Der Schulunterricht findet per Webcam statt, die Arbeit wird am privaten Laptop erledigt. Während der Corona-Pandemie nutzen Menschen immer mehr Geräte, melden sich bei unzähligen Webshops und Online-Diensten an - und verlieren zunehmend den Überblick über ihre Passwörter. Wie sie sich vor Cyberangriffen schützen können, weiß Sven Bugiel, Leiter der Forschungsgruppe "Vertrauenswürdige Systeme" am Cispa Helmholtz-Zentrum für Informationssicherheit in Saarbrücken.
SZ: Im vergangenen Jahr wurden nicht nur Konferenzen ins Digitale verlagert - sondern auch Schulunterricht, private Treffen oder Gespräche wie dieses. Ist die Angriffsfläche für Hacker mit der Corona-Krise größer geworden?
Sven Bugiel: Definitiv. Menschen, die zuvor nur selten im Internet surften, müssen sich nun mit allerhand IT-Problemen auseinandersetzen. Phishing-Kampagnen sind somit wesentlich erfolgreicher geworden, Schadsoftware verbreitet sich schneller. Normalerweise würde man mit seinem Chef zwischen Tür und Angel im Büro sprechen. Das fällt nun weg. Es wird schwieriger, eine echte E-Mail vom Chef von einer Phishing-Mail zu unterscheiden. Schließlich können beide von der gewohnten Adresse kommen.
Sollte man sein Passwort regelmäßig ändern oder erst dann, wenn es gestohlen wurde?
Früher hieß es, man solle sein Passwort regelmäßig ändern. Viele gingen davon aus, dass es ohnehin irgendwann geknackt wird und man es besser proaktiv ändert. Das hat sich allerdings als kontraproduktiv erwiesen. Denn es konfrontiert uns nur noch öfter mit der Frage: Wie erstelle ich ein neues sicheres Passwort? Mit jedem Ändern werden Nutzer weniger kreativ. Sie variieren zum Beispiel nur die Zahl hinter einem Grundpasswort. Aus 2020 wird 2021. Das Passwort zu wechseln, ist sinnvoll, wenn es einen Sicherheitsvorfall gab oder es ohnehin zu schwach war. Aber nur aus Regelmäßigkeit einmal im Jahr sein Passwort zu ändern, ist Quatsch.
Hat man erst mal zu einem besseren Passwort gewechselt, muss es noch richtig aufbewahrt werden. Was denken Sie, wenn Sie Schmierzettel mit Login-Daten sehen?
Per se ist der Schmierzettel nicht zu verurteilen. Es kommt darauf an, wer Zugang zu so einem Blatt Papier hat. Vertraut man den Menschen, die darauf Zugriff haben, etwa dem Partner oder Mitbewohner, kann da zumindest nichts gehackt werden. Leider kommt es immer wieder vor, dass solche Zettel im Hintergrund bei Videokonferenzen zu sehen sind.
Dann doch lieber ein digitaler Passwort-Manager?
Genau, denn der sammelt nicht nur die Passwörter, er kann auch Passwörter für uns erstellen. Diese Passwörter sind dann einzigartig, lang und komplex. Also all das, was viele der ausgedachten Passwörter meist nicht sind. Muss ich 20 Zeichen, die ich mir auf einen Zettel geschrieben habe, jedes Mal händisch eingeben, geht mir das doch irgendwann auf den Zeiger. Ein Passwort-Manager macht mehr, als die Daten nur zu speichern. Er fügt sie beim Login direkt ein und lässt sich über verschiedene Geräte synchronisieren. Passwort-Manager machen aber nur dann Sinn, wenn ich darin sichere Passwörter speichere. Oft weisen sie einen darauf hin, wenn das Passwort schwach ist.
Wie entscheidet das Programm, welche Passwörter schwach und welche stark sind?
Unter anderem wissen diese Programme, welche Passwörter schon einmal in Datenleaks aufgetaucht sind. Also welche Passwörter schon einmal verwendet und gestohlen wurden. Zudem weisen sie einen auf Passwörter hin, die man mehrfach verwendet, was man vermeiden sollte. Wörter, die auch im Duden stehen oder nur acht Zeichen haben, sind leicht zu knacken. Ein Computer kann ein weltweit einzigartiges Passwort erstellen. Falls ein Benutzer dieses Passwort aber unbewusst im Kontext von Phishing herausgibt, sich einen Keylogger einfängt oder das Passwort über eine unsichere Verbindung sendet, hilft auch ein vom Computer erzeugtes Passwort nicht. In dem Fall sollte man Zwei-Faktoren-Authentifizierung nutzen. Ein starkes Passwort alleine reicht nicht aus. Außerdem rate ich davon ab, das Passwort aus dem Manager zu kopieren und auf der Webseite einzufügen. Zu groß ist die Gefahr, dass es zwischengespeichert wird und doch woanders landet.
