Handelsblatt

MenüZurück
Wird geladen.

12.08.2017

12:57 Uhr

Komplizierte Regeln für Passwörter

Was für ein Un$1nn!

VonChristof Kerkmann

Es liegt nicht an Ihnen: Die Regeln für Passwörter sind viel zu kompliziert. Nutzer dürfen aber darauf hoffen, dass es bald ohne Sonderzeichen und Ziffern geht. Die Standards stehen vor einer wichtigen Änderung.

IT-Experte klärt auf

So sieht das perfekte Passwort aus

IT-Experte klärt auf: So sieht das perfekte Passwort aus

Ihr Browser unterstützt leider die Anzeige dieses Videos nicht.

DüsseldorfDas Internet ist voller Karikaturen über Passwörter. Da ist der Griesgram, der einer Wahrsagerin eine Liste mit allen Websites unter die Nase hält, für die er seine Zugangsdaten vergessen hat, während sie forschend in die Glaskugel blickt. Oder der strahlende Mann, der seine Kollegin wissen lässt, dass niemand sein Passwort erraten kann, weil es so kompliziert ist. Worauf sie antwortet: Ich lese es einfach vom Post-It am Monitor ab.

Die Witze zielen alle auf eine Tatsache ab: Passwörter sind die Pest. Wir müssen uns viel zu viele merken, und häufig sind wir gezwungen, bei der Festlegung komplizierten Regeln einhalten. Sonst mahnt uns das Buchhaltungssystem oder der E-Mail-Dienst: Zu kurz, keine Sonderzeichen, keine Ziffern, schon mal vorher genutzt. Was für ein Ärg3rni$!

Doch Nutzer dürfen auf eine gewisse Erleichterung hoffen: Im Juni hat die einflussreiche US-amerikanische Standardisierungsorganisation NIST ihre Empfehlungen angepasst. Es ist eine Entscheidung mit Signalwirkung: „Die NIST-Regeln haben auch im deutschsprachigen Raum eine sehr große Bedeutung“, sagt Arno Wacker, Professor für angewandte Informationssicherheit an der Universität Kassel. Nun werde an der gängigen Empfehlung gerüttelt.

Schutz gegen Datendiebe

Passwörter gut schützen

Es klingt offensichtlich: Nutzer sollten ihre Passwörter gut schützen. Doch nicht wenige kleben ein Post-it mit Zugangsdaten an den Monitor oder speichern sie gar in einer Datei auf dem Rechner. Beides ist riskant – wenn Eindringlinge ins Büro oder auf den Rechner gelangen, können sie auch auf die E-Mails oder das Content Management System zugreifen.

Erst lesen, dann klicken

Es ist der Klassiker: In der E-Mail wird ein lustiges Katzenbild oder ein sensationelles Video angekündigt. Lädt man den Anhang herunter oder klickt auf den Link, fängt man sich aber einen Virus ein. Daher gilt nach wie vor die Regel, Anhänge und Links kritisch zu prüfen, ebenso Nachrichten von unbekannten Absendern.

Vorsicht mit USB-Sticks

Eine beliebte Angriffsmethode: Hacker lassen präparierte USB-Sticks auf dem Parkplatz oder in der Kantine liegen – und hoffen darauf, dass arglose Mitarbeiter das Gerät an den PC anschließen. Diese Masche funktioniert erschreckend gut. Die Lehre daraus: Nutzer sollten mit unbekannten Speichermedien extrem vorsichtig umgehen.

WLAN nur mit Verschlüsselung

Ob im Café oder am Flughafen: Wer mit seinem Smartphone oder Notebook ein öffentliches WLAN-Netzwerk nutzt, geht ein Risiko ein. Wenn man vertrauliche Daten abrufen will, sollte man das beispielsweise möglichst nur mit einer SSL-Verbindung tun. Weitere Tipps gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).

Schutz gegen Mitleser

In der Bahn oder im Flugzeug können Mitreisende ohne Probleme einen Blick auf das Notebook oder Smartphone erhaschen – und bekommen so möglicherweise sensible Informationen mit. Sicherheitsexperten raten daher, sich nach sogenannten Schultersurfern umzusehen und im Zweifelsfall die Datei geschlossen zu lassen. Zudem raten sie dringend davon ab, das Gerät auch nur kurz aus dem Auge zu lassen.

