Ob die eigenen Daten und Passwörter Teil eines digitalen Raubzugs wurde, kann man selbst überprüfen. © Christin Klose, dpa
Im Internet tummeln sich zahlreiche Diebe. Sie wollen sensible Bankdaten stehlen oder die Identität anderer Personen annehmen, um Waren zu bestellen oder Menschen zu verunglimpfen. Davor schützen geeignete Passwörter und andere, noch sicherere Verfahren.
Was sind Passwörter und warum sind sie wichtig?
Ein Passwort schützt den Zugang zu einem persönlichen Konto, sei es für den Rechner, Bankgeschäfte oder Onlinekäufe, Social-Media, Streaming oder E-Mail. Es garantiert, dass keine Unbefugten Firmeninterna sehen, Geldgeschäfte machen, Texte schreiben oder auf fremde Kosten einkaufen. Ein Passwort ist vergleichbar mit einem Schlüssel zu einer Wohnung. Niemand kann sie ohne ihn betreten.
Wie sieht ein gutes Passwort aus?
Das Bundesamt für die Sicherheit in der Informationstechnologie (BSI) und die Verbraucherzentralen empfehlen, entweder kurze komplizierte Passwörter mit acht bis zwölf Zeichen zu verwenden oder sehr lange ab 25 Zeichen. Bei den kurzen sollten Zahlen, Sonderzeichen wie @ und &, sowie kleine und große Buchstaben vorkommen. Ein Beispiel wäre an%4ge9?#Ben. Bei sehr langen reichen auch nur zwei Zeichenarten, zum Beispiel Pinguin?Buchregal?Haus?Azoren. Um sich die Passwörter zu merken, helfen Eselsbrücken wie „Der Pinguin stand am Buchregal im Haus auf den Azoren“. Grundsätzlich sollte für jeden Zugang ein eigenes Passwort angelegt werden.
Ich kann mir nicht so viele Passwörter merken. Welche anderen Möglichkeiten gibt es?
Nur die wenigsten Menschen können sich viele unterschiedliche Passwörter merken. Deshalb aber immer dasselbe Passwort zu verwenden, ist grob fahrlässig. Besser ist es, sich von der Technik helfen zu lassen: mit einem Passwortmanager, Passkeys oder Zwei-Faktor-Authentifizierung.
Was ist ein Passwortmanager?
Funktion: In einem Passwortmanager sind alle Webseiten, dazugehörige Benutzernamen und Passworte gespeichert, eine Art digitale Liste. Um ihn aufzurufen, ist nur noch ein zentrales Passwort nötig. Fordert eine Webseite eine Anmeldung, übernimmt das der Passwortmanager, den man mit dem zentralen Passwort freigibt.
Vorteile: Die Zugänge zu E-Mail und anderen Programmen sind individuell geschützt. Man muss sich dennoch nur ein Passwort merken.
Nachteile: Der Passwortmanager speichert alle Zugangsdaten entweder auf dem eigenen Rechner oder in einer Cloud. Bei einem Cyberangriff können alle Daten gestohlen werden. Wer sein Masterpasswort vergisst, hat womöglich keinen Zugriff mehr auf Bankkonto oder E-Mail oder muss ihn für jede Webseite mühsam einzeln wiederherstellen.
Was ist ein Passkey?
Funktion: Das Passkey-Verfahren arbeitet mit automatisch erstellten Schlüsseln. Einige Internetdienste bieten es an und fragen beim Anmelden, ob man es nutzen will. Dann wird beim Anbieter, zum Bespiel einem Onlinehändler, ein sogenannter öffentlicher Schlüssel hinterlegt, über den man eindeutig erkannt wird. Auf dem eigenen Gerät wird ein zweiter, geheimer Schlüssel gespeichert. Meldet man sich nun beim Onlinehändler an, muss dieser zweite Schlüssel zum Beispiel per Fingerabdruck auf dem Smartphone freigegeben werden oder mit einem Code, der einem per SMS zugeschickt wird.
Vorteile: Passwörter sind überflüssig, man muss sich nichts merken. Der geheime Schlüssel ist im Gerät gespeichert und wird niemals weitergegeben. Man selbst kennt ihn nicht und kann deshalb auch nicht auf sogenannte Phishing-Mails hereinfallen, mit der Gauner Zugangsdaten erschleichen wollen. Ein Passkey ist immer nur mit einem einzigen Onlinekonto verknüpft. Selbst wenn einmal einer gestohlen werden sollte, können die Diebe andere Konten nicht knacken.
Nachteile: Sicherungskopien der Passkeys sind wichtig. Sonst wird es kompliziert. Denn geht das Gerät verloren, auf dem die geheimen Schlüssel gespeichert sind, müssen aufwendig neue vergeben werden.
Was heißt Zwei-Faktor-Authentifizierung?
Funktion: Bei der Zwei-Faktor-Authentifizierung kommt zum Passwort (Faktor 1) noch eine weitere Sicherheitsabfrage (Faktor 2) hinzu, die oft ein anderes Gerät zur Freigabe nutzt. Wer sich zum Beispiel auf dem Computer bei einem Bankkonto anmelden will, wird nach der Eingabe das Passworts gebeten, sich per Gesichtserkennung oder Fingerabdruck auf dem Mobiltelefon auszuweisen. Es kann auch sein, dass ein einmaliger Zahlencode an Mailadresse oder Mobiltelefon geschickt wird, der eingegeben werden muss. Oder eine Webseite fordert ein besonderes Zertifikat an, das auf dem Gerät gespeichert ist. Das Steuerprogramm Elster etwa arbeitet so. Auch die Online-Funktion des Personalausweises nutzt die Zwei-Faktor-Autorisierung: Nötig sind der Ausweis mit Chip (Faktor 1) und eine Pin (Faktor 2).
Vorteile: Das Verfahren ist sehr sicher. Selbst wenn jemand im Besitz des Passwortes ist, lässt sich zum Beispiel auf eine Banking-App nicht zugreifen. Das BSI rät, die Funktion unbedingt zu nutzen, wenn eine Webseite sie anbietet.
Nachteile: Der Anmeldevorgang dauert etwas länger als nur mit einem Passwort oder einer Pin. Und wenn zum Beispiel das Mobiltelefon verloren geht, über das die Gesichtskennung läuft, bleibt der Zugang verwehrt und andere Wege müssen genutzt werden.
Wie finde ich heraus, ob mein Passwort gestohlen wurde?
Immer wieder ist von Datenlecks zu lesen oder Datendiebstahl in großem Maßstab. Bei zwei deutschen Universitäten lässt sich überprüfen, ob die Zugangsdaten eines Kontos Teil eines Raubzugs waren. Das Hasso-Plattner-Institut an der Universität Potsdam bietet den Check unter https://sec.hpi.de/ilc/ an, die Universität Bonn unter https://leakchecker.uni-bonn.de/de/index.
Wie gehe ich bei einem Diebstahl vor?
Sind Konten betroffen, sollte man sofort die Passwörter oder andere Zugangsdaten ändern. Hat man keinen Zugriff mehr, muss man den Anbieter informieren. Tauchen merkwürdige Bestellbestätigungen oder unbekannte Abbuchungen im Konto auf, sollten Händler, die Bank sowie die Polizei informiert und gegebenenfalls eine Kreditkarte gesperrt werden.
BJÖRN HARTMANN