Die Methoden der Passwort-Hacker werden immer perfider. Online-Surfer sollten deshalb auf jeden Fall schwer zu knackende Kennwörter auswählen. Und wer mehrere Internet-Angebote nutzt, braucht auch mehrere Passwörter. Damit er dabei nicht den Überblick verliert, kann er spezielle Programme nutzen.
"Es gibt grundsätzlich zwei Möglichkeiten, an die Passwörter von Nutzern zu kommen", erklärt Ruben Wolf vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt: "Entweder die Hacker bewegen den Nutzer dazu, das Passwort herauszugeben, oder sie probieren so lange verschiedene Möglichkeiten aus, bis das Richtige gefunden ist." Laut Daniel Bachfeld von der in Hannover erscheinenden Zeitschrift "c't" liegt derzeit vor allem Ersteres im Trend.
Gefälschte Post von der Bank
Bei dieser auch Phishing genannten Methode sollen etwa fingierte Mails den Eindruck erwecken, sie kämen zum Beispiel von der Bank des Nutzers. Dieser soll einen Link anklicken - vom dem er zu einer Betrugs-Webseite geleitet. Dort wird er gebeten, persönliche Daten einzutragen.
Oft reicht ein Blick in die Browser-Adresszeile, um zu erkennen, dass es sich nicht um die richtige Seite handelt. Außerdem würden Seiten, auf denen man sensible Daten eingeben muss, in der Regel SSL-verschlüsselt, zu erkennen am Schlüssel-Symbol im Browser. "Banken fordern zudem nie per E-Mail auf, persönliche Daten preiszugeben", sagt Bachfeld.
Noch öfter werde aber mit Trojanern gearbeitet, sagt Günther Ennen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn: Sie nisten sich auf dem PC ein, zeichnen Passwörter auf und senden sie an die Hacker.
"Einen Trojaner kann man sich einfangen, wenn man den Anhang einer E-Mail anklickt. Es reicht aber sogar schon aus, wenn der Nutzer lediglich eine bestimmte Website besucht." "Um sich vor solchen Trojanern zu schützen, sollte man einen Virenscanner installieren und immer mit aktueller Software unterwegs sein", sagt Bachfeld. Das gelte nicht nur für den Internet-Browser, sondern auch für Programme wie beispielsweise den Flash-Player.
Auf der nächsten Seite: Wie die eigenen Passwörter sicher werden.
Buchstaben, Zahlen und Sonderzeichen
Darüber hinaus versuchen Hacker, mit Software Passwörter so lange durchzuprobieren, bis das Richtige getroffen wurde. Wer dieser Brute-Force-Method - Methode der rohen Gewalt - nicht aufsitzen will, muss laut Wolf komplizierte Passwörter nutzen: "Der Name des Dackels oder der Ehefrau oder auch die eigene Telefonnummer kommen nicht infrage."
Vielmehr sollte es eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen sein, rät Wolf. Doch häufig sind nicht alle Sonderzeichen für Kennwörter erlaubt, schränkt Ennen ein. "Außerdem sollte man für ein Passwort keine Umlaute verwenden, da man sie auf einer ausländischen Tastatur, etwa im Urlaub, nicht verwenden kann."
Ein Passwort mittlerer Sicherheit laut Ruben Wolf hat mindestens acht Zeichen, für hohe Sicherheit müssen es zwölf sein. Auf keinen Fall darf ein und dasselbe Passwort für verschiedene Dienste benutzt werden. Wer das beherzigt, muss sich mitunter eine Menge Kennwörter merken - und verliert leicht den Überblick. Hilfe bieten Soft- und Hardware-Lösungen. Sie verwalten die verschiedenen Passwörter.
Fraunhofer etwa bietet den, allerdings kostenpflichtigen, "Password-Sitter" an. Der Nutzer identifiziert sich bei den Lösungen über einen Fingerabdruck-Sensor oder ein einziges Master-Passwort. "Das Master-Passwort kann dann ruhig besonders lang und kompliziert sein. Man muss sich dann ja nur noch dieses eine merken."