http://www.faz.net/-gy9-7q5ev

Milliarden Datensätze gestohlen : Ein sicheres Passwort allein nützt wenig

Besucher des Kongresses des Chaos Computer Clubs in Berlin. Ein sicheres Passwort kann schützen - muss aber nicht. Bild: picture alliance / dpa

Es ist wieder passiert: Angeblich haben russische Hacker Milliarden Passwörter gestohlen. Die Nutzer sind verunsichert. Aber das Passwort zu ändern, hilft nicht unbedingt. Es gibt allerdings eine praktikable Lösung.

          Die Angst geht wieder um unter Millionen Internetnutzern. Laut New York Times, die sich wiederum auf das amerikanische Sicherheitsunternehmen Hold Security beruft, wurden rund 1,2 Milliarden Einwahl-Kombinationen für Internet-Profile gestohlen. Dabei handelt es sich jeweils um den Benutzernamen und das dazugehörige Passwort. Wenn die vollständigen Zugangsdaten gestohlen wurden, helfen auch die einschlägigen Tipps für die Wahl eines guten Kennworts nicht weiter. Denn die Hacker hätten in diesem Fall Zugänge zu den Servern der betroffenen Webseiten und könnten auch ein geändertes Passwort abermals abgreifen.

          Man kann jedoch in solchen Fällen des Identitätsdiebstahls etwas tun. Das Stichwort lautet „Zwei-Faktor-Authentifizierung“. Hinter dem sperrigen Begriff steckt eine kombinierte mehrfache Absicherung. Am Geldautomaten benötigt man die Bankkarte und die Pin-Nummer. Wer sich in sein Unternehmens-Netz einwählt, verwendet die Login-Daten und ein Sicherheits-Token, eine kreditkartengroße Karte, die auf ihrem Display einen Code anzeigt, der alle fünf Minuten wechselt. Selbst wenn der Token in falsche Hände gerät, kann er für den unerlaubten Zugriff nicht missbraucht werden, weil für den Zugriff auch die Login-Informationen benötigt werden.

          Die Idee bei der Zwei-Faktor-Authentifizierung ist dabei immer die gleiche. Die geheimen Daten werden auf zwei verschiedenen Geräten angefordert. Auf dem Computer oder dem Tablet fragt das Internetportal den Benutzernamen und das Passwort. Das ist dann sozusagen der erste „Weg“ oder „Faktor“. In einem zweiten Schritt folgt eine weitere Abfrage nach einem Zahlencode. Diese Kombination wird erst in diesem Moment generiert. Und zwar mit Hilfe einer App, einer Token-Karte oder einem Foto-Tan-Generator. Wäre ein Hacker in Besitz des Benutzernamens und Passwortes, wüsste er nicht den Code. Denn dieser wird erst generiert.

          Auch der neue Personalausweis kann für eine Zwei-Wege-Verfahren verwendet werden. Anbieter können sich beim Bundesverwaltungsamt anmelden und werden gegebenenfalls berechtigt, den Ausweis als „zweiten Faktor“ nutzen zu dürfen. Der Perso fungiert dabei als Token wie die EC-Karte. Er muss mit einem Kartenlesegerät und passender Software verwendet werden. Der integrierte RFID-Chip ist mit 256 Bit verschlüsselt.

          Keine Zwei-Faktor-Authentifizierung bei deutschen Anbietern

          Auch wer sein elektronisches Postfach besser schützen will, kommt um den Einsatz des zweistufigen Verfahrens nicht herum. Und es ist bezeichnend, dass deutsche Anbieter wie die Telekom, GMX oder Web.de zwar plakativ mit „Sicherheit“ werben, aber diese grundlegende Technik nicht einmal gegen Entgelt anbieten. In Deutschland bietet nur Mailbox.org dieses Verfahren an.

          Für höchsten Schutz muss man also, ob man sie nun mag oder nicht, fast ausschließlich auf amerikanische Anbieter wie Google, Microsoft, Yahoo wechseln. Die erste Möglichkeit besteht darin, zusätzlich das Handy für die erweiterte Authentifizierung einzusetzen. Die entsprechenden Menüs zur Einrichtung heißen „Bestätigung in zwei Schritten“, „Zweite Anmeldeüberprüfung“ oder „Sicherheitsschlüssel“.

          Auch wenn es sich kompliziert anhört: Die Zwei-Faktor-Authentifizierung sollte man zumindest bei jenen E-Mail-Konten aktivieren, über die Bestellungen oder gar geschäftliche Transaktionen laufen. Somit lassen sich auch die Zugänge zu Internetportalen generell schützen - sofern die Unternehmen das anbieten. Davon gibt es bereits einige. Facebook und Twitter sowie die Konten bei Apple, Dropbox, Ebay und Paypal lassen sich auf diese Weise schützen.

          Bild: Screenshot

          Bei Apple zum Beispiel startet man ein Anmeldeverfahren, das erst nach ein paar Tagen abgeschlossen werden kann. Man bekommt dann eine Mail, die den Antrag bestätigt und die Zwei-Wege-Authentifizierung zulässt. Bei Google und anderen Unternehmen geht es schneller. Der Nutzer gibt seine eigene Rufnummer an, und nach jedem erfolgreichen ersten Schritt mit Login-Name und Kennwort wird automatisch ein mehrstelliger Zahlencode per SMS ans Telefon geschickt. Erst nachdem dieser Zusatzcode ebenfalls eingegeben wurde, ist der Weg zum Konto frei.

          Weitere Themen

          Topmeldungen

          SPD-Spitze auf Parteitag : Ein Problem namens Schulz

          Die SPD wird mit der Union über eine große Koalition verhandeln – doch nach dem Auftritt des Parteichefs klatschen die Delegierten nur 60 Sekunden. Von Andrea Nahles dagegen sind sie begeistert. Sie hält die Rede, die Schulz hätte halten müssen.

          Türkeis Offensive in Syrien : Der vergiftete Olivenzweig

          Die Türkei hat ihren zweiten Feldzug im Norden Syriens begonnen. Doch diesmal geht es nicht gegen den Islamischen Staat. Die neuen alten Gegner sind die Kurden. Das hat auch Auswirkungen auf die Beziehungen zu Russland.

          Handball-EM : Das große Dilemma der Deutschen

          Die Handballer zeigen gegen Dänemark die beste Leistung im Turnier. Trotzdem gibt es die erste Niederlage bei der EM. Der Einzug ins Halbfinale ist für die Deutschen nun in weiter Ferne.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.