So erstellen Sie sichere Passwörter

E-Mail-Konten, Onlinebanking, Kanzleisoftware – viele der täglichen Anwendungen, die Sie nutzen, benötigen ein Passwort als Authentifizierungsmerkmal. Und das ist auch gut so. Schließlich geht es um nicht weniger, als geschäftliche Beziehungen, das eigene Konto, das Berufsgeheimnis und andere sensible Daten.

Gerät ein Passwort in die falschen Hände oder wird es von einem Cyberkriminellen „geknackt“, ist der entstehende Schaden enorm – lassen Sie es daher gar nicht erst so weit kommen!

In diesem Artikel haben unsere Datenschutz-Experten die wichtigsten Empfehlungen rund um sichere Passwörter für Sie zusammengefasst. Starten wir gleich mit dem ersten Tip:

Verwenden Sie komplexe Passwörter!

Sehr beliebt bei allen Anwendern sind Passwörter, die aus persönlichen Daten gebildet werden, wie beispielsweise der eigene Vorname in Verbindung mit dem Geburtsdatum oder dem Kfz-Kennzeichen. Der Vorteil liegt klar auf der Hand: Persönliche Daten vergisst man in der Regel nicht. Solche Passwörter kann man sich deshalb sehr leicht einprägen.

Aber Achtung: Diese Passwörter sind absolut ungeeignet! Warum? Persönliche Daten sind – so ungern Datenschützer das zugeben möchten – sehr leicht herauszufinden. Bei einem Angriff auf einen passwortgeschützten Dienst oder Bereich wird der Angreifer aller Wahrscheinlichkeit nach zuerst eine Kombination aus Ihren persönlichen Daten ausprobieren. Dazu gehören im Übrigen auch Varianten, in denen der Vorname einfach rückwärts geschrieben wird (Christian -> naitsirhC) – auch diese Alternative bietet daher nur eine geringe Schutzwirkung.

Keine Lexikoneinträge benutzen!

Gleiches gilt für Passwörter aus Begriffen, die in einem Lexikon zu finden sind: Unter Zuhilfenahme digitaler Wörterbücher können Cyberkriminelle mit entsprechenden Programmen Passwortabfragen völlig automatisch auf lexikalische Einträge testen (Namen, Tiere, etc.) – und das sowohl vor- und rückwärts als auch in Kombination mit Zahlen und Sonderzeichen.
 

Passwörter: Mindestens 10 Zeichen lang!

Eine weitere erfolgsversprechende Angriffsmöglichkeit bietet sich Cyberkriminellen insbesondere bei zu kurzen Passwörtern: die sogenannte „Brute-Force“-Attacke. Der Name ist dabei Programm, denn der Angreifer versucht mittels „roher Gewalt“ das richtige Passwort herauszufinden.

Wie funktioniert ein Brute-Force-Angriff? Ein Computerprogramm sendet mehrere tausend Passwortkombinationen binnen Sekunden an den Login. Es testet den verschlüsselten Zugang auf alle möglichen Buchstaben- und Zahlenkombinationen (a, b, aa, ab, ba, bb, aa1, usw..). Je kürzer das Passwort, desto schneller ist die Brute-Force-Attacke erfolgreich.

Anhand dieser Tabelle wird ersichtlich, wie schnell eine Brute-Force-Attacke kurze einfache Passwörter knacken kann.

Unsere Empfehlung: So bilden Sie starke Passwörter:

  • Nutzen Sie mindestens 10 Zeichen in zufälliger Reihenfolge aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.
  • Vermeiden Sie Begriffe, die sich im Lexikon wiederfinden.
  • Vermeiden Sie Zahlenformate wie Geburtsdaten und Kfz-Kennzeichen.
  • Bauen Sie sich Eselsbrücken für besonders starke Passwörter. Das Passwort „D1.MadMhNA.“ wurde beispielsweise aus dem sehr leicht zu merkenden Satz „Der erste Mann auf dem Mond heißt Neil Armstrong.“ gebildet.

Sicherheitslücke Bequemlichkeit

Grundsätzlich empfehlen IT-Sicherheitsexperten: Bei sensiblen Daten und Diensten sollten Passwörter nur einmal verwendet werden.

Da sich aber niemand gern eine ganze Liste voller hoch komplizierter Zeichenfolgen einprägt, wird dieser Grundsatz leider allzu oft vernachlässigt. Viel einfacher ist doch: verwendet ein sicheres Passwort für alle Dienste. Schließlich ist das kaum zu knacken, oder?

Das stimmt leider nur zum Teil: Ja, ein sehr starkes Passwort kann auf herkömmlichem Wege nur mit äußerst großem Aufwand geknackt werden. Aber auch die sichersten Passwörter sind nicht davor gefeilt, einmal in die Hände eines Angreifers zu fallen (wie Angreifer ganz ohne Passwort-Attacke an die Zugangsdaten gelangen, lesen Sie weiter unten). Und Angreifer sind nicht blöd: Sie rechnen fest damit, dass Passwörter nur in den allerseltensten Fällen für einen einzigen Zugang eingesetzt werden.

Bei einem einzigen Passwort ist der Schaden dann enorm. Der Angreifer erhält mit einem Mal Zugriff auch auf die sensibelsten Dienste, wie beispielsweise Online-Banking, private und geschäftliche E-Mail-Konten – und schlimmer noch: Womöglich kann er sogar auf berufliche und kanzleiinterne Daten zugreifen.

