Aktuell mehren sich Berichte (ein Beispiel) über Sicherheitsvorfälle bzw. Datenlecks, bei denen Nutzerdaten und insbesondere E-Mail-Adressen durch Angreifer entwendet werden. Verschaffen sich Unbefugte Zugang zu den Accounts drohen in der Regel noch größere Schäden. Es können nicht nur in den Accounts hinterlegte Informationen wie E-Mail-Kommunikation, Bank- und Zahlungsinformationen, Anmeldedaten usw. ausgelesen werden. Es ist bei dem Eindringen auf einen E-Mail-Account zudem möglich, diesen für das Versenden von Spam-Nachrichten zu verwenden. In eine ähnliche Kerbe schlägt der Cybersicherheitsmonitor.

Passend zu diesem Thema vermeldet die Sächsische Datenschutz- und Transparenzbeauftragte in einer aktuellen Pressemitteilung den Anstieg der gemeldet Datenschutzverletzungen.  Hierin führt die Aufsichtsbehörde aus, dass zu den häufigsten Meldungen von Datenschutzverletzungen Fehlversendungen, offene E-Mail-Verteiler und das Abhandenkommen von Datenträgern durch Einbruch oder Diebstahl gehören, jedoch in etwa jedem zehnten Fall personenbezogene Daten durch Cyberkriminalität abgegriffen wurden: „Hinter den Zahlen stehen zumeist menschliches Versagen, organisatorische Mängel oder technische Schwachstellen.“ Mit einem Blick in den aktuellen Tätigkeitsbericht wird zudem klar, dass Meldungen im Zusammenhang mit Cyberkriminalität eine zentrale Kategorie von Datenschutzverletzungen bleiben. Typische Beispiele für Cyberkriminalität sind Spam- und Phishing-Mails, die Verschlüsselung von Systemen durch Ransomware, der Einsatz von Schadsoftware (Malware) sowie das Ausnutzen von Sicherheitslücken.

Sonderfall kompromittiertes E-Mail-Konto

Eine weitere Gruppe von Datenschutzverletzungen, welche in den weiten Bereich der Cyberkriminalität zuzuordnen ist, stellen die sogenannten kompromittierten E-Mail-Konten dar. Die Sächsische Aufsichtsbehörde stellt hierzu fest, dass derartige Verletzungen signifikant zugenommen haben: „Bei derartigen Vorfällen gelangen unbefugte Dritte durch Hacking, Phishing oder unsichere Passwörter in den Besitz vonZugangsdaten und nutzen das Konto, um personenbezogene Daten auszuspähen, betrügerische Nachrichten zu versenden oder weiteren Schaden anzurichten […] Kompromittierte E-Mail-Konten stellen eine ernst zu nehmende Bedrohung dar, da sie den Zugang zu sensiblen Informationen ermöglichen.“

Jüngst hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf seiner Webseite zu dieser Thematik eine Checkliste für den Ernstfall des gehackten Accounts veröffentlicht. Das BSI gibt in dieser Checkliste Hinweise wie kompromittierte Konten erkannt werden können und welche Möglichkeiten Betroffenen im Ernstfall zur Verfügung stehen.

Erkennen eines kompromittierten Accounts

Die größte Auffälligkeit besteht selbstredend darin, dass Nutzerinnen und Nutzer nicht mehr auf Ihre Accounts zugreifen können, da in der Regel die Passwörter geändert wurden. Es ist aber auch denkbar, dass die Anbieter, zum Beispiel die E-Mail-Provider wie GMX oder web.de Auffälligkeiten erkennen und deshalb die Accounts vorsorglich sperren. Unabhängig davon können und sollten die Nutzenden auf entsprechende Nachrichten achten, welche Sie nicht versendet haben oder Inhalte mit Käufen und vor allem neuen Gerätanmeldungen enthalten.

