Image: Das Passwort – nervig, aber wichtigFERCHAUFERCHAUSichere Passwörter sind das A und O | Urheberrecht: BrianAJackson
TechnikIT-Sicherheitsstrategien

Das Pass­wort – nervig, aber wichtig

Lesezeit ca.: 4 Minuten
Alexander Freimark

Alexander Jake Freimark

freier Journalist

Starke Passwörter bilden die Basis einer stabilen IT-Sicherheits­stra­tegie, Treue und Bequemlich­keit sind ihre größten Feinde. Auch wenn es schwerfällt: keine Namen, dafür Sonderzei­chen, häufiger mal wechseln, nicht überall das Gleiche verwenden. Und genau überlegen, wo man es eintippt. Sicherheit gibt es nicht umsonst.

01. Februar 2016

Ein Passwort ist nicht das Problem – 20 Passwörter sind es. 20 Passwörter, die regelmäßig gewechselt werden müssen, die nicht bei mehreren Anwendungen zum Einsatz kommen dürfen, die nach einem intelligenten Zufallsprinzip bestimmt wurden, die „mindestens zwölf Zeichen lang sind“, wie das Bundesamt für Sicherheit in der Informati­ons­technik (BSI) empfiehlt. Zwölf Zeichen pro Applikation, keine Namen und Tastatur­muster, dafür aber Sonderzei­chen – wie würde Einsteins Windows-Passwort aussehen: „$!3bdmmHaA0U“? Das WLAN-Passwort für WPA und WPA2 sollte laut BSI sogar 20 Stellen umfassen, wegen der so genannten Offline-Attacken.

20 Stellen gegen Offline-Attacken

Offline-Attacken? Nach Jahrzehnten voller Warnungen vor Viren, Würmern, Trojanern, Phishing, Spear-Phishing, Advanced Persistent Threats und befreundeten Geheimdiensten hat sich bei vielen Menschen ein wohliges Gefühl der Teilnahms­lo­sig­keit eingestellt, genannt „Security Fatigue“. Angesichts der Erkenntnis, dass Angreifer und Behörden ohnehin alles lesen können, was sie lesen wollen, ist die Frage nach dem Sinn der Passwörter durchaus berechtigt. Das Passwort entstammt einer Zeit, als es echte Menschen von einem unberech­tigten Zugriff auf Systeme abhalten sollte. Dann kamen die Maschinen ins Spiel, und mit ihnen spezielle Programme sowie die Rechenleis­tung aus der Cloud – Angreifer wissen den technischen Fortschritt zu nutzen.

Ein Passwort mit acht Stellen ist keine Paranoia

Heute ist ein sechsstel­liges Passwort das Post-it-Papier nicht wert, auf dem es notiert wird. Der Münchener Sicherheits­be­rater Frank von Stetten zeigt in Workshops für Unternehmen, wie lange es dauert, ein einfaches sechsstel­liges Passwort zu knacken – Sekunden. „Ein achtstel­liges Passwort ist ein netter Anfang, aber auch nicht supersicher“, berichtet von Stetten. „Damit halten wir die Kinder von der Straße fern.“ Acht Stellen, das sei keine Paranoia, sondern gut ausbalan­ciert zwischen Zumutung und Unsicher­heit. Nur: „Organisierte Angreifer haben damit kein Problem.“ Das Dilemma: „Wenn sie den Menschen sagen, dass sie lange und komplizierte Passwörter verwenden sollen, winken die meisten gleich ab“, sagt der Sicherheits­ex­perte.

Das universelle Passwort – gute Nacht!

Komplexität ist der Schlüssel zur Sicherheit, Bequemlich­keit macht Diebe. Es reicht schon, dass die E-Mail-Adresse als Username ein universeller Schlüssel ist, in der Bank, dem Finanzamt, bei Online-Händlern, Bezahldiensten, Telkos und ISPs, Informati­ons­quellen und Sportver­einen, Medien, sozialen Netzen und beim Friseur, bei dem man online den Wunschtermin eintragen kann. Nutzt man nur ein einziges Passwort und eine E-Mail-Adresse, kann auch ein jugendli­cher Spaßtäter die digitale Identität in 30 Minuten komplett übernehmen oder sich in einem Unternehmen einnisten, um schrittweise weitere kritische Informationen abzugreifen. „Das Problem sind nicht die Angriffe, sondern die Tatsache, dass sie es nicht mitbekom­men“, warnt der Münchener Sicherheits­be­rater von Stetten.

Wie würde Einsteins Passwort lauten?

Das Wichtigste bei Passwörtern ist jedoch die Bereitschaft der Menschen, ihr Gehirn anzustrengen und nicht immer den leichtesten Weg zu gehen. „Ich kenne niemanden, der für jede Anwendung ein eigenes Passwort hat“, erzählt Tobias Schrödel, der als Sicherheits­be­rater, Autor und „Comedy-Hacker“ arbeitet – und sich selbst nicht von dieser Bequemlich­keit ausnimmt. Auf kritischen Systemen mit finanziellen Transaktionen sei ein starkes Passwort jedoch extrem wichtig, um teure Folgen zu vermeiden. Das Verfahren ist simpel: Schrödel bildet einen Satz, etwa: „Schon immer beruhten die meisten menschli­chen Handlungen auf Angst oder Unwissen­heit.“ Davon werden die Anfangsbuch­staben genommen mit ihrer Groß- und Kleinschrei­bung: „SibdmmHaAoU“. Anschlie­ßend ersetzt Schrödel Buchstaben durch Sonderzei­chen und ergänzt Satzzeichen, um die Komplexität zu steigern: „$!3bdmmHaA0U“ wäre dann etwa Einsteins Passwort. „Für Facebook nehme ich dann noch ein F dazu, für Paypal ein P oder für Outlook ein O“, sagt der Comedy-Hacker – fertig ist das stabile Passwort.

Sicherheit ist anstrengend

Das Thema treibt derweil bunte Blüten. In den USA gibt es „handgefer­tigte Hipster-Passwörter“, berichtete Heise im Herbst 2015. Für „läppische acht US-Dollar“ kann man sich auf der Seite bespokepass­words.com ein einmaliges Passwort bestellen, das per Post „auf Qualitäts­pa­pier in einem Sicherheits­um­schlag“ geliefert wird. Und das deutsche Spaßportal der-postillon.com brachte 2014 eine Meldung, wonach der Chaos Computer Club (CCC) „Mb2.r5oHf-0t“ offiziell zum sichersten Passwort der Welt gekürt hat – verbunden mit der Empfehlung, alle Accounts umgehend damit zu sichern. Ernsthaft: Die mit Abstand beliebtesten Passwörter von Adobe-Kunden sind „123456“, gefolgt von „123456789“ und „password“. IT-Sicherheit endet da, wo Bequemlich­keit beginnt.

Ausgabe 2016/01

Ausgabe 2016/01

Dieser Artikel erscheint auch in unserem IT-Magazin <atFERCHAU>. Möchten Sie weitere spannende Artikel lesen?

Download pdf