Deshalb unser Tipp: Verwenden Sie insbesondere bei sensiblen Diensten und Daten ein einziges Passwort auch nur ein einziges Mal. Eine Variation des Passworts, beispielsweise durch ein paar ausgetauschte Zahlen, ist hier nicht ausreichend. Für jeden besonders schützenswerten Zugang sollte ein neues starkes Passwort erstellt werden.

Besonders schwer machen Sie es Angreifern darüber hinaus, wenn Sie Passwörter in regelmäßigen Abständen ändern, beispielsweise alle drei Monate.

Achtung vor gefälschten E-Mails!

Man mag es kaum glauben, aber Cyberkriminellen machen sich oft gar nicht mehr die Arbeit, ein Passwort mittels Lexikon- oder Brute-Force-Angriff zu hacken. Ganz im Gegenteil: Sie fragen einfach beim Anwender nach dem Passwort. Und das Schlimme: Meistens gibt er ihnen die gewünschte Information auch noch freiwillig! Klingt skurril, oder? Ist aber leider pure Realität – ein Beispiel sind sogenannte Phishing-E-Mails.

Bei einem Phishing-Angriff sendet der Angreifer eine gefälschte E-Mail im Namen eines vertrauenswürdigen Absenders (z.B. Versicherung, Kreditinstitut, Kollegen) an das Opfer. In der E-Mail findet das Opfer einen kurzen Text, der über den Grund der E-Mail aufklärt, sowie einen Link.

Der Link führt zu einer durch den Angreifer präparierten Webseite. Auf der Seite schlägt der Angreifer dann zu: Das Opfer wird gebeten, Zugangsdaten z.B. zum Online-Banking einzugeben. Einmal eingeben, werden diese Daten umgehend an den Angreifer gesendet, der dann Zugriff auf sensible Dienste hat.

Anfang 2016 sorgte ein ähnliches Vorgehen Cyberkrimineller für Schlagzeilen: Sie verbreiteten einen Verschlüsselungstrojaner mit Namen „Locky“ per gefälschter E-Mail in ganz Deutschland. Dazu versendeten Sie gefälschte E-Mails, in deren Anhang sich die aggressive Schadsoftware verbarg. Einmal auf dem PC installiert, verschlüsselte der Trojaner sodann alle wichtigen Dateien, sodass der Computer nicht mehr zu gebrauchen war. Erst gegen die Zahlung eines Lösegeldes wurde die Verschlüsselung wieder aufgehoben.

Woran Sie Phishing- und andere gefälschte E-Mails von Cyberkriminellen erkennen können und sich auf diese Weise dagegen schützen, lesen Sie jetzt in unserem Beitrag: „Trojaner-Angriff auf deutsche Kanzleien“

Passwörter sicher aufbewahren!

Wenn Sie alle Tipps zu einem sicheren Passwort beherzigt, machen Sie es Angreifern schon extrem schwer, Zugriff auf sensible Dienste zu erhalten – insbesondere bei verschiedenen Passwörtern für verschiedene Zugänge.

Es stellt sich jetzt nur ein Problem: Wie merkt man sich all die verschiedenen Passwörter? Von einer Word- oder Excel-Datei möchten wir an dieser Stelle ausdrücklich abraten – erhält ein Angreifer einmal Zugang zu ihrem Computer, ist es um die Passwortsicherheit geschehen.

Sicherer ist da schon ein handgefertigter Zettel mit allen Zugangsdaten. Bei dieser Methode sollten Sie aber bedenken: Um ihn vor Dritten zu schützen, sollte dieser Zettel unbedingt an einem Ort aufbewahrt werden, zu dem nur Sie allein Zugang haben. Der Ort sollte aber auch so gewählt sein, dass der Zettel nicht plötzlich verloren geht. Denn einmal weg ist weg – und mit ihm alle wichtigen Zugangsdaten.

Eine andere sichere Möglichkeit zur Aufbewahrung wichtiger Zugangsdaten besteht in digitalen Passwortmanagern: Keepass und Password-Safe sind zwei Alternativen, die kostenlos angeboten werden.

Bei Passwortmanagern handelt es sich um Programme, die auf Ihrem Computer installiert werden. Mit ihnen können Sie verschlüsselte Passwortlisten erzeugen und ihre Zugangsdaten auf diese Weise sicher verwahren. Die meisten Passwortmanager nutzen dazu das AES-Verfahren (Advanced-encryption-Standard) – ein sehr sicheres, weil nur mit großem Aufwand zu umgehendes Verfahren, das in den USA sogar für staatliche Geheimhaltungsstufen zugelassen ist.

Großer Nachteil dieser Methode: Zur Entschlüsselung ist ein Masterpasswort erforderlich – dieses müssen Sie sich entweder merken oder aber handschriftlich verwahren.

Auch der beste Schutz ist keine Garantie

Eine Garantie, dass ihr Passwort ab sofort „unknackbar“ ist, kann Ihnen niemand geben – auch wir nicht. Wenn Sie aber unsere Tipps zur Passwortsicherheit beherzigen, machen Sie es einem Angreifer äußerst schwer, an begehrte Daten und Zugänge zu gelangen.

Alle Tipps finden Sie noch einmal in dieser Checkliste zusammengefasst, die Sie hier kostenlos herunterladen können. Nutzen Sie diese Checkliste in Ihrer Kanzlei und prüfen Sie Ihre Passwörter auf Schwachstellen!
 

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.