Alte Gewohnheiten sind zählebig, das gilt für Unternehmen genauso wie für Privatleute. Obwohl man es längst besser weiß, verpflichten viele Firmen ihre Mitarbeiter noch immer dazu, Passwörter nicht nur sehr komplex zu gestalten. Sie sollen auch noch alle paar Monate geändert werden. Und wer kann sich das merken? Ganz genau, niemand. Also klebt man sie sich an den Monitor oder unten an die Tastatur. Oder verwendet immer dasselbe Schema und ändert nur ein, zwei Ziffern. Beides ist natürlich eine Einladung für Hacker.
Noch schlimmer aber ist es, dasselbe Passwort für mehrere Dienste zu nutzen. Das erhöht die Gefahr, dass es durch eine Sicherheitslücke in falsche Hände gerät und dann für alles Mögliche genutzt wird. Es wäre also wirklich an der Zeit, diese Gewohnheiten abzulegen. Dass dies nun auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) so sieht, ist richtig, aber auch überfällig. Die Behörde rät - wie viele Experten schon seit Langem - nun endlich ab von überkomplexen Passwörtern, die oft gewechselt werden müssen.
Aber warum sollten sich Kriminelle überhaupt für die Passwörter normaler Menschen interessieren, und wie kommen sie eigentlich da heran? Sie können zum Beispiel funktionierende Zugänge etwa für Online-Versandhäuser missbrauchen. Oder sie verkaufen die erbeuteten Daten. Das ergibt vor allem Sinn, wenn man viele davon hat. Und die bekommen die Kriminellen beispielsweise dann, wenn sie einen Fehler bei der Einrichtung einer Datenbank ausnutzen. Passiert das einem großen Anbieter, können gleich mal mehrere Millionen Kombinationen aus E-Mail-Adresse und Passwörtern auf dem Schwarzmarkt landen. Bei Unternehmen geht es beispielsweise darum, einen Zugang ins Firmennetz zu bekommen. Sind die Kriminellen erst einmal drin, können sie sich oft weiterwühlen bis zu den Datenschätzen des Unternehmens - oder einen Verschlüsselungstrojaner platzieren, der alle Daten codiert und nur gegen Lösegeld wieder freigibt.
Meist sind die Passwörter zwar verschlüsselt, doch Laien unterschätzen völlig, wie schnell sich Passwörter mit leicht verfügbaren Programmen knacken lassen. Lässt man diese auf eine Liste mit erbeuteten Online-Zugängen los, dauert es nur Sekundenbruchteile, bis die ersten Passwörter im Klartext auftauchen. Das sind die jener Sorg- oder Ahnungslosen, die noch immer glauben, 123456 oder der Name ihres Hundes seien gute Passwörter. In unfassbarer Geschwindigkeit werden ganze Wörterbücher mit den verschlüsselten Daten abgeglichen - und oft genug gibt es Treffer.
Um das weitestgehend zu vermeiden, helfen drei Dinge: Erstens sollten Passwörter lang sein. Je länger, desto länger brauchen auch die Knackprogramme. Um sich die Passwörter leichter merken zu können, kann man die Anfangsbuchstaben eines Satzes verwenden. Der vorherige Satz sähe so aus: UsdPlmzk,kmdAeSv. Noch besser, man bringt auch Ziffern unter, das erhöht die Schwierigkeit für die Angreifer weiter. Ein Beispiel: Ein Passwort mit fünf Kleinbuchstaben ist in 0,07 Sekunden geknackt. Eines mit acht kleinen und großen Buchstaben, Sonderzeichen und Ziffern beschäftigt den Computer dagegen ein Jahr und zweieinhalb Monate - das ist meist unrentabel für die Angreifer.
Zweitens: Wann immer ein Anbieter es ermöglicht, sollten Nutzer die sogenannte Zwei-Faktor-Authentifizierung verwenden. Dabei wird bei jedem Anmeldevorgang beispielsweise per SMS ein Zahlencode aufs Handy gesendet, ohne den man sich nicht anmelden kann. Ein Angreifer müsste also Zugriff auch aufs Handy haben. Drittens: Am wichtigsten ist es aber, nicht dieselben Passwörter für mehrere Dienste zu verwenden, weil das die Gefahr eines Angriffs und möglicher unangenehmer Folgen stark erhöht.
Ist alles also nicht besonders schwer. Warum viele diese Regeln trotzdem nicht befolgen, lässt sich nur vermuten. Es dürfte eine Mischung aus Bequemlichkeit, Sorglosigkeit und Unwissenheit sein. Und: Die digitale Welt ist im Gegensatz zur analogen eben abstrakt. Oder würde etwa jemand auf die Idee kommen, Fenster und Türen seiner Wohnung ständig sperrangelweit offen stehen zu lassen?
