BSI mit Grundsatzpapier zur Passwortsicherheit

Im Internet lauern immer mehr Gefahren durch Kriminelle. Allein deutschen Firmen entstehen durch Cyberkriminalität Schäden im Bereich von über 200 Milliarden Euro jährlich. Aber auch Privatpersonen sind immer häufiger betroffen. Einfallstor für diese Machenschaften sind in zahlreichen Fällen unzureichend gepflegte Passwörter. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) gibt in einem Grundlagenpapier wertvolle Tipps zur Praxis mit sicheren Passwörtern.

Als Teilnehmer an der der digitalisierten Welt kennt jeder von uns die Mühsal, für jeden noch so unwichtige Online-Account ein sicheres und originelles Passwort zu bilden und es sich dann auch noch zu merken. Oft führt das zur bequemsten aller Methoden, die darin besteht, grundsätzlich nur ein Passwort für alles zu verwenden. Das ist laut BSI-Ansicht schon mal ein Lapsus mit unter Umständen weitreichenden Konsequenzen. Denn logischerweise haben Übeltäter leichtes Spiel, wenn sie das „Eingangspasswort“ knacken und dann feststellen, dass sie damit kinderleicht durch alle Accounts surfen können. Für die Anwender der bequem-Methode lautet daher die strikte Aufforderung des BSI, sich mehr Mühe mit dem Passwort-Management zu geben.

Das Passwort-Merkblatt ist eine bewährte Möglichkeit

Die Software Hersteller bieten unselige Varianten an praktikablen Programmen an, mit denen Passwörter generiert und gespeichert werden können. Wer eine solche Investition jedoch scheut, ist laut BSI am besten mit einem „Merkblatt“ beraten, das an einem sichern Ort aufbewahrt wird. Empfohlen wird dazu die Methode des zweiteiligen Passworts. Den ersten Passwortteil merkt man sich, notiert ihn aber nicht auf dem Merkzettel. Aufgeschrieben werden lediglich die zweiten Teile der Gesamtpasswörter. Kommt das Merkblatt in zweifelhafte Hände, kann der Finder damit kaum etwas anfangen, da ja der vordere Passwortteil (der immer gleich lautet) nicht auf der Liste vermerkt wird. Einen weiteren Tipp gibt das BSI für die generelle Passwort-Generierung, indem man sich statt einer komplizierten Folge von Zeichen, Zahlen und Sonderzeichen einen Satz merkt. Von den Wörtern, die diesen Satz bilden, wird beispielsweise jeder zweite Buchstabe eines Worts als Teil des Passwortes verwendet. Dann fügt man noch die von vielen Accounts, geforderten Sonderzeichen oder Zahlen zu, und schon ist ein sicheres Passwort generiert.

Höchste Zeit zum Passwortwechsel

Es gibt etliche Indizien, die darauf hinweisen, dass es allerhöchste Zeit ist, bestehende Passwörter durch neue zu ersetzen. Das kann zum Beispiel dann ratsam sein, wenn einer oder mehrere Anbieter von Diensten dazu auffordern. Ein weiteres Indiz ist eine Häufung von verdächtigen E-Mails, die konkrete Aufforderungen enthalten. Ebenfalls ist es Zeit, sich mit neuen Passwörtern zu beschäftigen, wenn die PC-eigene Sicherheitssoftware Alarm schlägt und beispielsweise auf schädliche Dateien oder Malware hinweist. Ferner weist das BSI darauf hin, dass gehackte E-Mail- und Passwort-Kombinationen von Kriminellen oftmals im Internet zum Kauf angeboten werden. Wer also selbst mitbekommt, dass die eigenen Daten offenbar in die Hände von Übeltätern geraten sind, sollte umgehend handeln. Checks sind über Dienstanbieter selbst vorzunehmen. Als deutschsprachiges Angebot wird von den Sicherheitsexperten beim BSI die Seite HPI Identity Leak Checker empfohlen, ebenso der internationale Anbieter haveibeenpwned.com. Allerdings weist das BSI darauf hin, dass ein nicht Auftauchen einer E-Mail-Adresse bei den genannten Dienste-Anbietern kein Beweis dafür ist, dass die eigene E-Mail-Adresse nicht dennoch geknackt worden ist.

Empfehlung für wichtige Passwörter

Sicher wäre es übertrieben, sämtliche Passwörter regelmäßig aus präventiven Gründen zu ändern. Allerdings, so die Empfehlung des BSI, sollten die „wichtigsten“ Konten regelmäßig mit neuen Passwörtern ausgestattet werden. Dazu gehören die E-Mail-Accounts ebenso wie die Banking-Aktivitäten über PC und/oder Smartphone. Auch die Social-Media-Accounts verdienen einen regelmäßigen Check. Weniger wichtig ist es hingegen, sich regelmäßig mit Passwörtern für Newsletter, Gelegenheits-Onlinekäufe in Shops oder Browserdienste zu beschäftigen und diese zu ändern.

Fazit: Da Cyberkriminelle immer forscher vorgehen, um Datenklau zu betreiben oder unbedarfte Internet User zu erpressen, empfiehlt es sich, regelmäßig die wichtigsten Passwörter auf dem eigenen PC zu ändern und so ein Mindestmaß an persönlicher IT-Security herzustellen.