Ein gewöhnlicher Vorgang, sich an seinem Laptop mit einem Passwort in ein Konto einzuloggen. Wichtig ist, die richtige Auswahl des Begriffs zu treffen. 
Foto: Imago/Janine Schmitz

BerlinWie war das noch mit dem Zugang zu Twitter? Und wie hieß noch mal das Passwort für den Bürorechner? Es gibt Menschen mit mehr als 100 Konten, die gesichert werden müssen. Da kann man schnell den Überblick verlieren. Aber es gibt ein wenig Hoffnung: Wissenschaftler kommen immer häufiger zu der Erkenntnis, dass starke Passwörter nicht geändert werden müssen.

Die Statistik zeigt allerdings seit Jahren, dass viele Bundesbürger nicht sonderlich einfallsreich sind bei der Vergabe der Schlüsselbegriffe. „Viele Menschen sind sich der großen Risiken, die das Internet birgt, noch immer nicht voll bewusst“, sagte Christoph Meinel, Direktor des Hasso-Plattner-Instituts in Potsdam, schon vor einiger Zeit.

Im Februar hatten die Fachleute vom Bundesamt für Sicherheit in der Informationstechnik (BSI) überraschend einen Passus in ihrem Grundschutz-Kompendium geändert. Sie raten inzwischen, das Passwort nur noch zu ändern, wenn es in fremde Hände geraten sein könnte. Auch die dort bisher aufgeführte Verpflichtung, feste Regeln für Länge und Komplexität vorzuschreiben, verschwand.

Jetzt setzt sich auch der sogenannte Weisenrat für Cyber-Sicherheit in Deutschland für eine Abkehr von komplizierten Vorgaben beim Anlegen von Passwörtern ein. „Es ist ein weit verbreiteter und verständlicher Irrglaube, dass strengere Richtlinien die Qualität der Passwörter steigern“, heißt es in dem Jahresbericht der sechs renommierten Professorinnen und Professoren aus dem Bereich Cyber-Sicherheit, der am Mittwoch in Bonn veröffentlicht wurde. Es gebe Situationen, in denen strengere Regeln die Qualität der gewählten Passwörter mitunter sogar verschlechterten.

Besonders wichtig sei, Passwörter nicht mehr mit einem Verfallsdatum zu versehen. „Es ist viel gefährlicher, dasselbe Passwort für mehrere Dienste einzusetzen, als bei einem Dienst das Passwort nicht regelmäßig zu wechseln“, sagte Matthew Smith, Professor an der Universität Bonn und am Fraunhofer-Institut für Kommunikation, Informationsverarbeitung und Ergonomie. Ein Wechsel sei nur dann zu empfehlen, wenn es Anzeichen gebe, dass das Passwort ausgespäht oder auf anderem Wege kompromittiert worden sei.

Smith lobte, dass das Bundesamt keine Vorgaben mehr zum Passwortalter mache. Das sei eine gute Entwicklung. Er forderte aber, den Behörden und Unternehmen einheitliche Vorgaben für die Passwort-Richtlinien zu machen.   

Was aber auch noch wichtig ist: Einfach Zahlen oder Zeichen an ein Wort zu hängen, ist nicht sicher. In Zeiten von sozialen Netzwerken ist es für Computerspezialisten auch keine große Herausforderung, die Lieblingsband, den Hochzeitstag oder die Namen der Kinder herauszufinden. Wörter mit persönlichem Bezug sollten Nutzer deshalb vermeiden.

Meinel zeigte schon Anfang des Jahres Verständnis. Es sei lästig, sich für jeden Dienst ein anderes Passwort zu merken, und überfordere viele Nutzer, sagte er. Sein Tipp: Jeder benötige heutzutage eine Passwortstrategie. Das BSI empfiehlt unterschiedliche Hilfsstrategien: „Der eine merkt sich einen Satz und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man unter Umständen noch bestimmte Buchstaben in Zahlen oder Sonderzeichen. Grundsätzlich gilt: Je länger, desto besser.“

Wie schnell es Kunden von Unternehmen treffen kann, zeigte sich zuletzt im Frühjahr, als der britische Billigflug-Anbieter Easyjet mitteilen musste, dass Hacker an die Daten von Millionen Fluggästen geraten waren. Das Unternehmen versprach, alle Kunden zu informieren, auf deren Daten zugegriffen worden war. Auch deshalb warnt Meinel davor bei einer Vielzahl von Internetdiensten dasselbe Passwort zu verwenden. „Damit setzen die Nutzer sich einem erhöhten Risiko aus.“

Die Empfehlungen des Weisenrats für Cyber-Sicherheit betreffen auch die sogenannten Smart Cities. „Digitale Infrastrukturen in den vernetzten Städten müssten jederzeit verfügbar, verständlich und beherrschbar bleiben“, sagte Matthias Hollick, Professor für Sicherheit in Mobilen Netzen an der Technischen Universität Darmstadt. „Krisen wie Cyber-Angriffe, Naturereignisse, menschliches und technisches Versagen sowie Gewalt und Terror gefährden den verlässlichen Betrieb von IT-Systemen.“ Es sei daher notwendig, dass man auch im Krisenfall und bei hohem Vernetzungsgrad den Betrieb kritischer Infrastrukturen garantieren könne.

Der Weisenrat für Cyber-Sicherheit hat sich 2019 formiert und wird vom Cyber Security Cluster Bonn koordiniert. In dem Verein arbeiten Unternehmen wie Bechtle, Deutsche Telekom, IBM und Deutsche Post DHL mit wissenschaftlichen Einrichtungen wie verschiedenen Fraunhofer-Instituten sowie öffentlichen Stellen zusammen.

Ob man schon einmal Opfer eines Datendiebstahls geworden ist, lässt sich hier prüfen(mit dpa)