dienste und Plattformen, sondern setzen Sie stattdessen auf individuelle Kennwörter für die verschiedenen Web-Dienste.
Insbesondere der letzte Punkt scheint auf den ersten Blick nur schwer realisierbar zu sein – insbesondere angesichts der großen Menge an Onlinediensten, bei denen Nutzer heutzutage durchschnittlich angemeldet sind: In der WEB.DE-Umfrage gab fast jeder dritte Befragte (32 %) an, 16 oder mehr Services mit E-Mail- und Passwort-Anmeldung zu nutzen. Knapp jeder Zehnte (8 %) greift im Alltag sogar auf über 30 Webanwendungen mit Nutzer-Log-in zu.
Angesichts solcher Zahlen ist klar, dass sich eine Passwortstrategie mit verschiedenen, komplexen und kreativ gewählten Kennwörtern ohne entsprechende Hilfsmittel nur schwer umsetzen lässt. Experten raten daher entweder zu einem eigenen Passwortsystem, bei dem ein unknackbares Masterpasswort variiert wird, oder zur Nutzung von Passwortmanagern, die häufig nicht nur Passwortsicherheit garantieren, sondern auch das Generieren sicherer Kennwörter ermöglichen.