Ergänzend fügt die Sächsische Datenschutzbeauftragte in Ihrem Tätigkeitsbericht noch an: Ungewöhnliche Aktivitäten in Form von E-Mails im Gesendet-Ordner, die nicht vom Kontoinhaber verschickt wurden, sowie fehlende oder gelöschte Nachrichten (die Angreifer löschen Nachrichten, um Spuren zu verwischen sowie abgewiesene Login-Versuche, denn der Zugriff auf das Konto ist gesperrt, weil der Angreifer die Zugangsdaten geändert hat).

Was ist im Ernstfall zu tun?

Das BSI und auch die Sächsische Datenschutzbeauftrage geben auch hier Möglichkeiten an die Hand. Sollte der Zugriff auf die Accounts verwehrt werden sollte schnellstmöglich der Anbieter kontaktiert und Kontakte (z. B. vor dem Versenden von Phishing-Nachrichten) gewarnt werden.

Sofern der Zugriff auf den Account noch möglich ist, empfiehlt das BSI folgende Maßnahmen:

• Sperrung des kompromittierten Kontos: Sobald ein Vorfall bekannt wird, sollte der Zugang zum betroffenen Konto unverzüglich gesperrt werden sowie Beenden aller aktiven Sitzungen;
• Passwortzurücksetzung: Das Passwort des Kontos muss umgehend geändert und dabei auf die Verwendung eines einzigartigen, starken Passworts geachtet werden;
• Account-Einstellungen kontrollieren (z. B. Kontrolle unbefugt eingerichteter automatischer Weiterleitungen);
• Kontakte informieren (Achtsamkeit bei Spam- und/oder Phishing-Nachrichten).

Mehr Sicherheit in der Zukunft

Auch an dieser Stelle geben das BSI und die Sächsische Aufsichtsbehörde zum Teil nützliche Tipps für mehr Sicherheit für die Accounts in der Zukunft:

• Sicherheitsrichtlinien: Etablieren Sie klare Richtlinien für den Umgang mit E-Mail-Konten, zum Beispiel den Verzicht auf die Verwendung privater Geräte für berufliche E-Mails.
• Passkeys nutzen: Mit der Alternative zu Passwörtern müssen Sie sich nicht mehr viele verschiedene Passwörter merken;
• Zwei-Faktor-Authentisierung aktivieren: Wenn Sie weiterhin Passwörter nutzen, schützt ein zweiter Faktor Ihren Account zusätzlich, sollte das Passwort in fremde Hände gelangen;
• Phishing-Mails erkennen: Seien Sie wachsam, wenn Sie in einer E-Mail etwa dazu aufgefordert werden, sich per Link in Ihren Account einzuloggen, und Ihnen dringender Handlungsbedarf suggeriert wird;
• Bildschirmsperre einrichten: Sollte beispielsweise Ihr Smartphone geklaut werden, verhindern Sie so, dass Fremde darauf zugreifen können und etwa über eine ungeschützte App Zugriff zu einem Account erlangen;
• Sparsam mit Daten umgehen: Geben Sie online möglichst wenig über sich preis;
• Vorsicht bei Links und Anhängen: Hinter E-Mail-Anhängen oder Links auf Webseiten kann sich Schadsoftware verbergen;
• Updates installieren: Damit schließen Hersteller oft Sicherheitslücken, sodass Kriminelle diese nicht ausnutzen können;
• Virenscanner und Firewall nutzen: Auf vielen Geräten sind diese bereits vorinstalliert. In manchen Fällen müssen sie in den Einstellungen jedoch noch aktiviert werden;
• Öffentliches WLAN meiden: Mitunter werden dort zum Beispiel Daten unverschlüsselt übertragen;
• Schulungen: Sensibilisieren Sie Beschäftigte und andere Nutzende für die Risiken und Erkennungsmerkmale von Cyberangriffen¸
• Incident Response Plan: Dokumentieren Sie Vorfälle und optimieren Sie Ihre Notfallpläne basierend auf den Erkenntnissen, um in Zukunft schneller reagieren zu können.

