Statt Mensch, lieber Technik Welt-Passwort-Tag 2021 – und noch kein bisschen weise

Redakteur: Elke Witmer-Goßner

123456, 123456789, 12345678. Kaum zu glauben, aber auch 2020 waren diese Zahlenfolgen die drei meistgenutzten Passwörter der Deutschen. Alle Appelle von Cybersecurity-Experten – scheinbar umsonst. Anlässlich des heutigen Welt-Passwort-Tags reden uns IT-Sicherheitsspezialisten wieder ins Gewissen.

Firma zum Thema

Trotz bekannter Sicherheitsrisiken sind Passwörter nach wie vor der Standard für den Zugang zu Online-Diensten und für die Nutzerauthentifizierung bei Software-Anwendungen.
Trotz bekannter Sicherheitsrisiken sind Passwörter nach wie vor der Standard für den Zugang zu Online-Diensten und für die Nutzerauthentifizierung bei Software-Anwendungen.
(Bild: gemeinfrei© Q K / Pixabay )

„hallo123“, „passwort“ oder Namen – am häufigsten wohl „daniel“ – als Passwort. Die Liste von NordPass zu den 200 in Deutschland meistgenutzten Passwörtern des vergangenen Jahres zeugt von wenig Kreativität und, was noch schlimmer ist, absolut fehlendem Sicherheitsbewusstsein. Augen zu und durch, könnte man meinen.

Die Liste der Passwörter hat NordPass gemeinsam mit einem Drittanbieter, welcher eine Datenbank mit geleakten Passwörtern ausgewertet hat, zusammengestellt. „Die meisten dieser Passwörter können in wenigen Sekunden gehackt werden“, warnt Chad Hammond Cybersicherheitsexperte bei NordPass. Oder wurden bereits mehrfach geknackt – allein 23.597.311-mal das beliebteste Passwort „123456“. Schwache Passwörter, warnt er, könnten für Credential-Stuffing-Angriffe genutzt werden, wo die veröffentlichten Login-Daten für weitere Zugriffe auf andere Konten verwendet werden. Opfer eines solchen Angriffs könnten beispielsweise den Facebook-Account oder andere wichtige Zugänge mit allen Inhalten verlieren. E-Mail-Adressen würden gerne für Phishing-Attacken benutzt oder, um Freunde oder Familien in Sicherheit zu wiegen und dann zu betrügen. Schwache Passwörter seien darüber hinaus auch anfällig für Brute-Force-Angriffe, wo versucht wird, durch wahlloses Ausprobieren von Zeichenkombinationen Passwörter oder Schlüssel herauszufinden, so Hammond.

Das Böse lauert immer und überall

Die einfachste und schnellste Sicherheitsmaßnahme ist, das Passwort regelmäßig zu ändern. Es sei doch gar nicht so schwer, das persönliche Risiko zu reduzieren, sagt Alex „Jay” Balan, Director Security Research bei Bitdefender. „Wer einen Passwortmanager verwendet, muss sich nur ein Passwort merken. Single-Sign-On ist – sofern möglich – immer der sichere Weg, sich anzumelden, sowohl beruflich als auch privat. Dienste, die keine Multifaktor-Authentifikation unterstützen, sollten Anwender auf jeden Fall meiden. So etwas ist mittlerweile Standard. Sind biometrische Anmeldemöglichkeiten wie Fingerabdruck oder Gesichtserkennung verfügbar, sollten diese verwendet werden“, rät der Experte. Bei allen technischen Vorkehrungen sei aber vor allem das persönliche Risikobewusstsein wichtig: „Wenn Nutzer Zugangsdaten eingeben, ihr Smartphone vorzeigen oder ein Muster auf das Smartphone-Display wischen, ist ihre digitale Identität in diesem Moment verwundbar. Die Gefahr geht dann nicht nur von Schulterblicken aus, sondern auch von Überwachungskameras, die immer häufiger zuschauen, welche man aber nicht immer bemerkt.“

Die beliebtesten Passwörter sind zugleich die unsichersten: Sie wurden alle bereits zigmal gehackt und missbräuchlich verwendet.
Die beliebtesten Passwörter sind zugleich die unsichersten: Sie wurden alle bereits zigmal gehackt und missbräuchlich verwendet.
(Bild: NordPass)

Für Joseph Carson, Chief Security Scientist & Advisory CISO bei ThycoticCentrify, stellt „Cyber-Müdigkeit“ ein großes Problem für die Sicherheit dar: „Vor allem das Wechseln und stets neue Auswählen von Passwörtern ermüdet die Mitarbeiter.“ Er rät dazu, dass Privatpersonen am besten noch heute damit beginnen sollten, einen Passwort-Manager zu verwenden. Unternehmen sollten sogar einen Schritt weitergehen und über eine Privileged-Access-Security-Lösung nachdenken. Mit dieser Technologie könnten Unternehmen ihre Fachkräfte entlasten, indem die Mitarbeiter nie wieder eindeutige, komplexe Passphrasen für jedes Konto erstellen müssten, da dies das Privileged Access Management (PAM) für sie übernehme.

