Hacker werden immer raffinierter und stehlen millionenfach Datensätze von Online-Diensten, Banken oder Behörden. Ein guter Schutz dagegen sind starke Passwörter . Dabei gilt: Namen und Begriffe sind tabu. Denn "Hacker haben Werkzeuge, die vollautomatisch alle möglichen Zeichenkombinationen ausprobieren oder ganze Wörterbücher testen", warnt das Bundesamt für Sicherheit in der Informationstechnologie (BSI). Allerdings haben viele Menschen bei der Wahl von sicheren Passwörtern Schwierigkeiten. Nicht selten wird ein einziges Passwort für viele Konten genutzt. Wie soll man sich auch mehrere Passwörter merken, die wie empfohlen zwölf Zeichen lang sind und dazu Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten?

Des Rätsels Lösung sind Merksätze, mit denen man sich eine Eselsbrücke baut, so das BSI. "Mein Passwort hat zwölf Zeichen und ist 99-prozentig sicher", wird dann zu "MPh12Z&i99%s". Mit dieser Systematik lässt sich solch ein Passwort für jeden Dienst erweitern. Aus "Mein Ebay Passwort hat..." wird "MEPh...", aus "Mein Facebook Passwort hat..." wird "MFPh..." und so weiter. Werden die Sätze und damit auch die Passwörter alle vier Monate geändert, sind Nutzer laut den Experten auf der sicheren Seite.

Eine Alternative zu solchen Eselsbrücken sind Passwortmanager. "Die Programme speichern eine Vielzahl von Zugangsinformationen wie Benutzername plus Passwort verschlüsselt ab", sagt Marc Fliehe vom IT-Verband Bitkom. Der Nutzer muss sich dann nur noch ein starkes Masterpasswort merken, dass ihm Zugriff auf das Programm gewährt. Die verschlüsselten Passwörter liegen entweder auf dem eigenen PC, einem USB-Stick oder im Netz auf der Server-Festplatte des Anbieters. Das erlaubt den Zugriff über jedes ans Internet angeschlossene Gerät. Dieser zusätzliche Komfort bedeutet aber geringere Sicherheit. Auf den Server haben potenzielle Hacker leichteren Zugriff als auf den USB-Stick in der Hosentasche.

"Wenn man ganz sicher gehen will, sollte man seinen Passwortmanager nur auf Computern nutzen, denen man vertraut und die vor Schadsoftware geschützt sind", rät Marc Fliehe. Ein Kompromiss zwischen Sicherheit und Komfort ist laut Fliehe, sich für E-Mail-Konten und Online-Banking Passwörter zu merken und für alle weiteren Dienste einen Passwortmanager zu nutzen. Auch der ehemalige Datenschutzbeauftragte des Bundes, Peter Schaar , rät davon ab, Passwortmanagern voll und ganz zu vertrauen. "Sie sind nur so sicher wie das Masterpasswort selbst. Wenn es gelingt, diesen Sicherheitsmechanismus zu überwinden, stehen sämtliche Passwörter offen", gibt er zu bedenken.

Sicherheit durch Chipkarten

Stand der Technik wäre für solch einen sensiblen Zugang eine doppelte Authentifizierung. "Daran führt auf Dauer kein Weg vorbei. Ein Passwort beruht schließlich allein auf Wissen und kann ausspioniert werden", sagt Schaar. Die doppelte Authentifizierung würde neben einem Programm auch eine Hardwarekomponente - etwa eine Chipkarte - vorsehen, ohne die sich der Computer nicht bedienen lasse. In Netzwerken von Firmen und Behörden mit Sicherheitsrisiko sei das bereits üblich. Auch im Bereich des Online-Bankings wird diese Methode bereits durch Tan-Generatoren eingesetzt. Um diese Technik auch im Web-Alltag umzusetzen, schlägt Schaar den Personalausweis vor, mit dem man sich auch im Internet identifizieren kann.

"Ihm gegenüber besteht allerdings ein großes Misstrauen", sagt Schaar. Die Kritik lautet, dass dann der Staat an alle Daten der Bürger herankommen könne. "Die Bedenken ließen sich ausräumen, wenn man die Verwaltung der Zugriffsmechanismen einer vertrauenswürdigen Stelle überlässt."