Die lieben Kennwörter und die Sicherheit: Die Deutschen bleiben Passwortmuffel

Längst ist es für viele Internetnutzer selbstverständlich, sich bei Online-Diensten mit der E-Mail-Adresse als Benutzernamen anzumelden. Nach einer repräsentativen Umfrage, die heute vom Internetportal Web.de veröffentlicht wird, nutzen mehr als zwei Drittel der deutschen Internetnutzer bis zu 15 unterschiedliche Onlinedienste mit ihrer Mailadresse als Anmeldung. Die überwiegende Zahl der Deutschen, 59 Prozent, nutzt dafür jeweils dasselbe Passwort. Fahrlässig und gefährlich nennt das Sebastian Koye, Sicherheitsexperte bei 1&1. „Wenn bei einem erfolgreichen Hack das Passwort bei nur einem einzigen dieser Dienste geknackt wird, dann probieren die Hacker üblicherweise die Kombination aus E-Mail-Adresse oder Nutzername und Passwort bei einer ganzen Reihe anderer populärer Websites aus“, sagt er. Wenn bei allen Diensten dasselbe Passwort genutzt wird, ist logischerweise die gesamte digitale Identität in Gefahr.

Die Folge der Fahrlässigkeit: Viele Dienste stehen plötzlich jemand Fremdem zur Verfügung – etwa der eigene Facebook-Account, Chats mit Freunden und Geschäftspartnern, Fotos und Briefe in der Cloud oder auch eingerichtete Kaufzugänge bei Online-Shops samt Zugang zum Bezahldienst Paypal. Und wenn der Hacker das E-Mail-Postfach geknackt hat, steht ihm über die Passwort-Vergessen-Funktion vieler Dienste weitere Zugänge zur Verfügung. Oder er richtet einfach bei einem Online-Shop eine Nutzerkennung ein.

Laut Befragung von Web.de finden es 56 Prozent der Deutschen lästig, bei immer mehr Diensten einen eigenen Login einzurichten. Dies aber ist aus Sicherheitsgründen unerlässlich. Noch problematischer wird das durch die wachsende Zahl an Zugängen per Handy. Die Hälfte der Deutschen hat auf ihren Smartphones keinen Zugangsschutz hinterlegt oder nur eine Persönliche Identifikationsnummer (PIN). Gelangt jemand Fremdes an das Smartphone und überwindet er den PIN-Schutz, dann stehen im Grunde auch alle Apps zum Missbrauch bereit, in denen man eingeloggt ist.

Die Fachleute empfehlen daher, für jeden Dienst ein eigenes, besonders komplexes Kennwort einzurichten (siehe untenstehenden Text: So erstellen Sie in fünf Schritten ein sicheres Passwort). Auf dem Handy sollte man ein „richtiges“ Kennwort einrichten, nicht nur eine PIN-Nummer. Passwortmanager können dabei helfen, die wachsende Zahl an Kennwörtern im Griff zu behalten (siehe unten: So funktionieren Passwortmanager). Zu überlegen ist außerdem, sich fürs Mail-Programm und andere wichtige Dienste eine sogenannte Zwei-Faktor-Authentifizierung freizuschalten (siehe den untenstehenden kleinen Text).

Wie raffiniert die Hacker mittlerweile vorgehen, zeigt der Fall von John Podesta, dem Wahlkampfmanager von Hillary Clinton im US-Wahlkampf. Angreifer sandten ihm an sein privates Gmail-Postfach eine Warnung, dass sein Mail-Postfach gehackt sei und er umgehend sein Kennwort ändern sollte.

Als Link wurde die heute noch funktionstüchtige, aber inzwischen entschärfte Adresse https://bit.ly/1PibSU0 angegeben – in einer Mail, die wie von Gmail aussah. Ein Mitarbeiter Podestas schöpfte Verdacht und fragte bei einem IT-Kollegen nach. Der wollte eigentlich schreiben, dass die Mail unseriös (englisch „illegitimate“) sei, also ein Betrugsversuch. Durch einen Tippfehler antwortete er jedoch, sie sei seriös (englisch „legitimate“). Als guten Ratschlag gab er noch mit, die Zwei-Faktor-Authentifizierung einzuschalten und auf der Gmail-Website das Passwort zu ändern.