Doch nicht nur Otto Normalverbraucher sei nachlässig mit der Passwort-Hygiene, wundert sich Tom Haak, Geschäftsführer und Mitgründer von Lywand Software. „Selbst in manchen Unternehmen hält man es nahezu für ausgeschlossen, als Ziel für kriminelle Cyberattacken überhaupt ‚interessant‘ zu sein.“ Dies sei eine Haltung, die im digitalen Zeitalter, in denen Daten für eine Vielfalt an kriminellen Zwecken missbraucht werden können und bares Geld wert sind, der Vergangenheit angehören sollte. „Für Unternehmensinfrastrukturen sind Passwörter eine bedeutende Verteidigungslinie und gleichzeitig eine kostengünstige Maßnahme, die in keiner Sicherheitsstrategie fehlen sollte.“

Risikofaktor Mensch – weg damit!

Bert Skorupski, Sr. Manager, Sales Engineering im Bereich Microsoft Platform Management bei Quest Software, fordert dazu auf, den Welt-Passwort-Tag zum Anlass zu nehmen, Gewohnheiten im Umgang mit Passwörtern neu zu bewerten und zu überdenken. Der menschliche Faktor müsse aus diesem Prozess herausgelöst und eine Multi-Faktor-Authentifizierung erzwungen werden. „Es besteht immer das Potenzial zur Ausnutzung menschlicher Schwächen aufgrund der simplen Tatsache, dass Menschen in unseren alltäglichen Prozessen präsent sind. Darum muss es das Ziel sein, das Erraten und Knacken von Passwörtern aus dieser Gleichung zu entfernen.“

Daher sollte dies nicht nur in der Verantwortung des Einzelnen liegen, sondern auch die Organisationen seien hier gefragt: „Denn sie müssen das Thema Sicherheit ernst nehmen und dafür Sorge tragen, dass eine Multi-Faktor-Authentifizierung erzwungen wird. Zwar gibt es mehr und mehr Ankündigungen in diese Richtung, besonders von Social-Media-Plattformen, wenn es um den Schutz wichtiger Influencer-Accounts geht, aber insgesamt passiert hier viel zu wenig“, bedauert Skorupski.

„War for talents“ bei IT-Security-Personal

Deshalb sei auch ein wesentlicher Schlüssel zum erfolgreichen Kampf gegen Cyberkriminalität gut ausgebildetes Security- und Informationssicherheitspersonal in den Unternehmen, sagt Detlev Henze von der Trust IT GmbH der Unternehmensgruppe TÜV Austria. „Um als Unternehmen nachhaltig gewappnet zu sein und die aktuellen und zukünftige Risiken minimieren zu können, sind wirksame Informationssicherheitsprozesse sowohl im IT- als auch im OT- Bereich essenziell“, so Henze. Darüber hinaus bedürfe es auch auf der technischen Ebene einer Security-Architektur als wesentlichen Bestandteil, um auf wechselnde Bedrohungen in dynamischen Infrastrukturen schnell reagieren zu können. Aber „Experten können nicht so schnell ‚produziert‘ werden, wie sie Unternehmen tatsächlich benötigen“.

Das Wissen über die Gefahren bei den Nutzern schärfen, IT-Sicherheitstechnologien nutzen – privat ebenso wie geschäftlich, Know-how im Unternehmen aufbauen – dreifach genäht könnte also besser halten.

