VG-Wort Pixel

Ändere-Dein-Passwort-Tag Passwörter ändern nervt – und ist eigentlich auch gar nicht nötig

Frau sitzt frustriert vor ihrem Laptop
Frustrierend: Wie sicher Ihre Daten im Netz wirklich sind, haben nicht immer Sie selbst in der Hand.
© Natalia Gdovskaia / Picture Alliance
Es ist wieder Ändere-Dein-Passwort-Tag. Höchste Zeit, die alten Passwörter zu ändern und sich etwas Neues auszudenken. Oder doch nicht? Eigentlich macht das nur Sinn, wenn Sie die Gelegenheit nutzen, um ganz andere Dinge zu beachten.

Wenn es um das Risiko geht, Opfer eines Cyber-Angriffs oder Hacks zu werden, sprechen die Sicherheitsexperten des Hasso-Plattner-Instituts (HPI) eine klare Sprache: "Die Frage ist nicht, ob es passiert, sondern wann." Wenn das stimmt – kann man sich davor überhaupt schützen? Ein starkes Passwort, frisch erdacht und mit zahllosen Sonderzeichen garniert muss doch eine sichere Bank sein! Vorab – leider nein. Das bloße Ändern von Passwörtern bringt eigentlich nichts. Wenn Kriminelle an einen Haufen Zugangsdaten gelangt sind, spielt es keine Rolle, wie frisch oder vermeintlich sicher Ihr Passwort war.

Ihre Sicherheit fängt also beim Anlegen des Kontos an. Denn das Ziel muss es sein, den maximal möglichen Schaden zu begrenzen – also zu kontrollieren, was Hacker mit Ihren Daten anfangen könnten, wenn sie in deren Besitz gelangen. Sollten Sie auf jeder Internetseite das gleiche Passwort mit der gleichen E-Mail-Adresse nutzen, stehen die Chancen gut, dass bei einer Übernahme von Seite A sehr schnell auch Konten bei Seite B, C, D, usw. futsch sind. Davor können Sie sich glücklicherweise aber schützen! Erster - und zu recht oft wiederholter - Tipp: Nutzen Sie für jede Internetseite ein anderes Passwort.

Verstecken Sie sich!

Der zweite Tipp erhöht die Sicherheit nochmals deutlich: Nutzen Sie für jede Internetseite eine andere E-Mail-Adresse. Das klingt zunächst nach sehr viel Arbeit und hohem Verwaltungsaufwand, ist es aber nicht unbedingt. Denn Anbieter wie zum Beispiel Apple ermöglichen das Verbergen einer E-Mail-Adresse bei Anmeldung auf einer Seite oder bei einem Dienst. Das bedeutet, dass Sie nur für einen einzigen Einsatzzweck eine Art Deckmantel über Ihre eigentliche Adresse legen und der jeweilige Anbieter Sie nur über eine Tarn-Anschrift kontaktieren kann, deren Erreichbarkeit Sie jederzeit abwürgen können. Das verhindert nicht nur Spam, sondern sorgt im Falle eines Angriffs auch dafür, dass Kriminelle nicht in den Besitz Ihrer tatsächlichen Mail-Adresse kommen. 

Als drittes sollten Sie die sogenannte 2-Faktor-Authentifizierung nutzen, sofern der Webseiten- oder Dienstbetreiber das anbietet. Das sorgt im Falle einer fremden, aber erfolgreichen Anmeldung mit Adresse und Passwort für eine weitere Hürde, bevor sich jemand Zugang verschaffen kann. Das kann eine SMS auf Ihr Smartphone, eine PIN aus einer App oder eine E-Mail mit Link sein – ohne Zugriff darauf geht es für den Angreifer nicht weiter.

Haben Sie dann mit der Zeit für jede Internetseite ein anderes Passwort, eine andere E-Mail-Adresse und überall eine zusätzliche Sicherheitsschranke, ist das Kennwort selbst fast egal. Oder zumindest deutlich weniger wichtig.

Aufwand begrenzen, altes löschen

Zugegeben, die Tipps klingen enorm aufwändig – und sind es tatsächlich nicht in jedem Fall wert. Sofern es sich nur um einen Zugang für die App ihres smarten Staubsaugers oder ein Internet-Forum für eine schnelle Frage handelt, nehmen Sie höchstens eine versteckte E-Mail-Adresse und halten den Rest der Daten simpel. Sollte es hier zu einem Angriff kommen, erstellen Sie eben ein neues Konto – Kampf gewonnen, nichts zerronnen. 

Bei Zugängen, deren Erhalt sich lohnt, lohnt sich zur Verwaltung der Daten ein Passwortmanager wie 1Password, Keepass oder Bitwarden. Für Freunde digitaler Sauberkeit empfiehlt es sich außerdem, Konten, die nicht mehr gebraucht werden, komplett zu löschen.

Das ist allerdings echte Sisyphusarbeit – denn Sie haben zwar grundsätzlich einen Anspruch darauf, dass man Ihre Zugänge auf Anfrage löscht, aber viele Webseiten und Dienste haben dafür keinen gut sichtbaren Knopf, sondern bitten um einen schriftlichen Auftrag, der oft erst nach Tagen oder Wochen Beachtung findet. 

Es liegt nicht am Passwort

Fakt ist, dass Kriminalität im Internet ohnehin deutlich mehr Facetten hat, als bloß das Passwort einer Privatperson herauszufinden. Es gibt das sogenannte Phishing, also das Fälschen von Mails oder Webseiten um Daten abzufangen. Aber auch Malware, sprich schadhafte Software oder die zuletzt immer wieder in den Medien genannte Ransomware. Gemeint ist damit Software, die Daten verschlüsselt und nur gegen eine Zahlung wieder freigibt. Vor diesen Dingen kann man sich durch vorsichtigen Umgang mit unbekannten Inhalten im Internet zwar bedingt bewahren, das Passwort ist aber selten die Ursache für eine erfolgreiche Attacke.

Sollten Sie also den Ändere-Dein-Passwort-Tag nutzen, stecken Sie etwas mehr Arbeit in die Absicherung Ihrer Logins. Es reicht aber auch, wichtige Zugänge nach und nach mit den empfohlenen Schritten abzusichern. Einen Tag nur zum Ändern von Passwörtern brauchen Sie wirklich nicht einplanen. Übrigens: Ob Ihre Adresse oder gar Ihr Passwort bereits in Datenbanken vergangener Verbrechen auftauchen, können Sie beim HPI oder bei Have-I-Been-Pwned nachschauen.

Quellen: Hasso-Plattner-Institut, Have I Been Pwned, BKA, Apple

Lesen Sie auch:

Der Mann, der uns schwierige Passwörter einbrockte, bereute seine Entscheidung

Mann besitzt Bitcoin im Wert von 200 Millionen Euro: Das Problem? Er hat sein Passwort vergessen

"Passwort, bitte": Zur Reparatur wollen Firmen Zugriff auf Smartphone oder PC – aber dürfen sie das?


Mehr zum Thema



Newsticker