Der Handel mit Daten ist ein Milliardengeschäft – doch nicht nur Unternehmen, auch Cyberkriminelle zeigen ein wachsendes Interesse an der wertvollen Ressource.
Auch und vor allem für Betriebe gilt: Der Zugang zu der eigenen betrieblichen Website, Cloud-Diensten, Kundendatenbanken, Dienst-Handys oder Mail-Konten sollte besonders gut gesichert sein. Denn was passieren kann, wenn Kriminelle Zugriff haben, konnte man im letzten Jahr mehrfach aus den Medien erfahren.
Nachfolgende Hinweise sind also nicht nur für den privaten Bereich gedacht – besonders Unternehmen sollten überprüfen, wie es um ihre Passwortstrategie steht. Denn ein wichtiger Bestandteil einer guten IT Sicherheit ist ein vernünftiges Identitätsmanagement im Unternehmen!
Passwörter sind der digitale Schlüssel zu unseren Daten und sollten mit Bedacht gewählt werden!
Und dennoch: Auch im Jahr 2022 ist wieder die simple Zahlenreihe „123456“, auf Platz 1 der beliebtesten Passwörter des Jahres gelandet, gleich danach findet man “123456789”, ermittelte das Hasso-Plattner-Institut.
Das größte Problem: Viele Internetnutzer verwalten mehrere Online-Konten – und für alle Online-Dienste wird derzeit ein Passwort benötigt. Es ist natürlich lästig, sich für jeden Dienst ein anderes Passwort zu merken. Viel zu oft fällt die Wahl deshalb auf Passwörter, die man sich leicht merken kann und die für unterschiedliche Dienste gleich mehrfach genutzt werden – Kriminelle hätten im Ernstfall so gleich Zugriff auf mehrere Konten.
Bei der Wahl des Passworts müsse Sicherheit vor Bequemlichkeit gelten und jede und jeder die möglichen Folgen bedenken, die es haben kann, wenn das Passwort in die falschen Hände gelangt.
Tipps zur Passwortwahl
Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut daher:
- Lange Passwörter (> 15 Zeichen)
- Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
- Keine Wörter aus dem Wörterbuch
- Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
- Verwendung von Passwortmanagern
- Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
- Zwei-Faktor-Authentifizierung aktivieren, wenn möglich
eco Verband empfiehlt starke Passwörter statt häufige Passwortwechsel
Wenn es um ihre Online-Passwörter geht, bevorzugen viele Deutschen Kontinuität: 37,6 Prozent geben in einer repräsentativen Civey-Umfrage im Auftrag des eco – Verband der Internetwirtschaft e. V. an, sie wechseln ihre Passwörter seltener als einmal im Jahr. 14,8 Prozent sagen, sie wechseln diese nie. Einmal im Jahr überlegen sich 7,9 Prozent neue Passwörter für ihre Online-Accounts, mehrmals im Jahr 16,9 Prozent.
Reicht das aus? Jährlich will der „Ändere dein Passwort“-Tag am 1. Februar motivieren, Passwörter zu wechseln. Aktiv werden sollen Nutzer:innen jedoch nur bei unsicheren Exemplaren. „Angesichts der vielen Passwörter, die wir nutzen, ist es besser auf starke, schwer zu knackende Passwörter zu setzen, statt diese häufig zu wechseln“, sagt Prof. Norbert Pohlmann, Vorstand IT-Sicherheit im eco – Verband der Internetwirtschaft e. V. „Starke Passwörter schützen die eigene Online-Identität und verhindern unbefugte Zugriffe auf persönliche oder geschäftliche Informationen. Ein zusätzlicher zweiter Faktor ist noch besser.“
Dazu drei Tipps:
Tipp 1: Tauschen Sie unsichere gegen kryptische Passwörter aus. Diese sind acht bis zwölf Zeichen lang, besteht aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen – in willkürlicher Reihenfolge. Überprüfen Sie, ob Ihre wichtigen Online-Passwörter sicher und schwer zu knacken sind – und ändern Sie diese gegebenenfalls heute.
Tipp 2: Verwenden Sie einen Passwort-Manager, da sichere Passwörter schwer zu merken sind. Damit müssen Sie sich nur noch ein Passwort merken, nämlich das zu Ihrem Passwort Manager. Für alle anderen Zwecke generiert die Software starke und einzigartige Passwörter automatisch und speichert diese verschlüsselt ab – lokal auf einem Gerät oder auch online. Das hat den Vorteil, dass man auch mobil und mit verschiedenen Geräten auf die eigenen Passwörter zugreifen kann.
Tipp 3: Verwenden Sie für besonders schützenswerte Zugänge die Zwei-Faktor Authentifizierung. Ein zweiter Identifikationsweg, zusätzlich zum Passwort, erhöht die Sicherheit. Diese Zwei-Faktor-Authentifizierung gibt es in zahlreichen Varianten, etwa als Code per SMS, mit einem TAN-Generator etwa beim Online-Banking oder in einer App. Ein starkes Passwort und aktivierte Zwei-Faktor Authentifizierung schützen sehr wirksam gegen Missbrauch durch Kriminelle.
Einen Vorschlag, wie sich auch ein komplexes Passwort leicht merken lässt, gibt der eco Verband auch. Es hilft, sich einen Satz oder eine Phrase auszudenken und daraus die ersten Buchstaben jedes Wortes zu nehmen und es mit Sonderzeichen und Ziffern zu kombinieren. Beispiel: Aus „Ich wohne in einem gelben Haus und habe 2 Katzen“ könnte IwiegH&h#2K! werden.
Der Identity Leak Checker
Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts (HPI), sehr leicht überprüfen. Seit 2014 kann dort jeder Internetnutzer unter https://sec.hpi.de/ilc kostenlos durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Die Sicherheitsforscher ermöglichen den Abgleich mit mittlerweile mehr als 12,7 Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liegt der Fokus auf Leaks bei denen deutsche Nutzer betroffen sind. Das Angebot ist in Deutschland einzigartig.
Insgesamt haben mehr als 16,4 Millionen Nutzer mithilfe des Identity Leak Checkers die Sicherheit ihrer Daten in den letzten fünf Jahren überprüfen lassen. In mehr als 4,1 Millionen Fällen mussten Nutzer darüber informiert werden, dass ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten im Internet offen zugänglich war.
Quelle: u.a. Hasso-Plattner-Institut, eco – Verband der Internetwirtschaft e. V.
2023-02-01