Das sicherste „Sesam öffne dich“

Aber nochmal zurück zum Ausgangsthema und der Frage, wie denn nun das „perfekte“, besonders „starke“ Passwort aussehen müsste. Mit Zauberei hat es wenig zu tun. Rita Nygren, Business Systems Administrator, BI and Project Management, bei Tripwire, hat folgende Antwort: „Die besten Passwörter sind eigentlich Pass-Phrasen: lang, einprägsam und nicht in irgendeinem Wörterbuch oder populärer Prosa zu finden.“

Das bedeute aber im Umkehrschluss nicht, dass keine Wörter verwendet werden dürften, die leicht zu merken und zu tippen seien, besonders bei Verwendung einer Phrase. „Viele Systeme erfordern immer noch zwingend die Verwendung von Sonderzeichen. Deshalb sollten Sie unbedingt Zeichensetzung benutzen oder einige Buchstaben durch Interpunktion oder Zahlen ersetzen.“ Also „Harry isst Zwiebeln“ mit beispielsweise „Harry1sstzwi3beln?“ schreiben. Statt einer bekannten Eselsbrücke sollte man allerdings lieber den neusten Insider-Witz von Zuhause oder ein Zitat als Basis verwenden. „Sogar vier zufällig ausgewählte Wörter mit Ihrer bevorzugten, möglichst selten verwendeten Interpunktion wirken als starkes Passwort. Je länger die Phrase, vorausgesetzt sie ist nicht in einem Passwort-Wörterbuch zu finden, desto schwerer ist es, das Hashing zu knacken“, erklärt Nygren.

Methoden gegen Vergesslichkeit…

Aber wie sich das alles merken? Da sind wir wieder bei den bereits erwähnten Passwort-Managern oder Passwort-Tresoren. Hier werden neu erstellte Passwörter oder Pass-Phrasen verschlüsselt abgespeichert. Der Vorteil dabei ist, dass der Nutzer nur über ein Programm und ein Master-Passwort darauf zugreifen muss, ohne sich alle anderen merken zu müssen. Viele dieser sogenannten „Vaults“ verfolgen sogar nach, welche Passwörter jemand bereits verwendet wurden, sodass die Anmeldedaten für jedes Konto eindeutig bleiben.

…und Bequemlichkeit

Doch Hand aufs Herz: Wie oft ändern Sie Ihr Passwort? Selten oder sogar nie? Was hindert uns eigentlich daran, statt der Gefahr offen ins Auge zu sehen, lieber regelmäßig Sicherheitsvorkehrungen zu treffen? Einfache Antwort: Bequemlichkeit. 14 Prozent der Verbraucher in Deutschland würden lieber Wandfarbe beim Trocknen zusehen, als für jeden Online-Dienst ein eigenes Passwort zu erstellen! Deshalb verwendet jeder Zehnte immer dasselbe Passwort für sämtliche Logins, wie eine internationale Studie von Onfido unter 4.000 Verbrauchern (davon rund 1.000 aus Deutschland) zu ihren Passwortgewohnheiten ergab.

Demnach wird Passworterstellung als lästig und umständlich empfunden – schlimmer als die Steuererklärung zu machen oder in einer Warteschlange zu stehen für die Kfz-Zulassung oder Führerscheinverlängerung. Lieber streicht man noch vorher die Wohnung oder unterzieht sich einer Wurzelbehandlung beim Zahnarzt.

Immerhin zeigt sich die Mehrheit (58 Prozent) der Befragten weltweit offen für biometrische Verfahren (z.B. Fingerabdruck oder Gesichtsbiometrie) anstelle eines Passworts für alle ihre Konten, wenn die von ihnen genutzten Marken und Dienste dies anbieten würden. Auch die deutschen Befragten sind biometrischen Verfahren gegenüber aufgeschlossen, über die Hälfte (54 Prozent) könnte sich vorstellen, biometrische Verfahren zu nutzen.

Warum überhaupt noch ein Passwort?

Viele Befragte sind aber auch fest der Überzeugung, dass eine Zukunft ohne Passwörter unmittelbar bevorsteht. Im internationalen Vergleich ist Frankreich hier besonders optimistisch: Jeder dritte Befragte (31 Prozent) aus Frankreich sagt, dass sich das Thema Passwörter in zwei bis drei Jahren erledigt haben wird. In Deutschland sind nur 13 Prozent dieser Meinung, in Großbritannien 15 Prozent und in den USA 25 Prozent.

Diese Meinung teilt auch Alexander Koch, VP Sales DACH & CEE von Yubico. „Der Einsatz von Passwörtern gilt schon seit längerem als überholt“ aus den bereits erwähnten Gründen. Deswegen würden immer mehr Unternehmen dazu übergehen, Passwörter gänzlich abzuschaffen und stattdessen zu passwortlosen Login-Praktiken zu wechseln.

(ID:47387165)