Unglücklicherweise klickte im Büro jemand auf den falschen Link – und Minuten später standen 50.000 Mails aus dem Postfach von Podesta den Hackern zur Verfügung. Viele vertrauliche Dinge daraus wurden später auf Wikileaks veröffentlicht. Nur ein schwacher Trost: Einem Passwortmuffel wäre so ein fataler Fehler nicht passiert.

So funktionieren Passwortmanager

Passwortmanager sind eine sinnvolle Alternative zu eigenen Methoden, Kennwörter für viele unterschiedliche Dienste zu verwalten. Die Tücke liegt dabei nicht im Detail, sondern im Generellen.

Passwortmanager klinken sich als Erweiterung in das Browserfenster ein. Sie überwachen das Surfverhalten des jeweiligen Nutzers. Jedesmal, wenn ein Kennwort einzugeben ist, schaut das Manager-Programm in die Datenbank. Findet es dort die zuvor abgespeicherten Zugangsdaten, trägt es sie automatisch ein. Und jedesmal, wenn man ein neues Passwort erstellen soll, bietet der Manager an: Soll ich das Passwort für erstellen, abspeichern und verwalten?

Damit arbeiten viele Web-Arbeiter jeden Tag. Dienste wie LastPass und 1Password verwalten deren Kennwörter. Sie erschließen nahezu vollautomatisch den Zugang zum E-Mail-Postfach, zu geschützten Webinhalten, zum Bankkonto. Nur wenn man das Masterpasswort zum Passwortverwalter eingibt, werden alle jemals abgespeicherten Zugänge zu Einzeldiensten freigeschaltet – das aber fast sofort, oft reicht ein einziger weiterer Klick.

Die Kehrseite freilich ist die riesige Verantwortung, die man als Nutzer dem Passwortmanager aufbürdet – und mehr noch das immens nötige Vertrauen in diesen Dienst. Kaum jemand kennt Firmenstruktur, Arbeitsweisen Vertrauenswürdigkeit von Unternehmen wie LastPass und Co. Das können Startup-Firmen sein, die kommen und gehen.

Alle diese Passwortdienste sind besonderes Ziel von Hackerangriffen, und hundertprozentige Sicherheit gibt es nicht. Immerhin: LastPass hat kürzlich einem freien Programmierer 1000 Dollar Belohnung ausgezahlt, als er auf eine Sicherheitslücke hinwies.

Sichere Kennwörter in fünf Schritten

Fachleute empfehlen, für jeden Dienst im Internet ein separates Kennwort zu verwenden. Mit der richtigen Methode ist das durchaus möglich – und das sogar so, dass man sich das Kennwort für jeden einzelnen Dienst merken kann. Hier die Anleitung.

Wenn fern die Schiffe dröhnen über den dunklen Rhein, bist du am Ufer allein, wenn weh die Glocken tönen.

2. Schritt: Nehmen Sie von jedem Wort dieses Satzes den Anfangsbuchstaben und bilden Sie daraus den ersten Teil Ihres Kennworts:

WfdSdüddRbdaUawwdGt.

Vorteil: Selbst wenn Sie es mal irgendwo an einem Schirm sichtbar haben, kann es sich kein Tischnachbar, der zufällig über die Schulter schaut, merken. Die Länge ist ausreichend komplex.

