IT-Sicherheit: Der richtige Code

Von "1234567" bis "MTiiJ2007gu1,57mg!": Gute Passwörter schützen die Privatsphäre und das Vermögen von Internetnutzern. Wie müssen geheime Zugangsdaten lauten, damit es sicher und gut zu merken sind? Die wichtigsten Kriterien.

Die Hamburger Band Die Sterne hat ihm einen eigenen Song gewidmet: dem Passwort. Der Text des gleichnamigen Liedes reduziert sich auf wenige Zeilen, von denen sich zwei immer wiederholen: "Gib mir das Passwort, das sch... Passwort." Später heißt es dann: "Wir wollen doch hier bitte nicht den Helden spielen."

Die in dem Song angesprochene Person, die dazu ermahnt wird, auf die Heldenrolle zu verzichten, dürfte in Schwierigkeiten stecken. Und vielleicht wäre es tatsächlich das Beste, dieses sch... Passwort einfach herauszurücken. Doch was ist, wenn es ihr beim besten Willen nicht einfällt? Verständlich wäre das ja angesichts der wachsenden Zahl an Passwörtern, die sich in einem digitalen Leben so ansammeln. Wer soll da ernsthaft den Überblick behalten?

Begriffe aus dem Wörterbuch sind tabu

Zumal die Anforderungen an ein sicheres Passwort so kompliziert sind, dass es schon zur Herausforderung werden kann, nur ein einziges im Kopf zu speichern. Verbraucherschützer empfehlen nämlich für ein hohes Maß an Sicherheit mindestens zehn, besser zwölf Zeichen oder auch mehr Zeichen. Groß- und Kleinbuchstaben sollten enthalten sein, dazu Zahlen und mindestens ein Sonderzeichen. Sinn ergeben sollte der Kauderwelsch auf den ersten Blick nicht. Hacker nutzen Programme, die den kompletten Inhalt von Wörterbüchern abgleichen. Deshalb sind Begriffe aus dem Wörterbuch tabu, auch solche, die mit diesen Begriffen in Verbindung stehen.

Stattdessen bieten sich die sogenannten Akronyme an, die Sonderfälle der Abkürzungen. Dabei werden die Anfangsbuchstaben von Wörtern verwendet, die einen Satz ergeben. Versehen mit ein paar Sonderzeichen und Zahlen macht der Nutzer einem Hacker die Arbeit deutlich schwieriger. Beispielsatz: Meine Tochter ist im Jahr 2007 geboren und 1,57 m groß! - ergibt MTiiJ2007gu1,57mg! Der Kreativität sind keine Grenzen gesetzt.

Folgt man den Empfehlungen von Verbraucherschützern, bekommt jedes Online-Konto ein eigenes Akronym, was ein neues Problem aufwirft. Denn sich all diese Abkürzungen zu merken, bringt eine zusätzliche Herausforderung mit sich. "Um der großen Zahl an Passwörtern Herr zu werden, können Nutzer ein Stammakronym verwenden, das für jedes Konto nur um einige wenige Zeichen erweitert wird", sagt Hauke Mormann von der Verbraucherzentrale Nordrhein-Westfalen. Aus MTiiJ2007gu1,57mg! wird dann MTiiJ2007gu1,57mg!EM, wobei EM für E-Mail-Postfach steht.

Wer dennoch fürchtet, seine Passwörter zu vergessen, kann zweierlei tun. Entweder er benutzt einen Passwort-Manager wie Keepass oder Bitwarden, oder er notiert sich die Zugangsdaten auf einem Stück Papier, das zu Hause aufbewahrt wird. "Dabei muss jeder persönlich für sich abwägen, wie groß die Wahrscheinlichkeit ist, dass eine solche Liste aus den eigenen vier Wänden abhandenkommt", sagt Mormann. Opfer eines Einbruchs kann theoretisch jeder werden. Ob die Täter dabei nach Passwort-Listen suchen, hängt vermutlich auch von den Lebensumständen der Betroffenen ab, bleibt aber letztlich Spekulation.

Weitgehend sicher sind auch die Passwort-Manager von Internetbrowsern, die die Speicherung zu jeder Webseite auf Wunsch vornehmen. Zumindest gibt es keine bekannten Fälle, in denen Hacker diese Form der Aufbewahrung geknackt hätten. Doch hier droht die Gefahr, dass der Generalzugang zum Rechner entwendet wird. Über einen schädlichen Download kann man sich schnell einen Trojaner einfangen, der Tür und Tor zum persönlichen Rechenzentrum öffnet. Dann ist auch der Zugang zu allen gespeicherten Passwörtern offen.

Tatsächlich messen viele Nutzer einem wirklich sicheren Passwort kaum große Bedeutung bei. Bequem soll es sein und leicht zu merken. Oftmals wiegen sich die Nutzer in trügerischer Sicherheit, weil sie bislang von einem Missbrauch verschont geblieben sind.

"ichliebedich" ist auf Platz sechs der beliebtesten Passwörter

Es klingt wie ein schlechter Witz, aber tatsächlich zählen simple Zahlenreihenfolgen weiterhin zu den beliebtesten digitalen Riegeln. Eine Erhebung des Hasso-Plattner-Instituts (HPI) ergab, dass die Kombinationen 123456 und 123456789 im Jahr 2020 die beliebtesten Passwörter der Deutschen waren. Auch "password" oder "qwerty", also die Buchstabenfolge oben links auf der Tastatur, zählen zu den Favoriten. Einen Sprung nach vorne im Ranking machte "ichliebedich", aktuell auf Platz sechs.

Dabei mahnt das HPI private Nutzer ebenso wie Unternehmen seit Jahren dazu, die Sicherheit ihrer Passwörter der steigenden Raffinesse von Kriminellen anzupassen. Der Trend zum Home-Office in den vergangenen anderthalb Jahren hat die Notwendigkeit noch erhöht, wie HPI-Direktor Christoph Meinel betont. "Die Corona-Pandemie hat die Angriffsfläche für Cyberangriffe in den letzten Monaten stark vergrößert und die IT-Abteilungen vieler Unternehmen vor große Herausforderungen gestellt", sagt Meinel.

Nutzlos ist ein sicheres Passwort allerdings auch dann, wenn Datenleaks die Kombinationen von E-Mail-Adressen und Zugangscodes preisgeben. Allein im Jahr 2020 erfasste das HPI 172 solcher Leaks, die rund zwei Milliarden Identitäten offenbarten. Diese Leaks bieten dem Institut überhaupt erst die Möglichkeit, die Häufigkeit von Passwörtern nachzuzeichnen. Nutzer können mithilfe des HPI-Identity Leak Checkers über die Webseite schnell und kostenlos herausfinden, ob ihre Zugangsdaten von einem Leak betroffen sind.

"In diesem Fall sollte das betroffene Passwort sofort geändert werden", sagt Verbraucherschützer Mormann. Es sei allerdings nicht mehr notwendig, gute Passwörter turnusmäßig im Drei-Monats-Rhythmus auszutauschen, wie es das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Vergangenheit empfohlen hatte. Das BSI sieht inzwischen eine größere Gefahr darin, dass sich die Qualität der Zugangsdaten durch eine stetige Erneuerung verschlechtert und Hacker dadurch leichteres Spiel haben. Deshalb verzichtet das BSI mittlerweile auf eine solche Empfehlung.