https://www.faz.net/-gy9-8w2cq

Sicherheit der Daten : So finden Sie das richtige Passwort

Die Schlüssel zum Erfolg Bild: Isabel Seliger

Sicher soll es sein und einfach in der Handhabung: So schützt man seine Daten mit dem richtigen Kennwort, das man sich zudem gut merken kann.

          6 Min.

          Es sei dringend, man müsse sofort sein Passwort ändern. „Helfen Sie uns, Ihren Account zu schützen“, schreibt anscheinend Yahoo und berichtet von gestohlenen Kontoinformationen. Die Nachrichten häufen sich, wiederholt wird Alarm geschlagen. Aber der Nutzer fragt sich, ob die E-Mail tatsächlich von dem amerikanischen Unternehmen stammt. Es könnte sich um eine Phishing-Attacke handeln mit dem Ziel, Kontodaten abzugreifen. Das Einloggen über einen in der Nachricht angegebenen Link wäre dann grundfalsch.

          Michael Spehr
          Redakteur im Ressort „Technik und Motor“.

          Wieso konnten Hacker, wie es in der Nachricht heißt, Namen, E-Mail-Adressen, Kennworte, Geburtsdaten, Telefonnummern, Zahlungsdaten, Bankverbindungen und die Antworten auf Sicherheitsfragen unversehens abgreifen? Hätte Yahoo seine Hausaufgaben gemacht, gäbe es das Problem nicht. Gewiss, kein Unternehmen ist gegen Hackerangriffe gefeit. Aber wenn Nutzerdaten und vor allem Kennwörter von vornherein nicht im Klartext, sondern verschlüsselt und als mathematisches Abbild (Hash, Streuwert) gespeichert würden, könnte kein Dieb mit dieser Beute etwas anfangen.

          Wer den Nutzern den Schwarzen Peter zuschiebt und gebetsmühlenartig ständig wechselnde Kennwörter sowie unterschiedliche für alle nur denkbaren Dienste in einer bestimmten Mindestlänge fordert, macht es sich zu einfach. Geht es um Sicherheit, sind in erster Linie die Unternehmen gefordert und nicht die Kunden, die ihnen Daten anvertrauen. Dennoch kann man das Problem nicht aussitzen. Über den von Hackern erbeuteten Zugang zur E-Mail kommen sie vielleicht ins Amazon-Konto, Stichwort: vergessenes Kennwort zurücksetzen lassen. Von dort ist es nur ein kleiner Schritt, teure Güter an ein ebenfalls gekapertes Postfach der nächsten Packstation zu senden.

          Nicht immer steckt jedoch Leichtsinn dahinter

          Obwohl sich solche Szenarien unschwer ausmalen lassen, sind zwei bis drei Prozent aller Konten mit einem einfach zu erratenden Standardkennwort geschützt, etwa den Zahlen von eins bis sechs, Password oder Qwerty. Nicht immer steckt jedoch Leichtsinn dahinter, und nicht immer muss man sein Konto aufwendig schützen.

          Statt über die lasche Passwort-Disziplin zu jammern, müssen sich Unternehmen, IT-Beauftragte und Entwickler fragen lassen, warum jede Kleinigkeit einen eigenständigen Zugang mit E-Mail-Adresse und Kennwort erfordert. Unlängst erlebt: Um die Ohrhörer-App des Herstellers Libratone zu starten, soll man erst ein Konto anlegen. Hier geht es allein darum, E-Mail-Adressen und Nutzerdaten abzugreifen, Kunden zu überwachen und ihr Verhalten auszuwerten. Bei einem Großteil aller solcher Dienste kann man getrost ein schlichtes Kennwort wählen, und am besten nehme man dazu eine Wegwerf-E-Mail-Adresse, die nur temporär besteht.

          Der Kontenwahn ist mindestens so schlimm wie die Kennwortschlamperei. Wer überall wahrheitsgemäß seine Handy-Nummer, Anschrift und E-Mail-Adresse oder gar die Kreditkartendaten angibt, ist selbst schuld. Warum sollte ein Bilderdienst wie Flickr von Yahoo das Geburtsdatum kennen, das in Zweifelsfällen ein zusätzliches, einzigartiges und nicht änderbares Authentifizierungs-Merkmal ist? Man schummele also, was das Zeug hält, und zwar ausnahmslos und überall, wo es nicht bedeutsam ist. Möge die Datenmafia an falschen Angaben ersticken.

