Passwörter sind allzu oft das schwächste Glied in einer Reihe von Sicherheitsmechanismen.

Unsichere Passwörter sind oftmals das schwächste Glied in der Sicherheitskette. Es gibt keine ganz sicheren Passwörter, allerdings  sehr viele unsichere. Wenn Ihre Passwörter nicht sicher sind, nützen auch viele andere Sicherheitssysteme nichts.

Was macht ein gutes Passwort aus?

• fester Verwendungszweck
  (ein sicheres Passwort, das überall verwendet wird, ist auch nicht lange sicher)
• mindestens 8 Zeichen
• Kombination aus Zahlen, Groß- und Kleinbuchstaben, Sonderzeichen
• keine Geburtstage, Namen, konkrete Begriffe
• keine einfache/naheliegende Zeichenfolge wie "123123" oder "qwertz"
• wird regelmäßig neu vergeben oder variiert (bspw. quartalsweise)

Wieviele Passwörter nutzen Sie im Alltag? Eines, zwei oder gar komplett unterschiedliche Passwörter? Sind diese Passwörter sicher? Haben Sie diese schon einmal geändert?

Im folgenden zeigen wir auf, welche anderen Aspekte bei der Wahl und Nutzung von Passwörtern entscheidend sind und wie Sie in Ihrem Unternehmen damit umgehen können.

Übersicht:

• Anatomie eines sicheren Passwortes
• Systematische Passwörter
• Treue zahlt sich nicht aus
• Sichere Passwörter verantwortungsvoll nutzen
• Vorgehensweise im Unternehmen
• Passwörter vor dritten schützen

Anatomie eines Sicheren Passwortes

Wichtig ist zunächst, dass ein Passwort ohne Ihr Zutun nicht reproduzierbar oder zu erraten ist. Das heißt im wesentlichen, dass Grundlagen wie Geburtstage, Namen oder Begriffe, die in Wörterbüchern jeglicher Sprache auftauchen, grundsätzlich tabu sind. Auch Zeichenketten wie "123123", "ababab" oder "qwertz" sind tunlichst zu vermeiden; mittlerweile gibt es bereits Sammlungen solcher scheinbar zufälligen Zeichenketten, die statistisch häufig genutzt werden und so für Hacker oder Datendiebe interessant sind. Auch scheinbare Tricks wie Rückwärtsschreibung oder Anagramme sind gefährlich und über Software schnellstens zu Knacken.

Ein ordentliches Passwort ist idealerweise nach keinem erkennbaren Muster aufgebaut. Gute Praxis ist es, darin Groß- und Kleinschreibung, Zahlen und einfache Sonderzeichen wie "!", "_" oder beispielsweise "§" zu nutzen.

Passwörter sollten zudem nicht kürzer als 8 Zeichen sein, auch wenn dies von einer Website nicht zwingend gefordert wird. Die zusätzlichen Kombinationsmöglichkeiten sorgen dafür, dass das Passwort sicherer wird. Bei sogenannten Brute-Force-Attacken wird die Leistungsfähigkeit moderner Rechner dazu genutzt, Passwörter schlicht durchzuprobieren, wobei viele tausend Kombinationen pro Sekunde getestet werden können. So ist beispielsweise mit einem haushaltsüblichen Rechner ein Passwort aus sechs Großbuchstaben theoretisch in 30 Sekunden zu knacken.

Wichtige Merkmale:

• Passwörter sollten lang sein (mindestens 8 Zeichen)
• kurze Passwörter sind unsicher und durch Software leicht zu knacken
• Passwörter sollten Buchstaben/Zahlen/Sonderzeichen-Kombinationen enthalten. Passwörter mit kleinem Zeichenvorrat (bspw. nur Zahlen oder nur Kleinbuchstaben) sind unsicherer als solche mit einem großen (bspw. Zahlen, Buchstaben, Sonderzeichen)
• mehrfache Verwendung von Passwörtern macht diese leichter angreifbar

Merkhilfen könnten so aussehen:

• ganze Sätze ("JMtiu7:heTK!" - "Jeden Morgen trinke ich um 7:00 h eine Tasse Kaffee!")
• Verbindung mehrerer Wörter oder Silben (mit gemischter Groß/Kleinschreibung) durch ein Sonderzeichen oder mit durch Zahlen ersetzten Buchstaben (Bsp.: "4u70§43!se", "54uw3t7r!hi3r")
• aussprechbare, scheinbar sinnlose Wörter, um Sonderzeichen und Zahlen ergänzt oder mit ersetzten Buchstaben (Bsp.: "h4rBL_m!tZ")

Systematische Passwörter

Möglich und in vielen Fällen praktisch ist die systematische Verwendung eines sicheren Basispasswortes in Verbindung mit bestimmten Suffixen je nach Verwendungszweck.

Hier ein Beispiel:

• s9gilVF3!wan → Unternehmens-WLAN
• s9gilVF3!intr → Intranetlogin
• s9gilVF3!lgn → allgemeines Login, bspw. Twitter etc.
• s9gilVF3!upl → FTP-Passwort

Ändert man dabei in bestimmten Abständen das Grundpasswort, um weiterhin Sicherheit zu gewährleisten, so muss nicht alles neu gelernt werden.

