Passwort- und Cybersicherheits-Tipps

Zeichenanzahl

Die Sicherheit eines Passwortes hängt ganz entscheidend von seiner Länge ab. 10 Zeichen gelten als Minimum, nach oben sind kaum Grenzen gesetzt.

Der Grund: Angreifer können automatisiert zufällig generierte Zeichenfolgen „ausprobieren“ („Brute Force-Angriff“). Selbst mit handelsüblichen Rechnern sind mehrere Millionen Versuche pro Sekunde kein Problem. Kurze Passwörter können damit innerhalb von Sekunden geknackt werden.

Verwendung mehrerer Zeichenklassen

Die Verwendung mehrerer Zeichenklassen (Ziffern, Groß- und Kleinbuchstaben, Sonderzeichen) kann die Sicherheit weiter steigern. Auch in diesem Fall sollte jedoch kein zu kurzes Passwort verwendet werden.

Keine Begriffe aus dem Wörterbuch

Gerade Brute Force-Angriffe lassen sich enorm beschleunigen, indem man den Algorithmus zunächst Worte aus einem handelsüblichen Wörterbuch ausprobieren lässt: Die Anzahl der möglichen Kombinationen sinkt dadurch enorm. Solche Passwörter sollte man daher vermeiden.

Hinweis: Die Verwendung von Leetspeak schafft nur scheinbar zusätzliche Sicherheit. Auch die Urheber von Wörterbuch-Angriffen kennen diesen Kniff!

Keine Begriffe aus dem persönlichen Umfeld

Auch wenn sich Passwörter mit einem persönlichen Bezug leichter merken lassen: Diese Angaben kennt oft auch ein potenzieller Angreifer. Tabu sind daher Namen von Familienmitgliedern, des Haustiers, des besten Freundes, des Lieblingsstars, Geburtsdaten, aber auch der Name des Arbeitgebers, der Wohnort oder die Postleitzahl. Dies gilt übrigens auch dann, wenn vorne oder hinten ein oder mehrere Sonderzeichen oder Zahlen angehängt werden (zum Beispiel „Schatzi1!“).

Keine offensichtlichen Buchstaben- und Zahlenreihen

Scheinbar erfüllt die Zeichenfolge „qwertzuiop123“ viele der soeben aufgestellten Anforderungen. Trotzdem wird ein Angreifer eine solche Kombination verhältnismäßig leicht knacken können, da die Buchstaben auf der Tastatur nebeneinanderliegen. Gleiches gilt für „123456“, „abcdef“, „AAAAAAAA“ und ähnliche Abfolgen.

Tipp

Verwenden Sie die Anfangsbuchstaben eines Satzes, den Sie sich gut merken können, am besten mit Satzzeichen und Zahlen. So wird zum Beispiel aus „Heute, am 07. März, erstelle ich ein sicheres Passwort mit mindestens 10 Zeichen!“ das Passwort „H,a07.M,eiesPmm10Z!“.

Keine Doppelverwendung

Wenn Sie an Hand der genannten Regeln ein sicheres Passwort gefunden haben, verwenden Sie es nur für einen einzigen Account. Ansonsten kann ein Angreifer, der eines Ihrer Passwörter herausfindet, sofort alle Ihre Konten und Profile nutzen.

Änderungen von Passwörtern

Grundsätzlich wird es nicht mehr empfohlen, Passwörter regelmäßig beziehungsweise ohne konkreten Anlass zu ändern. Es gibt jedoch zwei wichtige Ausnahmen.

Es kommt immer wieder vor, dass Hacker detaillierte Datensätze von Benutzerkonten einschließlich der Passwörter erbeuten und im Internet veröffentlichen. Meistens informieren die betroffenen Anbieter ihre Nutzer.innen über solche Sicherheits­vorfälle. Um zu überprüfen, ob Ihre Login-Daten ins Internet gelangt sind, können Sie aber auch selbst aktiv werden.

Folgende Dienste greifen auf umfangreiche Bestände an geleakten Passwörtern zurück:

• Identity Leak Checker des Hasso-Plattner-Instituts: https://sec.hpi.de/ilc/
• Haveibeenpwned: https://haveibeenpwned.com/

Wenn Ihr Passwort gehackt wurde, sollten Sie es in jedem Fall schnellstmöglich ändern.
Auch Standardpasswörter, die zum Beispiel beim Kauf von Hardware oder neu erstellten Nutzerkonten voreingestellt sind, sollten Sie nach der ersten Verwendung ändern – auch wenn sie scheinbar sicher und komplex erscheinen.

