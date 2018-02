Von Matthias Christler

Innsbruck – Eines für den Bank-Zugang, das andere für Facebook, ein drittes für Amazon und Zalando, natürlich eines für die Apple- oder Android-ID, nicht zu vergessen Skype, Booking, Hotmail, GMX, Yahoo, Ebay … Und wie viele verschiedene Passwörter müssen Sie sich merken? Diese Woche wurde beim „Safer Internet Day“ ein Augenmerk auf den Datenschutz gelegt und auch Arno Lippmann, Sicherheitsexperte bei TÜV Austria, warnt vor einfachen Wörtern, mit denen man Geld genauso wie intime Bereiche seines sozialen Online-Lebens schützen will. „Das Passwort ,Schatz‘ wird sehr schnell geknackt“, sagt Lippmann – genau genommen dauert es 21 Sekunden. „Schatzi“ ist schon acht Minuten lang sicher.

Auf einer Internet-Seite kann man überprüfen, wie viel Zeit Hacker benötigen, um mit einer so genannten „Brute-Force“-Attacke ein Passwort zu knacken. „Brute Force“ bedeutet rohe Gewalt und beschreibt, wie intelligente Programme so lange verschiedene Zeichen-Kombinationen ausprobieren, bis die richtige dabei ist. Aufgrund immer höherer Rechenleistungen und weil diese Programme auf Wörterbücher in jeder Sprache oder Wortlisten mit beliebten Passwörtern zurückgreifen, geht das Hacken immer schneller. „Wenn Sie aber ,Schatzi123‘ verwenden, davor drei Bindestriche setzen und dahinter drei Plus-Zeichen, benötigt ein Rechner mit heutiger Technik Milliarden von Jahren“, sagt Lippmann. „Umso länger und komplexer, also mit verschiedenen Zeichen, ein Passwort ist, desto länger dauert es, dieses zu knacken.“

Das ist eine der goldenen Regeln für die Datensicherheit. Eine zweite ist, dass man die mühsam gemerkten Wörter, Zahlen und Zeichen in regelmäßigen Abständen ändern sollte. Lippmann ist zwiegespalten: „Um den Normen zu entsprechen, würde ich sagen, ja, das sollte man tun. Aber ehrlich gesagt habe ich lieber ein langes und extrem sicheres Passwort, als dass ich beim ständigen Wechseln irgendwann durcheinanderkomme und es mir aufschreibe.“ Denn das ist ein dritte goldene Regel: niemals ein Passwort auf einem Zettel notieren. Viele der Vorgaben haben allerdings die Schwäche, dass Kriminelle diese kennen und sich darauf einstellen. Der Sicherheitsexperte vergleicht Hacken mit Doping. „Sicherheitsfirmen überlegen sich etwas, aber meistens springen sie der Entwicklung hinterher.“

Wer also einen Kosenamen mit ein paar Sonderzeichen verziert und verlängert, darf sich offenbar nicht mehr so sicher sein. Lippmann spricht eine neue kriminelle Methode an, das Social Engineerin­g, das auch als „soziale Manipulation“ verstanden werden kann. Hacker spähen den private­n Bereich, meist in sozialen Medie­n, aus oder täuschen andere Identitäten vor, um bestimmte Informationen zu erhalten, die ihnen helfen, an Passwörter und andere sensible Daten zu kommen. Eine Gegenmaßnahme, die von Sicherheitsexperten derzeit empfohlen wird, sind unkonventionelle Passsätze. Als Beispiel gibt Lippmann die Wortkombination „dreißiggeteiltdurch10=3“ oder „DiesistmeinPasswortfürEm@ils“ an.

Noch sicherer wäre natürlich eine völlig zufällige Kombination wie „br79ufb%&78u* djdg3!“, die laut aktueller Technik kein Rechner der Welt knacke­n könnte, auch wenn er unendlich viel Zeit hätte. Aber wer merkt sich das schon? Dafür gibt es Passwort-Manager. Das sind Programme, die für einen Nutzer genau solche Ziffer­n-Buchstaben-Sonderzeichen-Kombinationen erstellen und verwalten. Man muss sich nur ein einziges möglichst sicheres Passwort (oder einen Passsatz) merken und das Programm erledigt den Rest. Verliert man allerdings dieses Master-Passwort oder wird es gestohlen, sind alle anderen weg. „Überall wo Licht ist, ist auch Schatten“, meint der Sicherheits­experte.

Seiner Meinung nach sind Passsätze derzeit eine sinnvolle Lösung, „weil man sie sich leichter merkt als Passwörter“. Die schlechte Nachricht: Man muss trotzdem kreativ bleiben und viele Passsätze für viele Konten im Gedächtnis behalten.

Die gute Nachricht: Die Technologie greift den Menschen schon jetzt unter die Arme und macht die Daten sicherer – mit der Zwei-Faktor-Authentifizierung. Bei Internet-Überweisungen zum Beispiel genügt nicht nur ein Passwort, es muss auch ein Code eingegeben werden, der ans Handy geschickt wird. Andere Möglichkeiten der Authentifizierung sind der Fingerabdruck oder die Gesichtserkennung, die schon bei neueren Smartphones oder Tablets zum Einsatz kommt. „Passwort ist der erste Faktor, Handy der zweite, Fingerabdruck der dritte, Gesichts­erkennung der vierte – je sicherer sie etwas abwickeln wollen, desto mehr davon werden sie nutzen“, glaubt Lippmann, dass solche Systeme weiter ausgebaut werden.