Alle genannten Maßnahmen sind jedenfalls auch mit Blick auf die rechtlichen Verpflichtungen zur Informationssicherheit ratsam, vgl. z. B. Art. 32 DS-GVO, Art. 21 NIS-2-RL oder § 4 Sächsisches Informationssicherheitsgesetz.

Fazit

Vorfälle von kompromittierten E-Mail-Konten können eine ernstzunehmende Bedrohung darstellen, denn Angreifer erhalten mitunter Zugriff auf sensible Informationen. Darüber hinaus können die betroffenen Accounts für weitere Phishing-Kampagnen missbraucht werden. Verantwortliche sind stets gut beraten, sich mit entsprechenden technischen und organisatorischen Maßnahmen bestmöglich abzusichern. Das BSI gibt über die Checkliste hinaus auch noch Informationen zur Prävention und für den Notfall.

Nicht zu vernachlässigen ist zudem, dass es sich bei Fällen der kompromittierten E-Mail-Konten im Regelfall um eine Datenschutzverletzung im Sinne von Art. 4 Nr. 12 DS-GVO handelt, welche eine Meldepflicht nach Art. 33 Abs. 1 DS-GVO nach sich zieht. Ebenso können weitere Meldepflichten nach dem IT-Sicherheitsrecht einschlägig sein.

Über den Autor: Alexander Weidenhammer ist Rechtsanwalt und als externer Datenschutz- und Informationssicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Im Fokus seiner Beratungstätigkeiten liegen insbesondere Rechtsanwalts- und Steuerberatungskanzleien, mittelständische Unternehmen sowie Vereine. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

In unserem Blog-Beitrag der vergangenen Woche „Doppelt hält besser: Zwei-Faktor-Authentisierung (2FA)“ haben wir bereits dargestellt, dass eine Anmeldung unter ausschließlicher Verwendung von Benutzernamen und Passwort mit Risiken behaftet ist. Während eine Zwei-Faktor-Authentisierung diesen Anmeldevorgang durch ein zusätzliches Merkmal absichert, stellt die Nutzung von Passkeys einen anderen Weg zur Anmeldung dar. Wie das funktioniert und was dabei zu beachten ist, erfahren Sie im nachfolgenden Beitrag.

Wie funktioniert die Anmeldung mit Passkeys?

Die Verwendung von Passkeys stellt eine passwortlose Anmeldemethode dar und basiert auf dem Verfahren der asymmetrischen Verschlüsselung. Hierbei wird zunächst ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, erzeugt. Der private Schlüssel verbleibt lokal auf dem jeweiligen Endgerät und ist zwingend geheim zu halten. Der öffentliche Schlüssel wird dem jeweiligen Dienst für die Durchführung des Anmeldevorgangs zur Verfügung gestellt. Damit ist die Anmeldung mit Passkeys einerseits grundsätzlich geräte- und nicht personenbezogen und erfordert andererseits für jeden Dienst ein eigenes Schlüsselpaar – ein Sicherheitsgewinn, wenn man bedenkt, wie viele Personen identische Passwörter für unterschiedliche Dienste nutzen.

Sofern die Verwendung von Passkeys für einen Dienst aktiviert und das benötigte Schlüsselpaar erstellt wurde, wird im Rahmen des Anmeldeverfahrens vom jeweiligen Dienst zunächst eine komplexe Rechenaufgabe an das jeweilige Endgerät übermittelt – keine Angst, die löst das jeweilige Endgerät für Sie! Aus der korrekten Antwort erstellt das Endgerät nun mittels des privaten Schlüssels eine digitale Signatur, welche wiederum an den jeweiligen Dienst gesendet wird. Der Dienst überprüft sodann anhand des öffentlichen Schlüssels, ob die digitale Signatur korrekt ist. Ist dies der Fall, ist die Authentifizierung erfolgreich abgeschlossen – alternativ wird der Zugriff auf den Dienst verweigert.

