Woran denken Sie, wenn Sie dadada lesen? An einen alten Neue-Deutsche-Welle-Hit? Das liegt nahe. An das Twitter-Passwort von Facebook-Chef Mark Zuckerberg? Daran wohl nur, falls Sie aufmerksam Meldungen aus der Internet-Szene verfolgen und daher mitbekommen haben, dass der Unternehmer tatsächlich ein derart einfach gestricktes Passwort verwendet hatte und sein Account gehackt wurde.

Die Passwörter von mehr als 30 Millionen Twitter Accounts sollen angeblich im Besitz von Hackern sein und auf kriminellen Websites zum Verkauf angeboten werden. Zwar streitet man in der Szene der Sicherheitsexperten stets über den Wahrheitsgehalt solch weitreichender Hiobsbotschaften.

Doch fest steht: Hacks sind alltäglich. Immer wieder landen Kombinationen aus Benutzernamen und Passwörtern in den Händen Krimineller. Dann wird damit auf dem Schwarzmarkt gehandelt. Nicht immer schlagen die neuen Besitzer der Logins sofort zu. Manchmal dauert es Wochen oder viele Monate, bis tatsächlich mit den Daten Schindluder getrieben wird. Es kann auch sein, dass gar nichts passiert – weil die bad guys gar nicht dazu kommen, all die Hunderttausenden oder gar Millionen Login-Datensätze auch systematisch auszunutzen. Schließlich braucht man dazu Zeit, Ressourcen, Knowhow – und einen Plan.

Gefahren, die bei gehackten Logindaten drohen

Dennoch – kein Internetnutzer sollte die Gefahr unterschätzen. Wenn Hacker oder Kriminelle Zugänge zu Ihren Accounts haben, dann können viele Dinge passieren:

  • Reputationsschäden können auftreten, wenn Unbefugte in Ihrem Namen Inhalte zum Beispiel in Social Networks teilen. Wenn Ihr Twitter- oder Facebook-Konto gehackt wurde, dann werden früher oder später höchstwahrscheinlich illegale oder zumindest höchst peinliche und lästige Inhalte darüber geteilt (Spam).
  • Schädigungen Ihrer Freunde, Bekannten und Geschäftspartner sind möglich: Es ist eine bekannte Masche, dass Kriminelle gefälschte oder gehackte Social Media Accounts auch nutzen, um Kontakt zu den sozialen Umfeldern der legitimen Inhaber aufzunehmen. Sodann werden diese Freunde und Bekannten ins Hinterlicht geführt und getäuscht und betrogen. Etwa heißt es dann: „Du bekommst gleich eine SMS mit einem Code, bitte leite den Code an mich weiter, damit würdest du mir sehr helfen.“ Wer sich nicht gut auskennt, der ahnt nicht, dass er durch die Weitergabe des Codes eine Zahlung auslöst.
  • Finanzielle Schäden Ihrer eigenen Person sind denkbar, wenn sich Kriminelle Zugangsdaten zu Diensten verschaffen, über die Sie Zahlungen im Internet vornehmen.
  • Wenn Angreifer Zugangsdaten zu Websites erhalten, die Ihnen gehören, können diese dort Schadcode und Viren unterbringen – was wiederum andere schädigt und Suchmaschinen dazu veranlasst, Ihre Website aus den Suchergebnissen zu streichen.
  • Hacker haben sich Zugang zu Ihren E-Mails oder zu Ihrem Cloud-Speicher verschafft? Dann ist es nicht auszuschließen, dass diese versuchen, Sie mit den dort entwendbaren Daten zu erpressen.

Nur einige Beispiele, die deutlich machen: Die Sicherheit von Logindaten sollten wir alle ernst nehmen.

Einige Tipps, die zu etwas mehr Sicherheit beitragen:

  1. Vermeiden Sie die Verwendung identischer Kombinationen aus E-Mail und Passwort auf zahlreichen für Sie wichtigen Websites. Sonst bedeutet das im Ernstfall: Ein Konto gehackt, alle Konten gehackt. Denn Angreifer sind durchaus in der Lage, einmal entwendete Kombinationen aus E-Mail-Adresse und Passwort automatisch bei ganz vielen Websites auszuprobieren.
  2. Ändern Sie Ihre Passwörter regelmäßig.
  3. Wählen Sie sichere Passwörter. Das bedeutet nicht unbedingt, dass dieselben endlos lang sein müssen. Die Mischung aus Groß- und Kleinschreibung, Ziffern und Sonderzeichen lässt die Anzahl möglicher Kombinationen exponentiell ansteigen und erhöht die Passwort-Sicherheit daher ungemein.
  4. Verwahren Sie Ihre Passwörter sicher. Speichern Sie Logindaten nicht unverschlüsselt ab.
  5. Setzen Sie bei besonders sensiblen Internetdiensten auf Zwei-Faktor-Authentifizierung.

Viel mehr Sicherheit durch Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung? Falls Sie sich fragen, was das ist – hier eine kurze Erläuterung: Sie kennen das Prinzip im Grunde genommen schon vom Online-Banking. Zuerst loggen Sie sich mit Ihrer Benutzerkennung und Ihrem Passwort bei Ihrer Bank ein. Dann können Sie Basisfunktionen nutzen, etwa die Kontostandsabfrage. Um eine Überweisung oder eine andere Transaktion tätigen zu können, müssen Sie jedoch eine TAN eingeben oder einen Code scannen.

