Fast alles ist ja richtig, was Experten für Computersicherheit so raten, damit die Privatsphäre, das Bankkonto und die eigene Identität im Cyberspace geschützt bleiben. Und richtig ist auch, dass die meisten Menschen mit PIN-Codes und Passwörtern viel zu nachlässig umgehen. Fast jeder zehnte PIN-Code lautet "1234", und viele, sehr viele Passwörter kann man allein dadurch erraten, dass man Namen von Familienmitgliedern, Wohnort oder einfachste Dinge wie "passwort" ausprobiert. Viele Internetnutzer bewegen sich im digitalen Umfeld, als würden sie an der Copacabana eine offene Handtasche im Cabrio liegen lassen.
Wahr ist aber auch, dass Sicherheit im Internet alles andere als leicht gemacht wird. Da ist zum Beispiel die Sache mit dem viel zitierten Passwort. Lang soll es sein, unverständlich, mit Sonderzeichen und Ziffern gespickt. Lang ist für die meisten User allerdings auch die Liste der Passwörter, die man inzwischen braucht, um sich auch nur halbwegs digital durch die Welt zu bewegen. Das Registrieren ist eine allgegenwärtige Aufforderung im Web. Jeder Online-Shop, jede Nachrichtenseite, jedes Forum, jedes Reiseportal und natürlich die Online-Bank sowie das E-Mail-Programm verlangen Namen, Adressen, oft Kreditkarten-Daten samt ID und Passwort.
Viele Hackerangriffe auf Unternehmen und Privatpersonen wären vermeidbar - denn die Eindringlinge gehen eher unspektakulär vor. Meist nutzen sie bekannte oder notdürftig geflickte Sicherheitslücken. Privatfirmen profitieren davon.
Ein möglichst kompliziertes Passwort. Da braucht es keine wissenschaftlichen Studien, um zu wissen, dass diese technisch sicherlich begründbare Anforderung von Webmastern die Sicherheit eben nicht erhöht, sondern senkt. Was macht schließlich Otto-Normal-Nutzer, wenn der firmeneigene System-Administrator vorschreibt, das Zugangpasswort zum (gelegentlich genutzten) internen Rechnungswesen sei mit Ziffern und Sonderzeichen zu spicken und alle paar Monate zu ändern? Der Mitarbeiter, im Normalfall weder studierter Informatiker noch Gedächtnisweltmeister, schreibt sich das aktuelle Passwort auf - im besten Fall in ein gehütetes Adressbüchlein. Im schlechtesten (aber keineswegs seltenen) Fall auf einem Klebezettel unter der Tastatur oder direkt am Bildschirm.
Und hier kommt es zu einem destruktiven Pingpong der Verantwortlichkeiten: Der IT-Mensch hat seinen Job gemacht, die technisch begründete Sicherheitsrichtlinie ist verfasst. Der Nutzer erfüllt sie zähneknirschend, notiert sich aber, was er seinem Gedächtnis mit Recht nicht zumuten will. Am Ende steht das hochkomplexe Passwort auf einem Zettel, der einfacher zu lesen ist als eine simple Buchstabenkombination im Gehirn des Nutzers.
Im Internet sieht es aus wie daheim eben auch: chaotisch
Nun mag es schon vorkommen, dass Cyberkriminelle tatsächlich mit technischen Methoden systematisch ein Passwort knacken und sensible Daten wie Industriegeheimnisse ausspähen. Auch gibt es Aufsehen erregende Fälle von Identitätsdiebstahl und digitalem Bankraub. Gemessen an erschreckenden Berichten über Abermillionen gestohlener Passwörter, wie sie aktuell zu lesen sind, passiert im privaten Umfeld doch vergleichsweise wenig. Die meisten gehackten Computer werden gar nicht dazu verwendet, den Nutzer zu berauben, sondern um als Teil eines sogenannten Bot-Netzes unbemerkt Spam-Mails in die Welt zu blasen. Das ist ärgerlich genug, und es braucht dringend staatlich koordinierte Maßnahmen, um dieses Treiben einzudämmen. Aber nicht jedes von Russen ausgespähte Passwort führt in die Privatinsolvenz.
Natürlich sollten Internetnutzer Passwörter regelmäßig ändern, möglichst nicht mehrmals das gleiche verwenden und für Online-Einkäufe eine Kreditkarte mit begrenztem Verfügungsrahmen benutzen. Doch die beharrlichen Versuche von Technikern, den menschlichen Faktor im digitalen Umfeld auszuschalten, sind zum Scheitern verurteilt. Es ist vollends utopisch anzunehmen, irgendwann werde sich jeder Internetznutzer in einen Systemadministrator verwandeln, wenn man ihn nur oft genug ermahnt. Im Internet sieht es aus wie daheim eben auch. Da liegen mal die Socken herum, und der Schlüssel bleibt stecken. Die Antivirensoftware, sofern überhaupt eine existiert, ist selten auf dem letzten Stand. Und wie war gleich noch das Passwort für Ebay?
Sicherheitsvorschriften und Ermahnungen allein werden das Internet nicht sicher machen. Es braucht auch das digitale Pendant einer Polizei, und deutlich stärkere Behörden als das Bundesamt für Sicherheit in der Informationstechnik. So wie in der realen Welt bewegen sich im Internet Menschen. Argwöhnische, Sorglose, Niederträchtige und Gutmeinende. So sieht die menschliche Realität aus. Daran wird auch kein pa22w#rt etwas ändern.