Niemals Passwörter notieren, speichern bzw. verschicken, auch nicht im Handy

Idealerweise notieren Sie Passwörter nirgends, nicht auf Post-Its am Monitor oder unter der Tastatur, aber auch nicht in der Notizen-App im Handy oder den E-Mail-Entwürfen. Der sichere Ort zur Aufbewahrung von Passwörtern ist allein der Passwort-Manager.

Was sich leicht anhört, ist angesichts einer kontinuierlich wachsenden Fülle an Benutzerkonten nicht immer einfach umzusetzen. Es gelingt nur sehr wenigen Personen, alle regelmäßig benötigten Passwörter im Kopf zu behalten. Abhilfe kann hier ein Passwort-Manager schaffen.

Ein Passwort-Manager erleichtert die Erstellung, Verwaltung und Nutzung sicherer Passwörter. Man braucht man sich nur noch das Hauptpasswort für das Tool und gegebenenfalls die Passwörter für wirklich sensible Dienste wie Online-Banking merken.

Hier einige Beispiele:

• KeePass und KeePassXC sind kostenlos verfügbare, sichere und ausgereifte Passwort-Manager-Programme, die regelmäßig überarbeitet werden. Dadurch ist sichergestellt, dass auftretende Sicherheitslücken möglichst zeitnah behoben werden.
• Keeper oder 1Password bieten umfangreichere Synchronisationsoptionen, sind jedoch kostenpflichtig.
• Bei allen cloudbasierten Diensten sollte man sich vor Augen führen, dass man den Zugang zu allen sensiblen Daten in der Regel einem einzelnen Unternehmen anvertraut.

Beim Einsatz eines Passwort-Managers besteht das Risiko darin, dass alle Passwörter an einem Ort abgespeichert sind. Sollte ein Passwort-Manager gehackt werden, müssen alle gespeicherten Passwörter geändert werden. Außerdem sind bei einem Verlust des Masterpassworts alle gespeicherten Passwörter verloren.

2-Faktor-Authentisierung/Multi-Faktor-Authentisierung verwenden

Die Sicherheit eines langen, schwer zu knackenden Passworts (sog. Faktor „Wissen“) lässt sich durch die Verwendung eines zweiten Faktors weiter steigern. Dies bedeutet, dass der Login durch einen weiteren Schritt bestätigt werden muss. Üblich sind zum Beispiel die Bestätigung auf einem Mobilgerät, die Eingabe einer TAN aus einem TAN-Generator oder einer Authenticator-App, die Verwendung einer Chipkarte (jeweils Faktor „Besitz“) oder die Prüfung eines biometrischen Merkmals wie ein Fingerabdruck oder ein Gesichts-Scan (Faktor „Inhärenz“).

Auch wenn diese Methode einen geringen Zusatzaufwand erfordert, sollte sie, soweit verfügbar, in jedem Fall aktiviert werden.

Sensibel auf Phishing-Versuche reagieren

Seien Sie vorsichtig, wenn eine E-Mail Sie auffordert, einen Link zu öffnen, insbesondere wenn Sie den Absender nicht kennen oder Ihnen die Mail wegen des Textes oder der Absenderzeile verdächtig vorkommt. Geben Sie auch nie Benutzernamen und Passwörter auf gefälschten, oft täuschend echten Webseiten ein, auf die solche E-Mails verlinken. Weitere ausführliche Tipps zur Erkennung von Phishing-Mails bietet das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Seite an.

Vorsicht bei E-Mail-Anhängen

Seien Sie vorsichtig, wenn eine E-Mail Sie auffordert, eine angehängte Datei zu öffnen, wenn Sie den Absender nicht kennen oder Ihnen die Mail wegen des Textes oder der Absenderzeile verdächtig vorkommt. Häufig versenden Angreifer Ransomware-Programme auf diesem Weg. Allein durch das Öffnen des Anhangs kann der gesamte Datenbestand des Rechners verschlüsselt und damit unter Umständen dauerhaft unbrauchbar werden. Auch Keylogger und Trojaner, die Ihren Rechner ausspionieren, können so auf den Rechner gelangen. Weitere ausführliche Tipps zum Thema Ransomware bietet das BSI auf seiner Seite an.

