So basteln Sie ein wirklich sicheres Passwort

Forscher haben viele Millionen gestohlene Datensätze identifiziert. Gute Zugangscodes sind gar nicht so schwer zu generieren

Passwörter vergisst man leicht. Vor allem wenn man mehrere hat. Heute kommen die meisten Bürger schnell auf ein Dutzend davon: für Email-Postfach, Dienst-Rechner, Amazon, Paypal, Bankzugang, Xing, Facebook, Twitter, Bahn- und Fluglinien-Account, Verbraucher- und Hobby-Foren, und und und. Was liegt da näher als für alle Zugänge dasselbe Passwort zu nehmen. So vergisst man es kaum. Vor allem, wenn es auch noch ein einfach zu merkendes ist wie etwa die Kombination aus nebeneinander liegenden Buchstaben auf der Tastatur oder der Name der Ehefrau.

Ganz einfach. Und ganz, ganz schlecht. Denn so macht man es Hackern leicht, die eigene Identität zu stehlen und sie für kriminelle und für einen selbst teure oder peinliche Aktionen zu nutzen. Etwa Einkäufe beim Online-Versandhandel. Wer dasselbe Passwort für mehrere Accounts nutzt, ist gleich mehrfach Angriffen ausgesetzt.

Der „Identity Leak Checker“ prüft die Sicherheit des eigenen Email-Accounts

Forscher des Potsdamer Hasso-Plattner-Instituts (HPI) haben im zu Ende gehenden Jahr in illegalen Internetforen knapp 35 Millionen Identitätsdaten neu entdeckt, die geraubt wurden und kriminell verwertet werden können.

Die Potsdamer Hochschule für IT-Technik hat einen „Identity Leak Checker“ (ILC, Prüfer auf Identitätslecks) auf ihre Website gestellt. Mit ihm lässt sich schnell überprüfen, ob die eigene Mailadresse in einem dieser kriminellen Foren kursiert. Der ILC kontrolliert zudem, ob die Mailadresse bereits in Verbindung mit anderen persönlichen Daten wie Telefonnummer, Geburtsdatum oder Adresse im Internet offengelegt wurde.

Jeder siebte Mail-Zugang ist Hackern bekannt

„Wir können solche Abgleiche mittlerweile mit mehr als 215 Millionen erfasster Daten aus sogenannten Leaks durchführen“, sagt HPI-Direktor Prof. Christoph Meinel. Bei jeder siebten der rund 100.000 Anfragen beim ILC innerhalb eines Jahres musste das HPI den Anfragenden mitteilen, dass ihre persönlichen Daten nicht mehr zur Gänze geheim sind.

Zwar kann das HPI keine Garantie dafür übernehmen, dass die Daten wirklich sicher sind, wenn der Leak Checker kein Leck findet (nicht alle illegalen Datenbanken konnten schon identifiziert und analysiert werden), aber das Risiko ist dann zumindest verringert.

Nutzer von Datingportalen sind besonders angreifbar

Meinel zufolge stammen die geklauten Datensätze von persönlichen Zugängen bei 15 zum Teil bekannten Dienstleistern wie Skype oder Twitter. Hacker, die sich Daten beschaffen, setzen aber offenbar zunehmend auch auf Nutzer von Datingportalen wie Ashley Madison oder Adult Friend Finder, weil sie bei ihnen ein hohes Erpressungspotenzial vermuten – wer will schon, dass die eigenen sexuellen Vorlieben oder Seitensprungambitionen frei im Internet einsehbar sind.

Es lohnt sich in jedem Fall, die eigenen Passwörter alle paar Monate zu ändern. Und zwar richtig. Das garantiert sichere Passwort ist zwar nicht möglich, weil es sich im Laufe der Zeit immer wieder zeigte, dass Cyberkriminelle die Datenbanken von Internetfirmen knacken und dort Zugangsnamen und Passwörter der Kunden ausspionieren konnten. Aber wer sein Passwort regelmäßig wechselt und dabei Sicherheitsregeln beachtet, macht es den Kriminellen deutlich schwerer.

Das beliebteste Passwort ist zugleich das schlechteste: „123456“

Ganz schlechte Passwörter sind die naheliegenden: „qwertz“ etwa, wie auf der Tastatur nebeneinander zu erkennen oder „123456“. Letzteres ist laut Hasso-Plattner-Institut noch immer das beliebteste Passwort – und das schlechteste! Sehr beliebt und von miserabler Sicherheit ist auch das Passwort „Passwort“.

Haben Kriminelle schon Informationen über ein potenzielles Opfer gesammelt (etwa via Facebook), sind auch Namen von Angehörigen oder Haustieren, Telefonnummern, Postleitzahlen, Automarken, Fußballvereine und Geburtsdaten ganz schlechte Passwörter. Sie werden beim illegalen Zutritt zu persönlichen Konten als erstes getestet – und das mit schnellen Rechnern in Mikrosekunden.

Nur Passwörter, die nicht in Wörterbüchern stehen, sind sicher

Im Prinzip sind alle Wörter, die in Wörterbüchern verzeichnet sind, schlecht als Passwörter geeignet. „Mit Hilfe von speziellen Geräten können Internetkriminelle in wenigen Augenblicken alle Begriffe von Aal bis Zwetschge als Passwort ausprobieren“, schreibt das Bundesamt für Sicherheit in der Informationstechnik auf seiner Webseite.

Aber wie sieht das bestmögliche Passwort aus? Es ist lang – zwölf oder mehr Buchstaben wären gut. Und es enthält möglichst gleichzeitig Groß- und Kleinbuchstaben sowie Sonderzeichen (. , # + ? etc.) und Zahlen. Damit solche Zeichen-Ungetüme nicht ganz so schwer zu merken sind, raten Experten für Internetsicherheit zum Beispiel, längere Sätze mit ganz persönlichen Inhalten zu verkürzen, indem man von jedem Wort nur den Anfangsbuchstaben nutzt und auch Sonderzeichen integriert (besser innerhalb des Passworts als am Anfang oder am Ende ). So könnte ein gutes Passwort aussehen: „Id80-JhmMj2.S(!)K-Rg“. Furchtbar kompliziert? Nicht, wenn man es selbst erstellt hat und weiß, dass es für diesen vertrauten Satz steht: „In den 80er-Jahren hat meine Mutter jeden 2. Sonntag (!) Kohl-Roulade gemacht“.

Ein Muss: Firewall, Virenscanner, ein professioneller Browser und Daten-Backup

Mit solchen Passwörtern kann man es Hackern schon recht schwer machen. Hinzu kommt als „Muss“ folgende Maßnahmen auf dem Rechner, Tablet beziehungsweise Smartphone: Laden Sie Programm-Updates vom Betriebssystem und von Anwenderprogrammen, sie beinhalten oft Schlösser für bekannt gewordene Hacker-Hintertürchen. Installieren Sie eine Firewall und einen Virenscanner, der sich automatisch regelmäßig aktualisiert (Hinweise auf gute Schutzprogramme findet man zum Beispiel bei www.chip.de, www.heise.de oder www.test.de).

Nutzen Sie einen modernen Browser wie Chrome, Firefox, Safari oder Internet Explorer, laden Sie aber möglichst wenige Zusatzprogramme (Plugins). Nutzen Sie für den Internetzugriff nur ein Benutzerkonto mit eingeschränkten Rechten, keinesfalls ein Administrator-Konto. Deinstallieren Sie Programme und Apps, die Sie nicht benötigen. Machen Sie Daten-Backups auf eine externe Festplatte. Auch das geht heute – wie die Installation anderer Schutzmaßnahmen – ganz einfach.