Unsichere PIN-Codes 1234? Erwischt!

Wer die EC-Karte oder das Handy mit einem PIN-Code schützt, sollte die Ziffernkombination sorgfältig wählen. In vielen Fällen ist die Wahrscheinlichkeit groß, dass Datendiebe die Geheimzahl richtig erraten.

Von Patrick Illinger

Also dann, raten wir mal. 1234? War es das schon? Ist das Ihr PIN-Code für das Handy, die EC- oder Kreditkarte? Jedem neunten Leser dieses Textes müsste jetzt die Schamesröte ins Gesicht steigen. Doch weiter: 1111, 0000, 1212, 7777. Erwischt? Inklusive dieser Kombinationen ist jeder fünfte, sind also 20 Prozent aller PIN-Codes geknackt. Setzen wir die Marge noch etwas höher und machen jedem vierten Leser ein schlechtes Gewissen. Dafür reichen folgende Versuche: 1004, 2000, 4444, 2222, 6969, 9999, 3333, 5555, 6666, 1122. Nun sind bereits mehr als 25 Prozent - ein Viertel - aller PIN-Codes genannt worden, die sich Nutzer von Bank- und Kreditkarten, von Handys oder anderem aussuchen.

Ginge es mit reinem Zufall zu, müsste jeder vierstellige PIN-Code mit der gleichen Häufigkeit von 0,01 Prozent vorkommen, also mit der Wahrscheinlichkeit von einem Zehntausendstel, weil es zehntausend Möglichkeiten gibt, vier Ziffern zu kombinieren. Doch wenn Menschen PIN-Codes wählen, denken sie nicht mathematisch, sondern praktisch. Die Ziffern soll man sich leicht merken und möglichst schnell tippen können.

Welche Zahlenkombinationen dabei bevorzugt werden, hat soeben der amerikanische Software-Spezialist Nick Berry von der Beratungsfirma Data Genetics analysiert. Basis für seine Untersuchung waren 3,4 Millionen PIN-Codes, die der Experte nicht selbst gehackt, sondern aus anonymisierten, frei verfügbaren Datenbanken bezogen hat. Es waren Zifferncodes, die in den vergangenen Jahren bei diversen Datenleck-Affären an die Öffentlichkeit gelangt sind.

Schon die 20 meistbenutzten vierstelligen PIN-Codes zeigen, dass Menschen nicht viel Phantasie und Sicherheitskultur an den Tag legen, wenn es darum geht, das Telefon oder das Bankkonto mit einem Code zu schützen. Unter den Top 20 tauchen hinter dem unangefochtenen Spitzenreiter 1234 alle Versionen vier gleicher Ziffern auf, ebenso wie einfach zu merkende Paarkombinationen à la 1122 oder 1212 (siehe Grafik).

Auch eingängige Jahreszahlen wie 2000 oder 2001 sind zu finden. Für Mitteleuropäer etwas rätselhaft ist die Häufigkeit der 1004 auf Platz 6 sein. Tatsächlich mögen Koreaner diese Ziffernkombination, weil sie in Worten gesprochen so wie "Engel" klingt. International und dementsprechend zweifellos auch in Deutschland eine häufig gewählte Zahlenkombination ist die sexuell konnotierte 6969. Weithin beliebt ist offenbar auch James Bond, der Geheimagent ihrer Majestät: Die Kombinationen 0007 und 0070 mit der Doppelnull als Lizenz zum Töten finden sich auf den Plätzen 23 und 28 der häufigsten PIN-Codes.

Auf den ersten Blick mehr Phantasie scheinen die Nutzer der Code-Kombination auf Rang 22 zu haben: 2580. Schließlich ist in diesen Ziffern weder ein einfaches numerisches Muster noch eine Anspielung auf Filmhelden oder Sex erkennbar. Doch entlarvt ein Blick auf die gängigen Tastaturen von Bankautomaten und Mobiltelefonen auch diese Ziffernfolge als phantasiefreie und entsprechend leicht für Hacker zu überwindende Hürde: Die Tasten für diese vier Ziffern liegen schlicht senkrecht übereinander.

Zehntausend Möglichkeiten für vier Ziffern gibt es, doch die Nutzer von PIN-Codes wählen manche Kombinationen tausendmal so häufig wie andere. Der Spitzenreiter 1234 kommt so oft vor wie die 4000 seltensten Kombinationen zusammengenommen. Überhaupt sind Codes mit einer 1 an erster Stelle fünf- bis zehnmal so häufig wie alle anderen Startziffern. Mit großem Abstand folgt die 0.

Wären alle PIN-Kombinationen etwa gleich häufig, müsste man 5000 Ziffernkombinationen ausprobieren, um einen PIN-Code mit 50 Prozent Wahrscheinlichkeit zu knacken. In der Realität genügen hierfür jedoch 426 Ziffernkombinationen. Das sind weniger Versuche als man für ein Kinderfahrradschloss mit drei Ziffern braucht. Gefährlich wird es auch, wenn beispielsweise die ersten oder letzten beiden Ziffern ausgespäht wurden: Fast 18 Prozent aller realen PIN-Codes bestehen aus zwei gleichlautenden zweistelligen Zahlen der Art xyxy.