In unserer digitalisierten Welt ist der richtige Umgang mit Passwörtern die wichtigste Voraussetzung, um eigene Daten und Geräte zu schützen und Cyber-Kriminellen das Leben schwer zu machen. Zum Welt-Passwort-Tag am 2. Mai erklärt Prof. Thorsten Strufe, Professor für Datenschutz und Datensicherheit an der TU Dresden, wie Hacker vorgehen und wie man sichere Passwörter erstellt und nutzt.

Frage: Angeblich gehören „12345“, „Passwort“ oder „Admin“ noch immer zu den beliebtesten Passwörtern – Warum ist das so? Wir werden doch ständig von allen Seiten gemahnt, unbedingt sichere Passwörter zu verwenden.

Prof. Thorsten Strufe: Da spielen mehrere Aspekte eine Rolle: Zum einen denken viele Menschen, dass sie als Ziel für Angreifer gar nicht interessant sind. Schließlich sind sie nicht prominent und haben auf ihren privaten Geräten scheinbar keine wichtigen Informationen. Außerdem kommen viele Geräte, gerade aus dem Smart-Home-Bereich, mit voreingestellten Standardpasswörtern. Viele denken nicht daran, dass auch ihr DSL-Router und sogar ihr Thermostat im Internet sind und entsprechend gesichert werden müssen. Was vielen dabei nicht klar ist: Hacker haben es nur in wenigen Fällen tatsächlich auf die Daten von Privatpersonen abgesehen. Viel häufiger erleben wir entweder Ransomware, also Schadsoftware, die Festplatten von Opfern verschlüsselt und anschließend ein Lösegeld erpresst, oder noch häufiger den Fall, dass Angreifer fremde Geräte als Ressourcen für weitere Angriffe nutzen.

Was bedeutet das?

Sie legen dort zum Beispiel unbemerkt Daten ab, mit denen sie selbst nicht in Verbindung gebracht werden möchten. Das können illegal verbreitete Filme, im schlimmsten Fall sogar Kinderpornographie sein. Auch das massive Verschicken von Spam, unerwünschten Massen-E-Mails, passiert häufig über solche gehackten Rechner. Oder die Angreifer nutzen sie, um damit selbst Angriffe durchzuführen. Sabotage-Angriffe auf Webseiten oder Internet-Dienste sind hier ein häufig vorkommendes Beispiel. Dafür brauchen die Angreifer Computer, die mit dem Internet verbunden, aber nicht auf sie zurückzuführen sind. Das kann für den Besitzer der Geräte sehr unangenehm werden, auch wenn er nichts davon wusste. Hacken sich Angreifer in Social Media, werden diese oft für illegale Werbe-Kampagnen genutzt. Facebook-Accounts können so sehr gut für politische Kampagnen missbraucht werden. Jemand liked und verbreitet im Namen des eigenen Accounts bestimmte Themen. Wer sich also wundert, warum plötzlich merkwürdige Beiträge in seiner Timeline auftauchen, sollte mal in sein Aktivitätenprotokoll schauen.

Wie sieht das perfekte Passwort aus?

Ein Angreifer wird versuchen, nicht alle theoretisch möglichen Passworte auszuprobieren, sondern von Menschen gewählte – und damit häufig leicht vorhersehbare – Passworte zu raten. Um das zu erschweren, sollte ein gutes Passwort mindestens zehn Zeichen haben, und die sollten möglichst unterschiedlicher Art sein: Großbuchstaben, Kleinbuchstaben, Ziffern und Sonderzeichen. Besonders wichtig ist es, dass es zufällig aussieht und Angreifer es möglichst schwer haben, ein System zu erkennen. Außerdem sollte man nicht dasselbe Passwort für verschiedene Accounts nutzen. Denn ist es einmal geknackt, vielleicht weil der Anbieter des Dienstes nicht aufgepasst hat, sind gleich mehrere Konten betroffen.

Stimmt es, dass man sein Passwort öfter ändern sollte?

Prinzipiell ja, wobei man heute sagt, dass es ausreicht, das alle ein oder zwei Jahre zu tun. Je öfter man sie ändert, desto schwieriger ist es, sich die Passwörter zu merken. Und dann neigt man wieder dazu, einfachere und unsicherere Passwörter zu nutzen oder alte zu recyceln.