          Oder man konterkariere den Kennwortwahn damit, dass man seine Passwörter bewusst vergisst: nichts aufschreiben, nicht immer dasselbe Kennwort nutzen, sondern ein kompliziertes wählen und gleich vergessen. Warum nicht? Man ist ja eingebucht, und beim nächsten Mal lässt man es über sein E-Mail-Konto zurücksetzen.

          So viel Wichtiges gibt es nicht

          Diesen besagten E-Mail-Account sollte man natürlich perfekt sichern. Man kümmere sich also vorrangig um die Abschottung derjenigen Konten, die wirklich wichtig sind. Das ist der Zugang zu allen Diensten, bei denen es um Geld oder das reale Ich geht. Schnell erkennt man: So viel Wichtiges gibt es nicht, man konzentriere sich darauf, hier die bestmögliche Absicherung vorzunehmen.

          Dazu gehört das gut gewählte Kennwort. Passwort-Diebe arbeiten auf unterschiedliche Weise: Simple und weit verbreitete Kennwörter lassen sich erraten, gegebenenfalls auch in Kombination mit persönlichen Daten wie Geburtsdatum, Name des Partners oder des Haustiers. Wer stets dasselbe Passwort für unterschiedliche Dienste verwendet, macht es Angreifern leicht. Sie können von einem zum anderen Dienst springen. Wörterbuch-Angriffe wiederum basieren auf frei verfügbaren Listen mit Millionen von Einträgen, auch mit umschlossenen Zahlen und Zeichen. Gute Kennwörter haben also eine gewisse Länge, bestehen nicht aus realen Worten, sie mischen Buchstaben, Zahlen und Sonderzeichen. Falls die eigene Phantasie fehlt, springen Passwortgeneratoren ein. Komplizierte Phrasen lassen sich mit Akronymen gut merken, wenn man die Anfangsbuchstaben eines Satzes als Kennwörter wählt. Um unterschiedliche Kennworte zu generieren, nehme man einen Kennwortstamm und hänge je nach Dienst verschiedene Erweiterungen an.

          Nur ist es mit der Wahl eines sicheren Kennworts nicht getan. Auch der Umgang erfordert gewisse Vorsichtsmaßnahmen. Ein Klebezettel mit Zugangsdaten an Monitor oder Tastatur gilt als Klischee für Sorglosigkeit, ist aber in Büros und auf Unternehmensrechnern durchaus des Öfteren zu sehen. Der Versand von Kennwörtern per E-Mail ist ebenfalls nicht angesagt. Am besten schreibt man seine Kennwörter auch nicht auf. Aber wenn man für jeden Dienst ein eigenes vergibt, mehrere E-Mail-Konten hat, gern online bei verschiedenen Anbietern einkauft und in den sozialen Netzen unterwegs ist, hat man schnell ein oder zwei Dutzend Kennwörter, die nur dann sicher sind, wenn es auch ihr Aufbewahrungsort ist.

          Passwort-Manager speichern die Kombinationen mitsamt Zuordnung

          Hier sollen Passwort-Manager einspringen. Sie speichern die Kombinationen mitsamt Zuordnung zum jeweiligen Dienst. Ein Generalschlüssel schützt den Zugriff. Man muss sich nur noch dieses eine Kennwort merken, lautet das Versprechen. Der Datentresor mit den Einzelinformationen sei aufwendig gegen Hacker-Angriffe gesichert und lasse sich deshalb sogar in der Cloud speichern. Nur sind viele dieser an sich empfehlenswerten Systeme schon selbst gehackt worden. Zuletzt fand eine Untersuchung erhebliche Mängel in den Apps Last Pass, Dashlane, Keeper und „1 Password“.

          Für die erwähnten wichtigen Dienste kommen diese Programme nicht in Frage, wohl aber für den gesamten Rest. Indes bringen auch manche Browser einen einfachen Passwort-Manager bereits mit, etwa der Firefox oder Chrome von Google. Auch hier gilt indes: Wenn der Generalschlüssel in falsche Hände gerät, sind plötzlich die Kennwörter aller Dienste kompromittiert, man legt alle Eier in einen einzigen Korb.