Welche Passwort-Manager sind empfehlenswert?
Das kommt auf die Gewohnheiten an. Das Programm mit seinen Funktionen sollte zum Lebensstil passen. Es gibt welche, die synchronisieren über ihre eigenen Dienste oder über Dropbox. Andere haben Plug-ins für sämtliche Browser. Viele Browser haben auch schon vorinstallierte Passwort-Manager, wie etwa Google Chrome. Dieser oder der Passwort-Manager von Apple sind kostenlose Programme, die durchaus ihren Zweck erfüllen. Die Unterschiede bei solchen Programmen sind nicht mehr so groß, fast alle sind recht gut mittlerweile. Bei den kostenpflichtigen Programmen zahlt man eher für Zusatzfunktionen wie etwa Gerätesupport.
Das klingt praktisch. Und doch verwendet nur etwa ein Drittel der deutschen Internetnutzer einen Passwort-Manager. Warum?
Die Kosten sind sicherlich ein Faktor. Oder die schlechte Bedienbarkeit schreckt ab. Zu den technischen Gründen kommen die psychologischen. Schließlich gibt man einem Passwort-Manager einen gewissen Vertrauensvorschuss. Man vertraut seine Daten einer Software an, die niemals fehlerfrei sein kann. Das Wissen, welches Passwort ich für welchen Dienst gesetzt habe, hatte ich zuvor nur in meinem Kopf. Vor diesem Kontrollverlust fürchten sich manche.
Wie lange wird uns das Passwörter-Chaos noch begleiten, sei es digital oder auf dem Schmierzettel?
Es gibt neue Initiativen, die auf eine passwortlose Zukunft hoffen lassen. Zum Beispiel neue Webstandards wie WebAuthn oder FIDO2. Das sind Verfahren zur Multi-Faktor-Authentifizierung, die auch ohne Passwörter eingesetzt werden können. In unseren Umfragen am Helmholtz-Zentrum für Informationssicherheit haben viele Teilnehmer gesagt, sie fänden ein solches Verfahren komfortabel. Besonders, weil sie das Anmelden mit Fingerabdruck oft schon vom Smartphone kennen. Es löst jedoch auch Unbehagen aus, weil sich die Nutzer nun biometrischen Verfahren oder Hardware wie einem Sicherheits-USB-Stick anvertrauen müssen und diese Hardware auch nicht mehr verlieren oder verlegen dürfen. Da kommt wieder der Kontrollverlust ins Spiel.
Zumal man biometrische Daten anders als ein Passwort nicht einfach ändern kann. Was passiert, wenn beispielsweise der Fingerabdruck im Netz landet?
Das ist problematisch. Ein Fingerabdruck lässt sich nicht so einfach zurücksetzen wie ein Passwort. Doch selbst wenn der Fingerabdruck geklaut wird, ist es bei modernen Smartphones relativ schwer, sich damit bei jemandem einzuloggen. Biometrische Faktoren hinterlegt man meist, um ein anderes Geheimnis freizuschalten, etwa einen geheimen Schlüssel. Nur das wird dann gegenüber dem Server zur Anmeldung verwendet. Das heißt: Selbst wenn jemand meinen Fingerabdruck hat, müsste er noch physikalisch an mein Gerät kommen, auf dem dieses Geheimnis gespeichert ist. Das ist möglich, wäre aber ein zielgerichteter Angriff gegen den Nutzer und ließe sich nicht im großen Maßstab gegen Hunderttausende Nutzer verwenden. Dem Massen-Phishing kann man mit dieser Art der Authentifizierung oft einen Riegel vorschieben.
Wo sehen Sie den größten Angriffspunkt bei privaten Internetnutzern?
Beim primären E-Mail-Account. Er gibt dem Hacker direkt Zugriff auf andere Konten. Egal, welchen Service ich nutze, wenn ich mein Passwort zurücksetzten will, brauche ich diesen Account. Dadurch könnte der Hacker mich in der Kommunikation besser imitieren. Kommt eine Fake-Nachricht von mehreren meiner Accounts, wird sie glaubhafter. Social-Engineering-Angriffe - also Methoden, bei denen Nutzer hereingelegt werden sollen, um ihre Daten selbst herauszurücken - fielen im letzten Jahr auf fruchtbaren Boden: die Angst vor der Pandemie, die Umstellung aufs Home-Office, neue Datenschutzverordnungen verleiten Benutzer dazu, schneller auf Links oder Anhänge in Mails zu klicken.
