20.09.2021

Passwortsicherheit – warum wir mehr darauf achten sollten

Beitrag von Janina Raeder

Wie viele Passwörter benutzt ein Mensch in seinem Leben und wie sicher sind diese? Und ist ein biometrischer Log-In sicherer als die klassische Variante mit Mailadresse und Passwort? Prof. Dr. Anna Schneider, Professorin für Wirtschaftspsychologie in Köln, hat gemeinsam mit Dr. Lukas Wiewiorra und Serpil Taş vom WIK, dem Wissenschaftlichen Institut für Infrastruktur und Kommunikationsdienste GmbH in Bad Honnef, eine Kurzstudie zum Thema Benutzerauthentifizierung durchgeführt. In dieser wird beleuchtet, welche Möglichkeiten es für einen sicheren Log-In gibt und welche in Deutschland genutzt werden. Unser Experte im Bereich der digitalen Forensik, Prof. Dr. Dirk Labudde, klärt auf, warum Passwortsicherheit so wichtig ist und wie wir uns vor Cyberattacken schützen können.

Die Ergebnisse der Studie

Es gibt zahlreiche Möglichkeiten, sich im Internet in Foren, auf Plattformen und Websites einzuloggen und häufig müssen wir uns registrieren, um eine Dienstleistung in Anspruch nehmen zu können. In der Authentifizierungs-Studie von Prof. Dr. Anna Schneider und Dr. Lukas Wiewiorra wurden verschiedene Möglichkeiten wie der Single Sign-On, Biometrie und die klassische E-Mail-Passwort-Kombination untersucht. Letztere wird besonders häufig verwendet, aber ist sie auch sicher?

Warum ist Passwortsicherheit so wichtig?

Passwörter schützen unsere persönlichen Daten in der digitalen Welt. Mit einem Log-In erhalten wir Zugriff auf unseren Account, können persönliche Daten einsehen und ändern oder Bestellungen schneller abwickeln, weil wir Daten im Konto gespeichert haben. Wird das Passwort von Dritten genutzt – weil es gehackt wurde oder offen einsehbar war – können Unbefugte Zugriff auf sensible Daten wie Adresse oder Kreditkartennummer erhalten. „Ein Passwort ist wie ein Schlüssel für virtuelle Daten. Für unsere Wohnung, die Haustür oder den Keller haben wir unterschiedliche Schlüssel, um zu verhindern, dass Fremde eintreten können. Und wenn mal ein Schlüssel gestohlen wird, kann nicht direkt alles geöffnet werden“, veranschaulicht Dirk Labudde. Sichere Passwörter sind daher essenziell, wenn es um die digitale Verschlüsselung unserer Daten geht. Sichere Passwörter und Systeme sind wichtig, um uns vor Hackerangriffen und Datendiebstahl zu schützen.

Mann mit weißem Hemd sitzt in einem Hörsaal.

„Wir stellen uns ja auch nicht auf den Marktplatz, erzählen jedem mit welchem Schlüssel man die Wohnung öffnen kann und wo diese liegt. Auf unsere Schlüssel passen wir auf, warum also nicht auch auf unsere Passwörter?“

– Prof. Dr. Dirk Labudde, Dozent und Entwickler im Bereich digitale Forensik.

Was Kriminelle mit Daten tun können

Accounts im Internet können gehackt werden und auch Phishing ist ein großes Problem. Unter Phishing versteht man unter anderem gefälschte E-Mails, die scheinbar von bekannten Firmen wie Onlineshops oder Banken kommen. In diesen werden User dazu aufgefordert, ihre Konten zu verifizieren. Wenn man auf den Link in der Mail klickt, gelangt man auf eine Seite, die der des eigentlichen Anbieters stark ähnelt. Gibt man dann dort seine Daten ein, werden diese von den Cyberkriminellen gespeichert. So erhalten Hacker Zugänge zu Accounts, die sie dann beispielsweise übernehmen können, sodass man keinen Zugriff und keine Kontrolle mehr über das Konto hat. „Diese gephishten Daten können zu Werbezwecken weiterverkauft werden. Im schlimmsten Fall belasten die Kriminellen Ihr Bankkonto, indem sie beispielsweise Bestellungen auf Ihre Kosten tätigen. Auch Identitätsdiebstähle kommen vor“, erklärt Dirk Labudde und warnt: „Persönliche Daten im Internet bestehen nicht nur aus gespeicherter Wohnadresse und einer Bankverbindung. Auch Verhaltensmuster beispielsweise bei Streaminganbietern lassen Rückschlüsse auf die Person dahinter zu und eine digitale Persönlichkeit kann erstellt werden. Alle Daten gemeinsam schaffen ein Abbild von einer realen Person.“

