Wissen Sie, wie viele verschiedene Passwörter Sie haben? Und erinnern Sie sich, wann Sie zuletzt freiwillig eines Ihrer Passwörter geändert haben? Wenn Sie zur breiten Masse der Durchschnitts-Bevölkerung gehören, können Sie Ihre Passwörter im Prinzip an beiden Händen abzählen und haben Ihre Zugangsdaten noch nie oder schon sehr, sehr lange nicht mehr erneuert. Dass das keine gute Strategie ist, wissen wir alle. Dennoch siegt die Bequemlichkeit und der Glaube daran, dass schon nichts passieren wird. „Das ist jedoch ein Trugschluss“, warnt Jochim Selzer vom Chaos Computer Club.

Die meisten Menschen würden ihre Passwörter aus Namen und Geburtsdaten oder Orten und Telefonnummern zusammensetzen – „irgendetwas, das sich leicht merken lässt“, so der Experte. „Und dann benutzt man dieses Passwort für mehrere Accounts, weil man sich nicht mehrere verschiedene Passwörter merken kann oder will. Das Problem an der Sache: Kriminelle wissen das. Und sie nutzen es gezielt aus, weil sie wissen, dass ihre Erfolgschancen hoch sind.“

Wie gehen Kriminelle vor, um mein Passwort zu knacken?

Die Kriminellen gehen immer sehr gezielt vor, haben spezielle Programme, mit denen sie Accounts angreifen. Meistens versuchen sie, Passwörter zu raten, etwa bei Mailanbietern oder Händler-Datenbanken, wo die Mailadressen der Kundinnen und Kunden gespeichert sind. „Das nennt sich brute force Angriff“, erklärt Jochim Selzer. „Einfach ausgedrückt nehmen die Täter dann alle möglichen Passwörter, die sie finden oder generieren können und schicken sie auf Reise. Berlin030 wäre so ein Klassiker – das Kennwort wird dann auf alle E-Mailadressen losgelassen, und sicher gibt es Treffer. Wenn die Angreifer dann also hunderte solcher Passwörter mit Zehntausenden Mailadressen abgleichen, ist die Trefferquote mitunter nicht unerheblich.“

Eine weitere Methode ist, die bei einem Einbruch erbeutete Kennwortlisten durch Raten zu entschlüsseln. „Ihre Passwörter sind dort gespeichert, allerdings in verschlüsselter Form, zumindest meistens. Die Verschlüsselungsmethode ist bekannt“, weiß Jochim Selzer. „Das Entschlüsseln geht damit nicht. Darum nehmen Cyber-Diebe einen Umweg, indem sie sozusagen ein Wörterbuch aufschlagen und jedes Wort in die Verschlüsselungs-Software eingeben.“ Wenn Sie als Passwort also beispielsweise ‚Berlin‘ haben, könnte die Verschlüsselung ‚kpahrm‘ lauten, einfach eine unlogische Abfolge von Zeichen. Kommt man im Wörterbuch dann also bei Berlin an und tippt es in die Software, spuckt diese genau den Code aus, und dann ist klar: Bingo!

„Das läuft selbstverständlich alles voll automatisiert, das sind hoch spezialisierte Programme, mit denen die Netz-Diebe arbeiten“, so der Experte. „Mitunter sind sie damit binnen Sekunden am Ziel und haben Ihre Zugangsdaten komplett ergaunert. In der Folge könnte man Ihre Identität übernehmen, in Ihrem Namen Waren bestellen, Unsinn in die Welt twittern, private Bilder veröffentlichen. Denn sobald die Kriminellen wissen, dass sie einen Volltreffer gelandet haben, geht es natürlich weiter.“ Falls Sie also für Ihre Social Media Accounts überall die gleichen oder sehr ähnliche Passwörter haben, oder für E-Mail und Bankkonto, kann das für Sie ein echtes Problem werden, sofern Ihr Kennwort erbeutet wird.

Wie generiere ich ein sicheres Passwort?

Sie können sich ein Passwort erstellen, indem Sie Worte zusammenfügen, die miteinander keinen Sinn ergeben. Schauen Sie sich um. Was sehen Sie, wo sind Sie? Daraus können Sie einen Code basteln, beispielsweise 3Wolken5masken1Handy. „Ihr Gehirn bildet zu diesen zufällig ausgewählten Wörtern ein Bild. Dieses behalten Sie im Kopf und können sich Ihr Kennwort so merken“, sagt Jochim Selzer. „Allerdings ist es so, dass die Passwortlänge bei vielen Anbietern begrenzt ist. Und es dauert relativ lange, das dann einzutippen.“

Denkbar sind auch Kinder-Fantasiewörter. Hat Ihr Kind mal ein lustiges Wort kreiert? Vielleicht Meinamann statt Weihnachtsmann. „Das kann man durchaus auch als Kennwort nutzen, sollte sich aber bewusst sein, dass auch solche Versprecher gewissen Gesetzmäßigkeiten folgen, etwa was die Abfolge von Vokalen und Konsonanten angeht. Das senke die Zahl der Rateversuche potenzieller Cyber-Diebe“, sagt Jochim Selzer. „Eine Zeitlang hielt man es auch für klug, gewisse Laute durch Buchstaben zu ersetzen, also aus Hose H053 zu machen. Aber derartige Wortersetzungsregeln werden auch programmbasiert durchgespielt. Solche Passwörter sind schnell geknackt.“ Ebenso unsicher sind Lied- oder Gedichtanfänge. Diese seien standardmäßig im Repertoire der Datenbanken angelegt und bieten kaum Sicherheit.