Genau diese Notwendigkeit einer zweiten Identitätsbestätigung nach dem Login mit Benutzernamen und Passwort ist mit dem Fachbegriff „Zwei-Faktor-Authentifizierung“ gemeint. Denken Sie zum Beispiel an Dienste wie PayPal: Dort loggen Sie sich normalerweise lediglich mit Benutzerkennung und Passwort ein, schon können Sie bezahlen. Ebenso bei eBay: Dann können Sie etwas kaufen.

Ganz ehrlich: Das ist ein Schritt zu wenig. Erst mit einer Zwei-Faktor-Authentifizierung sind solche sensiblen Anwendungen wirklich sicher. Dann loggen Sie sich zunächst normal ein, müssen im Anschluss jedoch noch einen Einmal-Code eingeben, den Sie beispielsweise per SMS erhalten oder aus einer individuellen Smartphone App ablesen. Teilweise existieren auch Lösungen in Form von Hardware Dongles, etwa bei manchen Finanz-Anwendungen. Dann brauchen Sie neben dem Login einen besonderen USB Stick, um sich als legitimer Nutzer auszuweisen.

Ich selbst nutze die Anmeldung mit doppeltem Boden nicht nur bei Diensten wie den eben genannten, sondern auch bei für mich sehr wichtigen Cloud-Speichern und Kommunikationsdiensten. Welche Anbieter den Login mit Zwei-Faktor-Authentifizierung schon bieten, beobachten zahlreiche Medien und Websites; so lässt sich etwa auf hier abfragen, wo das Ganze schon funktioniert.

Was kann man noch tun? Lokal verschlüsseln beispielsweise. So habe ich mit dazu entschieden, die Daten auf meinem Arbeitsrechner stark zu verschlüsseln – eigentlich auch eine Selbstverständlichkeit. Und dass ich mich auf keiner Website anmelde, die Daten nicht verschlüsselt per SSL überträgt – ebenso klar.

A propos SSL: Ein Bekannter, der als IT-Chef arbeitet, hat mir für das Thema trügerische Sicherheit die Augen geöffnet, als er mir einmal zeigte, wie leicht man mit einem manipulierten WLAN-Hotspot Logindaten unter Vortäuschung von SSL (!) stehlen kann. Für mich war als Anwender nicht zu erkennen, dass mein Browser mir nicht tatsächlich die Login-Seite von Facebook anzeigte, sondern eine gefälschte Seite, deren Ziel es war, meinen Benutzernamen und mein Passwort herauszufinden. Eine klassische Man in the Middle Attack – und für mich als Opfer war nicht zu erkennen, dass die SSL-Anzeige meines Browsers manipuliert war.

Noch ein Wort zu den immer wieder auftauchenden Versprechungen: „Auf der Website xyz können Sie überprüfen, ob Ihr Account vom neuesten Hack betroffen ist.“ – Ich stehe solchen Online-Checks sehr kritisch gegenüber. Erstens müssen Sie dort persönliche Daten preisgeben, etwa Ihren Namen oder Ihre E-Mail-Adresse. Zweitens sind solche Datenbanken logischerweise nie aktuell und vermitteln damit eine Sicherheit, die keine ist. Zudem können solche Angebote prinzipiell auch eine Falle sein („Wir sammeln mal Adressen besonders besorgter Nutzer zum Hacken“). Deshalb ändere ich einfach lieber ab und zu meine Passwörter.

Ergänzend zu diesen Anregungen ein Tipp zum Thema „sicheres Passwort“.

Verwenden Sie keine weithin bekannten, allgemeinen Begriffe oder Marken. Hacker verwenden Wörterbuch-Datenbanken und knacken schnell allgemein bekannte Begriffe.

„Bekannteswort1!“ bringt wirklich gar keine Sicherheit mehr und wird innerhalb von Sekunden(bruchteilen) geknackt.

Sie können einen Satz anstelle eines Wortes zu verwenden: ein Trick, mit dem Sie die Kennwortlänge erhöhen können. Nehmen Sie einen Satz, den Sie sich leicht merken können; eine Zeile aus Ihrem Lieblingsfilm oder einem ein Lied. Oder einen Satz, der Ihnen  persönlich etwas bedeutet. Ein Beispiel könnte sein: „Ich fahre in Wohngebieten niemals zu schnell!“ Das könnten Sie dann in IfiWnzs! übersetzen.

In diesem Beispiel nehmen Sie den ersten Buchstaben jedes Wortes, verwenden Groß- und Kleinschreibung sowie das abschließende Satzzeichen und haben damit ein relativ sicheres Passwort generiert, das wohl in keinem Wörterbuch vorkommt. Dennoch können Sie sich das Passwort merken.

In diesem Sinne – bleiben Sie sicher, nehmen Sie Passwort-Sicherheit ernst – und werfen Sie vielleicht auch mal einen Blick auf Produkte wie die Cyber-Versicherung von Hiscox.

Bernhard JodeleitAutor dieses Beitrags:

Bernhard Jodeleit berät Unternehmen in Sachen Digitalstrategie, Content Marketing und Krisenkommunikation.