Essen. .
Was haben „123456“, „waldi“ und „sabine82“ gemeinsam? Sie sind beliebte Passwörter - und leider auch sehr, sehr schlechte. Wer nicht das gleich Schicksal wie Millionen Sony- und Rewe-Kunden erleiden will, sollte sich ein paar Gedanken über die Sicherheit seiner Passwörter machen. Gegen ein schlechtes Gedächtnis helfen Passwort-Manager-Programme.
Beim Computerriesen Sony stehlen Hacker Millionen von Passwörtern. Sensible Kundendaten der Handelskette Rewe tauchen frei zugänglich im Internet auf. Der deutsche Zoll und das LKA leiden unter Hackerangriffen. Diese Ereignisse der letzten Monate zeigen, wie angreifbar wir über unsere Aktivitäten im Netz sind. Wer jetzt glaubt, dass er selbst für einen Hacker viel zu uninteressant und darum sicher sei, der irrt, wie Christoph Spiller vom Institut für Internet-Sicherheit in Gelsenkirchen erklärt: „Hacker suchen sich immer das schwächste Glied.“Um beispielsweise in ein Firmennetzwerk einzubrechen oder über Ebay unter falschem Namen einzukaufen, reicht es schon, wenn man beliebte und bekannte Passwörter so lange ausprobiert, bis sie bei einem Nutzer passen. Um sich vor solchen Passwortdieben zu schützen, muss man allerdings nur ein paar Regeln beachten, wie die Experten aus Gelsenkirchen erklären.
Wie finde ich ein sicheres Passwort?
Beliebte Passwörter sind einfach zu merken: Namen von Haustieren, Geburtsdaten, Spitznamen oder Hobbys. Darum sind sie für Hacker aber auch leicht zu knacken. „Solche Wörter sind sogar ohne technische Hilfsmittel leicht zu knacken“, meint Christoph Spiller vom vom Institut für Internet-Sicherheit in Gelsenkirchen. Die Experten dort empfehlen, generell keine Wörter zu verwenden, die im Lexikon zu finden sind. Generell gilt: Ein Passwort ist umso sicherer, je mehr unterschiedliche Zeichen es beinhaltet. „Verwenden Sie mindestens 10 Zeichen, darunter eine Mischung aus Groß- und Kleinbuchstaben, sowie Ziffern und Sonderzeichen“, raten die Experten aus Gelsenkirchen. Wer keine Lust hat, sich ein eigenes Kennwort auzudenken, kann auch auf sogenannte Passwortgeneratoren zurückgreifen, die automatisch eine sichere Kombination erstellen.
Wie kann ich mir mein Passwort merken?
Zufallsgenerierte Passwörter lassen sich nur schwer im Gedächtnis behalten. Einfacher ist es da, sich selber eine schwer zu knackende Kombination auszudenken. Beispielsweise kann man den Refrain seines Lieblingsliedes dazu verwenden. Aus „Ein Bett im Kornfeld/ das ist immer frei/ Denn es ist Sommer und was ist schon dabei?“ wird dann: „1BiKdiifdeiSuwisd?“. Alternativ kann man auch ein normales Wort nehmen und es mit Zahlen und Sonderzeichen durchsetzen.
Wie schütze ich mein Passwort?
Ein extrem sicheres Kennwort nützt nichts, wenn man es überall verwendet. Zwar braucht der Hacker länger, um es zu knacken, aber dann hat er im schlimmsten Fall Zugriff auf Email-Konten, Bankdaten und andere persönliche Accounts. Darum sollte ein Passwort immer nur einmal verwendet werden. Außerdem sollte man seine Kennwörter regelmäßig ändern. Je sensibler das Konto ist, desto häufiger, meinen die Experten: „Idealerweise sollten Sie Passwörter für sensible Anwendungen etwa alle drei Monate wechseln.“ Ändern sollte man die Wörter auch, wenn man den Verdacht hat, dass jemand es erfahren hat und sobald man sich irgendwo neu anmeldet und ein voreingestelltes Passwort erhält. Passwörter dürfen zudem niemals wiederverwendet werden.
Wer darf meine Passwörter kennen?