Eine sichere Möglichkeit ist, sich einen Satz – am besten in Kombination mit Zahlen – auszudenken, den man sich gut merken kann, und dann die Anfangsbuchstaben zu nehmen, zum Beispiel ergäbe ‚Mein Fiffi wurde nur 15 Jahre alt‘ das Passwort MFwn15Ja. „Vielfach wird dazu geraten, auch Sonderzeichen zu nutzen, wobei das aus mathematischer Sicht egal ist. Die Kombination aus Zahlen und Buchstaben reicht aus, und die Länge ist entscheidend“, so Jochim Selzer.

Jedes Portal, jeder Anbieter hat eigene Kennwortregeln. Mal soll es 12 Zeichen lang sein, muss Groß- und Kleinschreibung sowie Zahlen enthalten. Dann wieder müssen es acht Zeichen sein und zwingend ein Sonderzeichen, jedoch weder Ausrufe- noch Fragezeichen. Und da ist es sehr naheliegend, sich die Passwörter einfach auf einen Zettel zu schreiben. „Davon hat man früher abgeraten, weil die Zugangsdaten gestohlen werden können“, so Jochim Selzer. „Aber seien wir mal ehrlich: Wer bei Ihnen einbricht oder Ihnen das Portemonnaie aus der Tasche klaut, interessiert sich nicht für Ihre Passwörter, sondern für Bargeld und ähnliches.“ Darum rät der Experte, sich die Passwörter ruhig zu notieren und zur Sicherheit eine Kopie irgendwo abzulegen.

Weitaus effektiver sind Passwort Manager (z.B. Keepass). Das sind digitale Programme, die automatisch Passwörter generieren, diese speichern und mittels Klick einfügen, sodass man beim Einloggen nicht mehr lange tippen muss – eine große Erleichterung vor allem auf Handytastaturen. Manche Anbieter sind gratis, andere kostenpflichtig. „Der unschlagbare Vorteil ist, dass diese Passwörter absolut zufällig sind, was sie quasi unknackbar macht“, weiß der Technik-Experte. „Sie müssen sich nur das eine Master-Kennwort merken. Und das sollte echt gut sein. Und für den Fall, dass Sie es doch einmal vergessen oder Ihnen vielleicht etwas zustößt, sollten Sie es irgendwo hinterlegen.“

Es ist ebenso sinnvoll, einen Passwort-Manager im beruflichen Kontext zu nutzen. Viele Firmen fordern ihre Angestellten regelmäßig dazu auf, ihre Passwörter zu ändern. „Das führt jedoch dazu, dass die Passwörter schwach sind. Und das liegt daran, dass die meisten Menschen keine Lust habe, sich etwas komplett Neues auszudenken oder zu merken, weshalb sie beispielsweise ein Grund-Kennwort haben und das mit einem Monatsnamen sowie der Jahreszahl ergänzen“, weiß Jochim Selzer.

Übrigens: Der beste Zeitpunkt, sein Passwort auszutauschen, ist, wenn Hacker-Angriffe publik werden und man davon liest. „Und ich empfehle ganz klar, eine zwei-Faktor-Authentifizierung zu nutzen, wo es möglich ist“, so Jochim Selzer. „Das bedeutet, dass man bei Transaktionen im Online-Banking zum Beispiel eine SMS bekommt, mit der man den Vorgang bestätigt und so erst in Gang setzt. Das heißt, dass jemand allein mit Ihren Zugangsdaten keinen wirklichen Schaden anrichten kann, weil er sich nicht authentifizieren kann – das geht nur über Ihre Handynummer.“ Ja, der Aufwand sei etwas größer, aber gemessen am potenziellen Schaden verhältnismäßig.

Kursiert meine Mailadresse auf dem Schwarzmarkt?

Wenn Sie herausfinden wollen, ob Ihre Mailadresse irgendwann einmal erbeutet wurde und nun im Netz gehandelt wird, können Sie das einfach überprüfen: Auf haveibeenpwned.com – zu deutsch in etwa: Wurde ich erwischt? – können Sie Ihre Mailadresse eingeben und bekommen angezeigt, ob sie bekannt ist oder nicht. Allerdings ist die Site auf Englisch.

Wer lieber auf eine deutsche Website gehen möchte, kann sich ans Hasso Plattner Institut wenden. Der HP Identity Leak Checker prüft, ob Ihre Mailadresse im World Wide Web kursiert. Geben Sie die Adresse in die Maske ein, danach bekommen Sie eine Mail mit der entsprechenden Nachricht. Sollte Ihre Mailadresse auf dem Schwarzmarkt bekannt sein, sollten Sie sofort Ihr Passwort ändern.