Ein großes Problem ist, dass sich die meisten mittlerweile so viele verschiedene Passwörter merken müssen: für mehre E-Mail-Adressen, Social-Media-Kanäle, Webshops, Banking, Foren, Portale… Wie kann man das lösen?

Hier können Passwortmanager helfen. Sie speichern Passwörter verschlüsselt ab, sodass man sich nur noch ein Masterpasswort merken muss. Dieses sollte natürlich besonders sicher sein. Man loggt sich ein und kann seine Passwörter einfach per copy & paste in die jeweiligen Anmeldemasken übertragen. Passwortmanager können zudem wirklich zufällige und sichere Passwörter generieren – besser als der Mensch, der sich naturgemäß unheimlich schwer damit tut, sich etwas Zufälliges auszudenken.

Wie gehen Hacker vor?

Hacker nutzen Software, die sie ohne großen Aufwand im Internet finden können. Diese Tools versuchen im großen Stil, in Accounts einzubrechen, indem sie sich systematisch durch mögliche Passwort-Kombinationen arbeiten. Diese Automatisierung führt auch dazu, dass Angreifer inzwischen alle möglichen mit dem Internet verbundenen Geräte angreifen können: Sie wählen diese Ziele nicht mehr manuell aus sondern starten schlicht Programme, die versuchen, alle mit dem Internet verbundenen Geräte zu finden und automatisch anzugreifen.

Oft ist von zweistufigen Verfahren die Rede. Sind sie die Lösung?

Die sogenannte Mehr-Faktor-Authentifizierung ist dann sinnvoll, wenn dafür verschiedene Geräte notwendig sind, also zum Beispiel das Passwort am Rechner und ein Code, der auf dem Handy empfangen wird. Wir kennen das klassisch schon lange von Geldautomaten, bei denen man eine Karte und eine PIN braucht, oder vom Online-Banking, bei dem man sich zuerst anmeldet aber für Transaktionen weitere geheime TANs braucht. Die Zwei-Faktor-Authentifizierung ist gerade für attraktive Angriffsziele, also zum Beispiel Ihre Accounts in sozialen Medien, immer anzuraten.

Wie wird sich die Technologie in Sachen Passwortschutz weiterentwickeln? Werden Passwörter irgendwann von sichereren und einfacheren Verfahren abgelöst?

Man hat eine Zeitlang viel an sogenannten inhärenten Faktoren, also biometrischen Eigenschaften, geforscht, wie zum Beispiel Fingerabdruck- oder Iris-Scans. Ein weiterer Ansatz war, das Smartphone durch die spezifischen Charakteristika des Besitzers, wie zum Beispiel seine Art zu gehen, zu entsperren. Diese Verfahren haben sich aber alle als nicht sicherer und meist auch nicht als komfortabler erwiesen. Wir gehen deshalb davon aus, dass wir auch künftig daran arbeiten werden, den Leuten die Nutzung sicherer Passwörter beizubringen.

Haben Sie weitere Tipps zum Umgang mit Passwörtern?

Hilfreich ist sicher immer eine Risikoabschätzung. Man sollte Prioritäten setzen und überlegen, welche Geräte und Konten wie stark zu schützen sind. Es gibt natürlich Konten, die nicht so drastisch geschützt werden müssen, vielleicht bei einem Diskussionsportal, oder einem Portal wo man durch die Anmeldung schlicht auf Daten zugreifen kann, ohne selbst wirklich Spuren zu hinterlassen oder mit dem Konto irgendwelche für andere sichtbaren Aktionen vollziehen zu können. Ganz sicher sind der private PC und das Netz zu Hause, die Geräte und Accounts am Arbeitsplatz, Social-Media- und natürlich Bankaccounts interessante Ziele für Angreifer und müssen daher mit guten Passwörtern geschützt sein. Außerdem kann natürlich nicht häufig genug daran erinnert werden: Neben den sicheren Passwörtern ist es ungemein wichtig, die Software, also Betriebssysteme, aber auch die Apps und andere Programme regelmäßig zu updaten und immer aktuell zu halten, damit bekannte Schwachstellen nicht offenstehen.

Informationen für Journalisten
Prof. Thorsten Strufe
Professur für Datenschutz und Datensicherheit
Tel. +49 351 463-38247

https://tu-dresden.de/ing/informatik/sya/ps