Wenn es um das Risiko geht, Opfer eines Cyber-Angriffs oder Hacks zu werden, sprechen die Sicherheitsexperten des Hasso-Plattner-Instituts (HPI) eine klare Sprache: "Die Frage ist nicht, ob es passiert, sondern wann." Wenn das stimmt – kann man sich davor überhaupt schützen? Ein starkes Passwort, frisch erdacht und mit zahllosen Sonderzeichen garniert muss doch eine sichere Bank sein! Vorab – leider nein. Das bloße Ändern von Passwörtern bringt eigentlich nichts. Wenn Kriminelle an einen Haufen Zugangsdaten gelangt sind, spielt es keine Rolle, wie frisch oder vermeintlich sicher Ihr Passwort war.
Ihre Sicherheit fängt also beim Anlegen des Kontos an. Denn das Ziel muss es sein, den maximal möglichen Schaden zu begrenzen – also zu kontrollieren, was Hacker mit Ihren Daten anfangen könnten, wenn sie in deren Besitz gelangen. Sollten Sie auf jeder Internetseite das gleiche Passwort mit der gleichen E-Mail-Adresse nutzen, stehen die Chancen gut, dass bei einer Übernahme von Seite A sehr schnell auch Konten bei Seite B, C, D, usw. futsch sind. Davor können Sie sich glücklicherweise aber schützen! Erster - und zu recht oft wiederholter - Tipp: Nutzen Sie für jede Internetseite ein anderes Passwort.
Verstecken Sie sich!
Der zweite Tipp erhöht die Sicherheit nochmals deutlich: Nutzen Sie für jede Internetseite eine andere E-Mail-Adresse. Das klingt zunächst nach sehr viel Arbeit und hohem Verwaltungsaufwand, ist es aber nicht unbedingt. Denn Anbieter wie zum Beispiel Apple ermöglichen das Verbergen einer E-Mail-Adresse bei Anmeldung auf einer Seite oder bei einem Dienst. Das bedeutet, dass Sie nur für einen einzigen Einsatzzweck eine Art Deckmantel über Ihre eigentliche Adresse legen und der jeweilige Anbieter Sie nur über eine Tarn-Anschrift kontaktieren kann, deren Erreichbarkeit Sie jederzeit abwürgen können. Das verhindert nicht nur Spam, sondern sorgt im Falle eines Angriffs auch dafür, dass Kriminelle nicht in den Besitz Ihrer tatsächlichen Mail-Adresse kommen.
Hauptsache k0mPliz1ert: Auf diese Passwort-Mythen fallen wir alle herein
Bei Hackern denkt man oft an staatliche Großangriffe. Dabei sind die meisten einfache Kriminelle. Auch Arno Wacker warnt: "Jedes Passwort ist von Interesse. Es geht nicht darum wie interessant jemand ist, sondern was ein Krimineller mit dem Passwort alles tun kann." Sei es, das Konto zu plündern, auf Kosten des Opfers zu shoppen oder schlicht Spam zu versenden. Im Zweifel werden die Daten einfach verkauft.
Als drittes sollten Sie die sogenannte 2-Faktor-Authentifizierung nutzen, sofern der Webseiten- oder Dienstbetreiber das anbietet. Das sorgt im Falle einer fremden, aber erfolgreichen Anmeldung mit Adresse und Passwort für eine weitere Hürde, bevor sich jemand Zugang verschaffen kann. Das kann eine SMS auf Ihr Smartphone, eine PIN aus einer App oder eine E-Mail mit Link sein – ohne Zugriff darauf geht es für den Angreifer nicht weiter.
Haben Sie dann mit der Zeit für jede Internetseite ein anderes Passwort, eine andere E-Mail-Adresse und überall eine zusätzliche Sicherheitsschranke, ist das Kennwort selbst fast egal. Oder zumindest deutlich weniger wichtig.
Aufwand begrenzen, altes löschen
Zugegeben, die Tipps klingen enorm aufwändig – und sind es tatsächlich nicht in jedem Fall wert. Sofern es sich nur um einen Zugang für die App ihres smarten Staubsaugers oder ein Internet-Forum für eine schnelle Frage handelt, nehmen Sie höchstens eine versteckte E-Mail-Adresse und halten den Rest der Daten simpel. Sollte es hier zu einem Angriff kommen, erstellen Sie eben ein neues Konto – Kampf gewonnen, nichts zerronnen.
Bei Zugängen, deren Erhalt sich lohnt, lohnt sich zur Verwaltung der Daten ein Passwortmanager wie 1Password, Keepass oder Bitwarden. Für Freunde digitaler Sauberkeit empfiehlt es sich außerdem, Konten, die nicht mehr gebraucht werden, komplett zu löschen.
Das ist allerdings echte Sisyphusarbeit – denn Sie haben zwar grundsätzlich einen Anspruch darauf, dass man Ihre Zugänge auf Anfrage löscht, aber viele Webseiten und Dienste haben dafür keinen gut sichtbaren Knopf, sondern bitten um einen schriftlichen Auftrag, der oft erst nach Tagen oder Wochen Beachtung findet.
Es liegt nicht am Passwort
Fakt ist, dass Kriminalität im Internet ohnehin deutlich mehr Facetten hat, als bloß das Passwort einer Privatperson herauszufinden. Es gibt das sogenannte Phishing, also das Fälschen von Mails oder Webseiten um Daten abzufangen. Aber auch Malware, sprich schadhafte Software oder die zuletzt immer wieder in den Medien genannte Ransomware. Gemeint ist damit Software, die Daten verschlüsselt und nur gegen eine Zahlung wieder freigibt. Vor diesen Dingen kann man sich durch vorsichtigen Umgang mit unbekannten Inhalten im Internet zwar bedingt bewahren, das Passwort ist aber selten die Ursache für eine erfolgreiche Attacke.
Sollten Sie also den Ändere-Dein-Passwort-Tag nutzen, stecken Sie etwas mehr Arbeit in die Absicherung Ihrer Logins. Es reicht aber auch, wichtige Zugänge nach und nach mit den empfohlenen Schritten abzusichern. Einen Tag nur zum Ändern von Passwörtern brauchen Sie wirklich nicht einplanen. Übrigens: Ob Ihre Adresse oder gar Ihr Passwort bereits in Datenbanken vergangener Verbrechen auftauchen, können Sie beim HPI oder bei Have-I-Been-Pwned nachschauen.
Quellen: Hasso-Plattner-Institut, Have I Been Pwned, BKA, Apple
Lesen Sie auch:
"Passwort, bitte": Zur Reparatur wollen Firmen Zugriff auf Smartphone oder PC – aber dürfen sie das?
