1. Leben
  2. Digital

Gefährliche Generalschlüssel

Gefährliche Generalschlüssel

Wenn Hacker die Nutzerdaten eines Dienstes erbeuten, ist das ärgerlich. Richtig problematische wird es, wenn die Kriminellen damit quasi einen Generalschlüssel für die Konten der Betroffenen in der Hand haben.

Wenn es um die Sicherheit unserer privaten Daten geht, wollen wir besonders gut geschützt sein. Dazu gehört nicht zuletzt die Verwendung von Passwörtern. Und die, das weiß zumindest in der Theorie jeder, müssen wohlüberlegt sein.

In der Praxis sieht die Lage allerdings ganz anders aus: Um die Zugangscodes vieler Internetnutzer knacken zu können, erfordert es keine detektivischen Meisterleistungen oder Bemühungen professioneller Hacker . Eine Untersuchung des Hasso-Plattner-Instituts (HPI) zeigt, dass es viele den Datendieben erstaunlich leicht machen. Denn von rund einer Milliarde Nutzern verwendet jeder fünfte ein und dasselbe Passwort bei einer Vielzahl von Online-Diensten.

Die HPI-Forscher haben zudem festgestellt, dass schon die simple Zahlenkombination "123456" oft reicht, um ein fremdes Smartphone zu entsperren. Denn der Klassiker unter den unsicheren Passwörtern erfreut sich trotz der zunehmenden Zahl von Cyber-Angriffen immer noch größter Beliebtheit. Die HPI-Mitarbeiter haben rund eine Milliarde Zugangsdaten (E-Mail-Adresse und zugehöriges Passwort) ausgewertet, die von Cyber-Kriminellen erbeutet wurden und im Internet frei verfügbar sind. Dabei hat die Untersuchung auch ergeben, dass 20 Prozent der Nutzer ein identisches Passwort für mehrere Konten verwenden, etwa für das Online-Banking und den Online-Einkauf, womit sie Datendieben im Ernstfall noch einfacher zum Opfer fallen könnten. Bei jedem Vierten unterscheiden sich die einzelnen Passwörter nur geringfügig, berichten die Sicherheitsforscher.

Doch ab wann gilt ein Passwort als sicher? Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) müssten nur einige Regeln konsequent befolgt werden. Das Passwort muss länger als acht Zeichen sein und aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern bestehen. Darüber hinaus sollte es in keinem Wörterbuch, gleich welcher Sprache, zu finden sein. Nähere Informationen und Empfehlungen bietet das BSI auf seinen Internetseiten.

Auch das HPI rät dazu, unterschiedliche Passwörter für jeden Online-Dienst zu wählen und sie in regelmäßigen Abständen zu ändern. Wer Schwierigkeiten habe, sich verschiedene Zugangsdaten zu merken, könne sich von einer Passwortverwaltungssoftware helfen lassen, beispielsweise dem kostenlosen Programm Keepass.

Keepass hinterlegt Passwörter in einer lokal verschlüsselten Datenbank, die mit einem sogenannten Masterpasswort oder einer Schlüsseldatei, die sich etwa auf einem USB-Stick befindet, gesperrt wird. Fällt dem Nutzer partout kein sicheres Masterpasswort ein, so kann er sich eines mit Hilfe des Programms generieren lassen. Da Keepass ein englischsprachiges Programm ist, müssen Nutzer zusätzlich eine deutsche Sprachdatei auf der Herstellerseite www.keepass.info (Rubrik: "Translations") herunterladen.

Ob die eigenen Zugangsdaten bereits im Internet kursieren und Cyber-Kriminellen zum Missbrauch frei zur Verfügung stehen, können Nutzer unter sec.hpi.de/leak-checker mit dem Identity Leak Checker, einem Online-Sicherheitscheck des HPI, überprüfen.

bsi-fuer-buerger.de

keepass.info

sec.hpi.de/leak-checker

Kriminelle profitieren häufig davon, dass Menschen im Internet sorglos mit ihren persönlichen Daten umgehen. Ein klassisches Beispiel sind soziale Netzwerke wie Facebook , bei denen Nutzer sensible Informationen öffentlich einstellen. Das macht es Datendieben leicht.

Die Privatsphäre-Einstellungen sollten deshalb so gewählt werden, dass nur Bekannte das Profil sehen können. Das heißt auch: Freundschaftsanfragen von Fremden lieber ignorieren.

Wurde die eigene Identität für kriminelle Zwecke missbraucht, ist schnelles Handeln gefragt. Betroffene sollten Anzeige erstatten und dann umgehend Unternehmen und Banken, die Forderungen stellen könnten, über den Identitätsdiebstahl informieren.

Betroffene sollten auch Auskunfteien wie die Schufa kontaktieren. Eventuell gibt es dort bereits negative Einträge aufgrund nicht beglichener Rechnungen, die gelöscht werden müssen.