Software (Betriebssystem und Programme/Apps) aktuell halten

Softwarehersteller stellen in regelmäßigen Abständen oder bei dringendem Bedarf Updates bereit, wenn Sicherheitslücken bekannt werden. Angriffe, die solche Schwachstellen ausnutzen, können daher durch die zeitnahe Installation von Updates effektiv abgewehrt werden.

Regelmäßig Back-Ups erstellen

Sollte es doch einmal zu einem erfolgreichen Angriff kommen, werden unter Umständen Daten auf Ihrem Gerät gelöscht, verändert oder verschlüsselt. In diesem Fall hilft ein Back-Up, das auf einem nicht mit dem betroffenen Gerät verbundenen, separaten Datenträger (externe Festplatte, USB-Stick) und/oder bei einem Cloud-Dienstleister liegt und regelmäßig erneuert wird.

Da mobile Geräte wie Smartphones, aber auch Tablets oder Notebooks sehr oft entsperrt werden müssen, ist ein Passwort, das den genannten Anforderungen genügt, in vielen Fällen unpraktikabel. Aber auch hier kann man die Sicherheit mit einigen Kniffen stark erhöhen.

Generell sollte man bedenken, dass viele Geräte nach mehreren Fehlversuchen bei der Bildschirmsperre einen Login in ein verknüpftes Benutzerkonto erlauben – hier kommt es dann wieder auf die Sicherheit des Passworts an.

Automatische Sperre

Zunächst sollten alle mobilen Geräte so konfiguriert sein, dass sie sich nach einer gewissen Zeit automatisch sperren. Das verhindert unbefugten Zugriff relativ zuverlässig, wenn das Gerät verloren geht.

Sperrmuster

Das Sperrmuster ist einfach und komfortabel. Hier sollte man jedoch beachten, dass das Zeichnen leicht beobachtet und nachvollzogen werden kann. Auch später lassen Wischspuren unter Umständen das Muster erkennen.

PIN

Die PIN bietet, je nach Länge, eine gute Sicherheit. Bedenken sollte man, dass der klassische 4stellige Code nach 10.000 Versuchen geknackt ist. Zusätzlich können auch hier Fingerspuren einem Angreifer wertvolle Hinweise liefern.

Die Sicherheit kann erheblich gesteigert werden, wenn das Gerät bei zu häufiger Falscheingabe temporär oder dauerhaft gesperrt wird (geräteabhängig).

Biometrie

Die schnellste und unkomplizierteste Methode ist sicherlich ein biometrischer Login über den Fingerabdruck, Gesichtserkennung oder Iris-Scan. Hier hängt die Sicherheit des Verfahrens stark von der verwendeten Hardware und damit vom konkreten Gerät ab. Manche Geräte lassen sich beispielsweise bei der Gesichtserkennung durch ein Foto täuschen. Auch einige Fingerabdruckscanner lassen sich mit einigem Aufwand überlisten. Generell sollte der Schutz für den Alltagsgebrauch jedoch ausreichend sein.

Geräteverschlüsselung

Mit einigem Know-How lassen sich alle der genannten Sperren umgehen. Hier kann eine Grundverschlüsselung des Geräts einen zusätzlichen Schutz bieten. Die Verfügbarkeit dieser Möglichkeit bzw. entsprechender Programme und die Schutzwirkung hängt dabei stark vom Hersteller und der Geräteversion ab.

Mit der Flexibilisierung von Arbeitsort und Arbeitszeit wächst auch die Angriffsfläche für Cyberkriminelle. Zusätzlich zu den bereits dargestellten Regeln sollten Sie deshalb die folgenden Hinweise beachten:

• Verwenden Sie keine privaten E-Mail-, Messenger oder Cloud-Dienste, um geschäftliche Nachrichten oder Dateien auszutauschen. Private Geräte sollten Sie nur dann nutzen, wenn Ihr Arbeitgeber entsprechende Sicherheitsvorkehrungen getroffen hat (zum Beispiel ein Arbeitsprofil, eine Desktop-Virtualisierungsumgebung).
• Beachten Sie, dass Ihr Arbeitsplatz unter Umständen gut eingesehen werden kann. Gerade im (halb-)öffentlichen Bereich (CoWorking–Spaces, etc.) sollten Sie darauf achten, Ihre Geräte immer zu sperren, wenn Sie Ihren Arbeitsplatz verlassen. In öffentlichen Bereichen wie Flugzeug oder Bahn können Bildschirmschutzfolien helfen, neugierige Blicke abzuwehren.
• Nutzen Sie für die Einwahl in das Unternehmensnetz stets eine sichere VPN-Verbindung.