          Grundsätzlich abzuraten ist sodann von der Option, die einem immer wieder aufs wärmste empfohlen wird: sich mit Google, Twitter oder Facebook einzubuchen. Die Idee an sich ist charmant. Eine langwierige Registrierung mit Benutzernamen, E-Mail-Adresse und Kennwort entfällt, stattdessen wird man über die Internetgiganten quasi huckepack mitgenommen. Der Nutzer hat den Vorteil des erleichterten Einbuchens und der Anbieter die Gewissheit, dass seine Kunden reale Menschen sind, die sich bei Google, Twitter oder Facebook bereits legitimiert haben. Der Nachteil besteht darin, dass die Dienste Dritter, die mit diesem Open Standard for Authorization genannten Verfahren arbeiten, einerseits persönliche Daten von Google, Twitter oder Facebook abfischen können und andererseits die drei Netzgiganten noch mehr Information über einen erhalten, nämlich über die eigene Aktivität in weiteren Apps und Diensten. Schon träumt Facebook davon, mit seiner Idee der Delegated Recovery künftig eine universelle Passwort-Zentrale des gesamten Internets für alle Anwendungen und Dienste zu werden.

          Die Zwei-Faktor-Authentifizierung ist unabdingbar

          Wer um solche Pläne lieber einen großen Bogen macht, für den bleibt nur eins: Für die bedeutsamen Konten die Kennwortsicherheit in Eigenregie auf die Spitze treiben. Dafür ist die Zwei-Faktor-Authentifizierung unabdingbar, alternativlos und empfehlenswert. Hinter dem Wortungetüm verbirgt sich das einfache Prinzip „doppelt genäht hält besser“. Man muss einen Schlüssel kennen und Zugriff auf einen zweiten haben. Nach der Eingabe des richtigen Login-Namens und Kennworts für einen Dienst erhält man den zweiten Schlüssel, meist ein sechsstelliger Zahlencode, als SMS aufs Handy, mit einer Authentifizierungs-App, einem Telefonanruf oder einem Token. Letzteres ist ein Chip-Schlüssel mit Display.

          Erst nachdem dieser Zusatzcode ebenfalls eingegeben wurde, ist der Weg zum Konto frei. Auf einem vertrauenswürdigen Rechner, etwa dem PC im eigenen Haushalt, kann man den zweiten Schritt temporär aussetzen lassen. Auch kann man Sicherheitscodes erstellen lassen, falls das Handy gestohlen wurde oder man sich im Funkloch befindet.

          Die Zwei-Faktor-Authentifizierung hört sich kompliziert an. Sie ist nicht unangreifbar, hat jedoch ein sehr hohes Sicherheitsniveau. Man sollte sie zumindest bei jenen Konten und Diensten aktivieren, über die Bestellungen oder gar geschäftliche Transaktionen laufen. Die E-Mail-Systeme von Google, Microsoft und Apple sowie die Dienste von Amazon, Ebay, Paypal, etliche Cloud-Lösungen und nicht zuletzt Facebook und Twitter lassen sich auf diese Weise schützen.

          Unscheinbare Datei auf der Festplatte

          Die zugehörigen Kennwörter mag man dann in einer Word- oder Excel-Datei speichern, die man zum Beispiel in einem Container des Truecrypt-Nachfolgers Veracrypt ablegt. Ein solcher Container ist eine unscheinbare Datei auf der Festplatte, die man zur Nutzung ins Betriebssystem einhängt. Das ist abermals ein wenig kompliziert, aber der Aufwand lohnt sich. Selbst wenn das Gerät gestohlen wird, ist die Container-Datei nicht als solche zu erkennen. Man kann zusätzlich einen versteckten Container im Container einrichten, natürlich mit einem zweiten Kennwort gesichert. So ist es möglich, dass ein Nutzer unter Zwang das Kennwort zum ersten Container herausgibt, ohne die Daten im zweiten zu kompromittieren.

          Wer auch hier die Abhängigkeit von einem einzigen Datenträger scheut, sehe sich nach Apps wie Master Password (unter anderem für iOS und Android) um, die keine Kennwörter speichern, sondern mit jedem Start aus einem Namen (es muss nicht der eigene sein) und einem Master-Passwort das jeweilige Anwendungskennwort berechnen. Die umgekehrte Richtung funktioniert nicht. Ein gestohlenes Anwendungskennwort ist also nur für den einen einzigen Dienst diskreditiert. Da nichts gespeichert wird, weder lokal noch in der Cloud, muss man nur zwei Komponenten im Kopf und die App für das kryptographische Verfahren namens Password-Based Key Derivation Function 2 haben.

          Topmeldungen

          Wegen seines Umgangs mit dem Missbrauchsskandal in der Kritik: Rainer Maria Kardinal Woelki

          Erzbistum Köln : Gibt es noch eine Zukunft mit Woelki?

          In Köln ist das Vertrauensverhältnis zwischen Erzbistum und Erzbischof zerrüttet. Ein externer Moderator muss einspringen. Nicht wenige hoffen, dass ein Spruch aus Rom die Angelegenheit schon vorher erledigt.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.