Viele Anbieter im Internet ermöglichen Social Log-Ins, da sie technisch gesehen vergleichsweise einfach implementiert werden können und für User den Mehraufwand reduzieren, um sich bei einem weiteren Dienst zu registrieren. Anna Schneiders und Lukas Wiewiorras Studie zeigt, dass etwa 13 % der Internetnutzer:innen diese Lösung bereits nutzen. Allerdings zeigen die Ergebnisse auch, dass nur wenige der Befragten, die einen stärkeren Fokus auf Sicherheit im Vergleich zu Aspekten wie Schnelligkeit legen, einen Social Log-in verwenden. Anna Schneider führt aus: „Die sogenannten Social Log-ins, bei denen das Google oder Facebook-Konto die Anmeldung bequemer machen, erleichtert den Nutzern den Zugang zu digitalen Diensten. In unserer Befragung wurde deutlich, dass diese Social Log-ins vor allem aus Gründen der Bequemlichkeit und Zeitersparnis genutzt werden. Internetnutzer, die einen größeren Wert auf Sicherheit legen, vermeiden diese Verfahren jedoch, da sie skeptisch sind, welche weiteren persönlichen Daten sie damit offenlegen.“

„Dabei ist festzustellen, dass digitale Identitäten im Allgemeinen nicht zwangsläufig der realen Identität entsprechen. Nutzer versuchen bereits bewusst, Ihre Online-Identität mit abweichenden Angaben zu befüllen, um sich selbst zu schützen. Abhängig vom Anwendungsfeld können Nutzer also verschiedene Facetten ihrer Identität präsentieren, während andere eher verschleiert werden. Problematisch ist allerdings, dass die Anbieter von Social Log-ins technisch in der Lage sind Informationen von Nutzern über die Grenzen unterschiedlicher Dienste hinweg zusammenzuführen“, ergänzt Dr. Wiewiorra.

Frau mit Gesichtserkennung

Welche Verfahren sind empfehlenswert?

Dr. Labudde, Professor für digitale Forensik empfiehlt, mehrstufige Authentifizierungsverfahren zu nutzen. Auch wenn das im Alltag vielleicht lästig ist, lohne sich das auf jeden Fall. „Die klassische E-Mail-Passwort-Kombination ist leicht hackbar, vor allem wenn man für diverse Konten das gleiche Passwort nutzt. Das mag zwar für die User praktisch sein, sicher ist es jedoch nicht.“

Passwortmanager, die mit einem zusätzlichen Passwort gesichert sind, zweistufige Verfahren mit zwei Geräten oder Biometrie kann Dirk Labudde empfehlen. „Alles, was das Hacken eines Kontos erschwert, ist gut“, findet der Experte. Auch die Passwörter regelmäßig und individuell zu ändern, ist sinnvoll. Das gilt für alle Verfahren, sogar für die Biometrie, da diese oft auch mit einer PIN gesichert sind. Erkennt ein Gerät beispielsweise den Fingerabdruck mehrmals hintereinander nicht, wird diese PIN abgefragt. Diese sollte man genauso regelmäßig wechseln wie andere Passwörter. Dirk Labudde empfiehlt, Passwörter einmal im Monat zu tauschen, keines davon doppelt zu verwenden und auch keines zu reaktivieren, falls es mal zu einem Hack gekommen ist und das alte Passwort irgendwo gespeichert wurde.

Was ist ein sicheres Passwort?

„Je größer der Zeichenumfang ist, desto sicherer. Mit Zeichenumfang ist aber nicht nur die Zeichenzahl gemeint, sondern auch die Form. Ein Passwort, das aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen besteht, ist also sicherer als ein Passwort nur aus Zahlen“, so der Forensiker. Am sichersten sei eine vollkommen zufällige Zeichenfolge, die keinerlei persönlichen Bezug zu einer Person hat. Da sich der Mensch so etwas aber kaum merken kann – vor allem nicht für die zahlreichen Internetkonten, die viele haben – kann man auch mit Eselsbrücken und Wortkombinationen arbeiten. Wichtig ist, dass es so kompliziert wie möglich ist, keine persönlichen Daten wie beispielsweise das Geburtsdatum enthält und regelmäßig gewechselt wird.

Die drei goldenen Regeln für die Passwortsicherheit

Auch wenn es für Konsument:innen meistens eher lästig ist, auf Passwortsicherheit zu achten und biometrische Verfahren oft nur zum Entsperren von Laptops und Smartphones genutzt werden, wie Anna Schneiders und Lukas Wiewiorras Studie zeigt, sollten wir in Zukunft  besser auf unsere persönlichen, digitalen Daten achten. Dirk Labudde fasst zusammen:

„1. Mitdenken – Passwörter sollten regelmäßig gewechselt und nicht aufgeschrieben werden. Außerdem nicht auf jeden Link in E-Mails oder auf Internetplattformen klicken. Die Gefahr, dass eine Seite zu kriminellen Zwecken geklont wurde, ist groß. Es ist besser, einmal mehr etwas kritisch zu hinterfragen als Daten zu riskieren.
2. Auf Privatsphäre achten – Lieber einen Passwortmanager nutzen als einen Post-It mit einer PIN auf dem Schreibtisch liegen zu haben, den irgendjemand einsehen kann. Passwörter so behandeln wie Schlüssel und diese regelmäßig ändern. Passwörter werden schnell weitergegeben, hier sollte also noch mehr auf Privatsphäre geachtet werden als auf Schlüssel im realen Leben.
3. So sicher wie möglich – Passwörter sollten randomisiert werden und am besten zweistufig sein. Eine Zeichenfolge aus Buchstaben, Zahlen und Sonderzeichen ist besser geeignet als eine PIN, die nur aus Ziffern besteht.“

Sie interessieren sich für digitale Forensik? Erfahren Sie hier mehr über unseren Studiengang:

Zurück zum Seitenanfang