Gesunde Skepsis bei Apps

Apps können das Leben leichter machen, aber auch unsicherer: Viele Anwendungen fragen Informationen ab, die die Nutzer vermutlich nicht weitergeben wollen. Gerade Android-Nutzer sollten genau überprüfen, welche Berechtigungen ein Programm einfordert und im Zweifelsfall lieber die Finger davon lassen. Gleiches gilt für PC-Nutzer, die Programme aus dem Nutzer herunterladen und installieren. Besonders illegale Kopien sind häufig verseucht.

Code fürs Smartphone

Es mag zwar vielleicht nerven, wenn man jedes Mal einen Code eingeben muss, bevor man das Smartphone nutzen kann. Doch eine Sperre ist höchst nützlich, wenn das Gerät verloren geht oder gestohlen wird. Viele Firmen schreiben eine solche physische Absicherung vor. Im Büro kann es durchaus sinnvoll sein, den Rechner zu sperren, während man eine Besprechung hat oder in die Mittagspause geht.

Software aktuell halten

Auch dieser Tipp ist bekannt, er wird aber trotzdem oft nicht beherzigt: Nutzer sollten die Software auf ihrem Rechner immer aktuell halten. Das gilt nicht nur für den Virenscanner, sondern auch das Betriebssystem und Anwendungsprogramme wie Browser oder Textverarbeitung. Potentiell können Angreifer viele Lücken ausnutzen, um schädliche Software auf das Gerät zu schleusen.

Die Regeln, über die sich viele Karikaturisten lustig machen, stammen aus einem Dokument, das der NIST-Mitarbeiter Bill Burr 2003 aufsetzte. Unter Zeitdruck und ohne empirische Daten, wie er jetzt dem „Wall Street Journal“ beichtete (kostenpflichtiger Artikel). „Am Ende war es vermutlich für viele zu kompliziert“, sagte er. „Vieles von dem, was ich getan habe, bedaure ich jetzt“, erklärte der 72-Jährige, der im Ruhestand ist.

Die gängigen Empfehlungen, basierend auf Burrs Regeln: Das Passwort sollte aus mindestens acht Zeichen bestehen und neben Buchstaben auch Ziffern und Sonderzeichen enthalten. Begriffe aus dem Wörterbuch sind dabei ebenso tabu wie Namen von Angehörigen oder Haustieren. Und am besten vergeben Nutzer alle paar Wochen oder Monate ein neues Passwort.

Das soll Hackern und Schnüfflern das Leben erschweren. Doch logisch ist nicht psychologisch. „Wenn Nutzer eine zufällige Sequenz aus mindestens acht oder besser noch zehn Zeichen bilden, ist das sehr sicher“, sagt zwar Passwort-Experte Arno Wacker im Gespräch mit dem Handelsblatt. Aber darunter leide die Benutzerfreundlichkeit: „Das kann sich kaum ein Mensch merken.“ Zumal, wenn diese Gedächtnisakrobatik alle 90 Tage aufs Neue ansteht.

Daher haben die komplizierten Regeln mehrere unerwünschte Konsequenzen. So basteln sich viele Nutzer Begriffe zusammen, in denen Ausrufezeichen oder Ziffern einzelne Buchstaben ersetzen, und ändern diese jedes Mal nur leicht. Der Sicherheit dient das nicht: Hacker haben Programme, die solche Muster kennen und durchprobieren – wie ein automatischer Dietrich.

Nun ist es durchaus sinnvoll, den Nutzern Vorgaben zu machen. Das zeigt sich an den beliebtesten Passwörtern – Forscher können diese ermitteln, indem sie Daten analysieren, die Hacker ins Netz stellen. Zum Beispiel nach den massiven Cyberangriffen auf den Internetriesen Yahoo, den Softwarehersteller Adobe oder den Seitensprungdienst Ashley Madison, bei denen in den vergangenen Jahren Millionen von Datensätzen an die Öffentlichkeit gelangten.

So verwenden viele Nutzer einfache Zahlenkombinationen und Begriffe, wie eine Auswertung des Hasso-Plattner-Instituts (HPI) in Potsdam zeigt. In den Top 10 deutschsprachiger Passwörter stehen „hallo“, „passwort“ und „schalke04“, außerdem „123456“ und „hallo123“. Weit oben stehen außerdem „arschloch“ und „ficken“. Hacker kennen diese Listen und schaffen es daher schnell, derartig nachlässige Absicherungen zu überwinden.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×