Treue zahlt sich nicht aus

Bei Passwörtern zahlt sich Treue nie aus, wichtige Passwörter sollten regelmäßig geändert werden, um auch in Zukunft noch Sicherheit zu bieten. Eine repräsentative Umfrage des Marktforschungsinstituts Forsa im Juni 2010 ergab, dass 41 Prozent aller Deutschen Ihre Passwörter nie aus Eigeninitiative ändern. Kritische Passwörter sollten wenigstens einmal im Quartal geändert oder variiert werden.

Eine weit verbreitete – und schlechte – Angewohnheit ist es auch, ein prinzipiell gutes Passwort für jegliche Art von Anmeldung zu nutzen. Das ist bequem, stellt aber ein großes Risiko dar: Erlangt erst einmal jemand Zugriff auf das Passwort, hat er so theoretisch auch Zugriff auf alle anderen Dienste und Systeme, für die das Passwort genutzt wird. Dies macht das gezielte Ausspähen von Nutzerdaten zu einem profitablen Geschäft für Gruppen mit genügend krimineller Energie. Immer häufiger werden gezielt große Netzwerke (bspw. kürzlich das Sony Playstation Network) oder Websites angegriffen, um an Userdaten zu kommen. Die Sicherheit von Passwörtern wird zunehmend bedeutender und Überschneidungen werden schnell zum Risiko, wenn die Userdaten ungeschützt abgelegt werden und man das Passwort so noch an anderer Stelle verwendet.

Sichere Passwörter verantwortungsvoll nutzen

Wir raten dazu, sichere Passwörter zu nutzen und diese systematisch als eine Art Baukasten zu verwenden. Dies ermöglicht Ihnen, ohne eine große Zahl komplett unterschiedlicher Passwörter auszukommen. Ein ebenfalls möglicher Ansatz ist die Verwendung von Passwörtern, die unterschiedlichen Sicherheitsstufen entsprechen. Das heißt nicht, dass diese Passwörter anders aufgebaut sein müssen, sondern vielmehr, dass Sie weniger häufig benutzt und besonders geschützt sein sollten. Verwenden Sie wichtige Passwörter nicht auch für andere Zugänge, die ggf. nicht sicher sind. So hat mit dem Zugriff auf Ihre Daten bei einem Social Network nicht auch gleich Ihre Online-Banking-Zugangsdaten.

Bedenken Sie dabei Zugang zu Ihren E-Mails bedeutet oft auch Zugang zu vielen Passwörtern, die bei Benutzung von "Passwort vergessen"-Funktionen oft an die entsprechende Adresse gesendet werden. Wer hier Zugang erlangt, kann viele Ihrer Passwörter einfach aushebeln und ändern, daher ist ein wichtiges Passwort für derartige Dienste zwingend notwending.

Vorgehensweise im Unternehmen

Insbesondere Unternehmen sollten darauf achten, dass Mitarbeiter regelmäßig neue Passwörter verwenden. Dies ist eine sinnvolle und wichtige Maßnahme, um Firmeninterna zu schützen. Bei der Nutzung bestimmter Software ist es ebenso sinnvoll, das Passwort nicht auf dem Rechner zu speichern, da diese Daten nicht immer verschlüsselt abgelegt werden, in manchen Fällen sogar einfach zugänglich sind; auch so könnten Daten ausgespäht werden. Besser ist es hier, das Passwort wenn nötig manuell einzugeben.

Beachten Sie auch, dass Passwörter im Web oder in geschlossenen Netzwerken häufig unverschlüsselt übertragen werden und theoretisch auf der gesamten Kommunikationsstrecke abgehört werden können. Verwenden Sie diese Passwörter möglichst nicht mehrfach!

Wenn Sie für Ihre Mitarbeiter gemeinsame Benutzerkonten nutzen (Website, Intranet, etc.), stellen Sie sicher, dass nach dem Ausscheiden von Mitarbeitern die entsprechenden Passwörter geändert werden, so dass niemand außerhalb des Unternehmens Zugriff auf Ihre Daten hat.

Passwörter vor dritten schützen

Zu guter Letzt sei erwähnt, dass viele Ratgeber davon abraten, Passwörter in jeglicher Form aufzuschreiben. Wir hingegen sind der Meinung, dass beispielsweise ein Post-It in der Schreibtischschublade oder am Bildschirm für Außenstehende wesentlich schwerer zugänglich ist als schlecht verschlüsselte Daten, die man aus Nachlässigkeit bei irgendeiner Website abgelegt hat. Genau so wichtig ist es auch, den Rechner gegen Spähprogramme zu schützen und sich im Web verantwortungsvoll zu bewegen.

Dazu gehört auch der richtige Umgang mit E-Mails und möglichen Phishingversuchen. Diese zielen darauf ab, den User z.B. mit einer E-Mail ("Sie haben eine wichtige Nachricht von XY erhalten, bitte loggen Sie sich ein [...]") auf eine Website zu locken, die ein Klon der eigentlichen Website (oft PayPal, eBay, Facebook usw.) ist und den Zweck hat, Userdaten abzugreifen.