Prinzipiell niemand. Ob man seine Passwörter einigen engen Freunden oder Familienangehörigen mitteilt, muss jeder für sich entscheiden. Christoph Spiller meint: „Das ist Vertrauenssache und es kommt immer darauf an, um welche Passwörter es geht.“ Die Zugangsdaten für ein Forum etwa könne man ruhig verraten. Beim Online-Banking sehe das schon ganz anders aus. Vorsichtig sollte man auf jeden Fall sein, wenn man in einer Mail dazu aufgefordert wird, sein Passwort einzugeben. Meist verbergen sich dahinter sogenannte Phishing-Mails, die die Daten an einen Hacker weiterleiten. Kein seriöses Unternehmen fragt in einer Mail ein Passwort ab.
Darf ich mir meine Passwörter irgendwo aufschreiben?
Besser nicht. Wer für jeden Account ein eigenes, kompliziertes Kennwort hat, kann sich diese unmöglich alle merken. Da liegt es nahe, sich die Passwörter irgendwo zu notieren. Eine schlechte Idee, meint Christoph Spiller: „Man sollte Passwörter auf keinen Fall irgendwo aufschreiben, sich etwa einen Zettel auf den Monitor kleben“, warnt er. Besser und sicherer seien da sogenannte Passwort-Manager. Das sind Programme, die man auf dem eigenen Rechner installiert. Viele dieser Programme, wie etwa „Keepass“ oder „Password Safe“, können kostenlos im Internet heruntergeladen werden. Mit ihnen kann man viele verschieden Passwörter und Zugangsdaten organisieren und speichern. Um Zugriff auf das Programm zu bekommen, braucht man nur noch ein einziges Passwort, das sogenannte „Masterpasswort“. „Das sollte natürlich besonders lang und sicher sein“, sagt PC-Experte Spiller. Menschen, die oft an verschiedenen Computern arbeiten, können ihren Passwort-Manager auch auf einem USB-Stick speichern und so von jedem Rechner aus auf ihre Passwörter zugreifen. Christoph Spiller empfiehlt hier besonders Keepass. Davon, sensible Zugangsdaten im Internet zu speichern, rät der Experte ab. „Das ist natürlich auch eine Vertrauenssache, denn man weiß nie, wie sicher diese Anbieter sind.“
Ich habe den Verdacht, dass mein Passwort gestohlen wurde. Was mache ich?
Hier heißt es zunächst: Schnell das Passwort ändern. Werden die eigenen Zugangsdaten nicht mehr vom Anbieter akzeptiert, ist es meist schon zu spät. Dann hat der Hacker bereits auf den Account zugegriffen und das Passwort geändert. Es bleibt nur noch die Möglichkeit, den Anbieter zu kontaktieren. „Aber das ist dann eine komplizierte Sache, weil der Anbieter ja nicht sicher sein kann, dass er wirklich den Geschädigten in der Leitung hat“, meint Spiller. Also: Lieber richtig vorbeugen.
Gibt es noch andere Fallen, auf die ich achten sollte?
Bevor man seine Kennwort irgendwo eintippt, sollte man überlegen, ob der Rechner wirklich sicher ist. Computer, die von vielen verschiedenen Menschen genutzt werden, beispielsweise in Internet-Cafès, bergen Gefahren. Dort könnten sogenannte Key-Logger installiert sein, die sämtliche Eingaben über die Tastatur speichern. So bekommen Hacker ganz schnell Zugriff auf diese Daten.
Christoph Spiller rät außerdem dazu, die Sicherheitsstufe der Anbieter zu kontrollieren. Dafür gibt es einen einfachen Trick: Auf der Log-In-Seite gibt es immer ein Button, falls man sein Passwort vergessen hat. Der Anbieter schickt dann eine Mail an die gespeicherte Email-Adresse. „Wenn in dieser Mail das Passwort offen angezeigt wird, nimmt der Anbieter es mit der Sicherheit nicht so genau“, sagt Spiller. So seien auch die Daten der Rewe-Kunden in die Öffentlichkeit gelangt. Froh sein könne man hingegen, wenn man in der Mail einen Link vorfinde, der auf eine andere Seite weiterleite.
Natürlich sollte man, so Spiller, immer auch gewisse Sicherheitsstandards für den eigenen PC beachten. Also: Regelmäßig die Firewall und das Virenschutzprogramm aktualisieren. Außedem sollte man den Zugang zu den Benutzeraccount auf dem eigenen Computer ebenfalls mit einem Passwort sichern.