3. Schritt: Bei jedem Dienst, den Sie nutzen, ergänzen Sie drei bestimmte Buchstaben, die aus der WWW-Adresse stammen – beispielsweise den ersten und letzten Buchstaben der Domain gefolgt von dem letzten Buchstaben der Länderdomain. Für Web.de wäre das zum Beispiel wbe, für T-Online.de tee, für Rhein-Zeitung.de rge. Wichtig ist, sich von Beginn an ein einheitliches System bei der Groß- und Kleinschreibung zu überlegen. Alternativ kann es auch eine Merkfolge sein wie „der letzte Buchstabe der ersten Silbe der Domain, gefolgt von dem zweiten Buchstaben der zweiten Silbe und dem ersten Buchstaben der Länderdomain, der erste dabei immer in Großbuchstaben“. In den Beispielen wären das dann für Web.de Bed, für T-Online TNd, für Rhein-Zeitung.de Ned. Wenn man sich einmal an die selbsterstellte Silbenregel gewöhnt hat, funktioniert sie recht schnell bei jedem künftigen Internetdienst.

4. Schritt: Danach ergänzt man noch etwas Passworttiefe, indem man stets die gleichen zwei Sonderzeichen und eine Zahl hinzufügt. Beispielsweise +&3 oder #!7. Hintergrund: Zunehmend verlangen die Dienste ausführlichere Passwörter, die Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen mischen. Je länger und unterschiedlicher sie sind, desto sicherer. In unserem Beispiel lauten die Passwörter nun wie folgt:

• für Web.de WfdSdüddRbdaUawwdGtwbe+&3,
• für T-Online WfdSdüddRbdaUawwdGttee+&3 und
• für die Internetseite Rhein-Zeitung.de WfdSdüddRbdaUawwdGtrge+&3.

5. Schritt: Zum Schluss sollte man sich noch überlegen, ein Passwortbüchlein anzulegen und an einem sicheren, nicht offensichtlichen Ort zu verwahren. Das kann ein handschriftlich erstelltes Papierbuch verbuddelt inmitten der Steuerunterlagen ebenso sein wie eine Word-Datei, die mit einem zusätzlichen Passwortschutz (per „Dokument schützen“) versehen wird und auf der Festplatte gespeichert wird. Das könnte dann verschlüsselt (wichtig!) durchaus in einem Cloud-basierten Internet-Dienst wie Dropbox abgespeichert liegen. Der große Vorteil: Man bekommt so auch Zugriff von dem Handy oder der Arbeit auf diese Liste.

Keine gute Idee ist, so eine Datei in einem E-Mail-Postfach zu verwahren. Im Netz muss so eine Datei stets verschlüsselt gespeichert werden.

Bei mir als Autor dieses Textes sind auf diese Weise in den vergangenen 20 Jahren Internet so inzwischen mehrere Dutzend DIN-A4-Seiten an Zugangsdaten in einer Passwortsammlung zusammengekommen (teilweise mit umfangreichem Material zu benötigten Feineinstellungen für technische Konfigurationen). Ich speichere die Datei durchaus in einer Cloud – allerdings stets verschlüsselt durch ein als sicher geltendes Programm namens Boxcryptor. Diese Software verschlüsselt auf Ordner-Ebene. Das bedeutet: Ein Praktikant oder auch der oberste Systemadministrator bei meinem Cloud-Dienstleister kann so nicht einmal versehentlich sehen, wie die enthaltenen Ordner und Dateien heißen. Sollte dort jemand eine Datei öffnen wollen, bekommt er nur chinesischen Buchstabensalat. 100-prozentige Sicherheit bietet auch das nicht, aber es geht zumindest etwas sicherer.

Zu überlegen ist auch, wie man mit dienstlichen Zugängen und Daten von Kunden umgeht. Möglicherweise untersagt es der Arbeitgeber, Zugangs- und Kundendaten bei Internetdiensten insbesondere im Ausland zu lagern – ganz egal, ob sie verschlüsselt sind. Im deutschen Datenschutz ist es außerdem problematisch, Kundendaten bei US-amerikanischen Diensten abzuspeichern. Im Zweifel gilt es, die eigene IT-Abteilung oder den Datenschutzbeauftragten zu befragen.

Von unserem Digitalchef Marcus Schwarze