Im Übrigen ist auch im Rahmen des Passkey-Verfahrens die Zwei-Faktor-Authentisierung anzuwenden. Denn nur aus einer Kombination aus den Faktoren Besitz (des Endgeräts) und Wissen (Geräte-PIN) bzw. Biometrie (Fingerabdruck, Gesicht) wird sichergestellt, dass die Anmeldefunktion beispielsweise im Falle eines Geräteverlusts nicht durch Unbefugte missbraucht wird. Die Abfrage des zweiten Faktors erfolgt in der Regel automatisch im zeitlichen Zusammenhang mit der Lösung der komplexen Rechenaufgabe. Für die Nutzenden des Passkey-Verfahrens entsteht hieraus eine kaum spürbare Verzögerung.

Wo kann ich Passkeys nutzen?

Die Verbreitung von Anmeldeverfahren mittels Passkeys hat in den vergangenen Monaten deutlich zugenommen. So bieten bereits jetzt schon Apple, Amazon, Google, Microsoft, PayPal und eine Vielzahl weiterer Dienste das Passkey-Verfahren an. Eine Auflistung bekannter Diensteanbieter, die das Passkey-Verfahren nutzen, finden Sie hier. Übrigens kann das Passkey-Verfahren auch dann angewandt werden, wenn die Passkeys auf dem Smartphone abgelegt sind, aber eine Anmeldung an einem PC erfolgen soll. Durch Kommunikation per Bluetooth ist auch eine Anwendung über Gerätegrenzen hinweg möglich.

Was passiert, wenn ich mein Endgerät verliere?

Ein Nachteil der gerätebezogenen Authentifizierung wird im Falle eines Geräteverlustes deutlich. Nur wenn lokale Backups vorhanden sind oder Passkeys in einer Cloud synchronisiert wurden, kann rasch eine Wiederherstellung der Zugänge erfolgen. Darüber hinaus sind alternative Verfahren zum Identitätsnachweis und zum Generieren neuer Passkeys zu nutzen. In selteneren Fällen kann eine Kontaktaufnahme mit dem Diensteanbieter zur Wiederherstellung des Accounts erforderlich sein.

Vor- und Nachteile von Passkeys

Die Nutzung von Passkeys ist einfacher (kein Erfinden kreativer Passwörter), schneller und bequemer (kein lästiges Eintippen von kryptischen Zeichenfolgen bei der Anmeldung) sowie deutlich sicherer. Ein ausdrücklicher Vorteil des Passkey-Verfahrens besteht nämlich unter anderem in der Phishing-Resilienz, da der private Schlüssel seitens der Nutzenden im Gegensatz zu Passwörtern nicht einfach offengelegt werden kann. Die beliebte Betrugsmethode läuft damit in aller Regel ins Leere.

Ein gleichzeitiger Vor- und Nachteil ist, dass Accounts aufgrund des Gerätebezuges nicht mehr so leicht geteilt werden können. Was bezüglich des privaten Streaming-Dienstes einen echten Nachteil darstellen kann, ist im dienstlichen Kontext insbesondere für die IT-Abteilung und den Informationssicherheitsbeauftragten ein echter Segen. Ein deutlicher Nachteil ist wiederum, dass die Verwendung des Passkey-Verfahrens voraussetzt, dass jede Person einer Organisation über ein mobiles (dienstliches) Endgerät verfügt.

Fazit

Das Passkey-Verfahren mag zwar zunächst kompliziert erscheinen, die Vorteile – allen voran die Sicherheitsaspekte – überzeugen jedoch. Ein zeitnaher Umstieg sollte ernsthaft in Betracht gezogen werden. Die Tage des weit verbreiteten Passwortschutzes scheinen damit gezählt. Weitere Informationen zum Thema erhalten Sie auch in der Podcast-Folge „Passkey statt Passwort – was steckt dahinter?“ des Bundesamtes für Sicherheit in der Informationstechnik.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Längst nicht nur Unternehmen und Behörden geraten in das Visier von Cyberkriminellen. Auch Privatpersonen sollten ihre Informationen und digitalen Identitäten bestmöglich vor Bedrohungen schützen. Für Online-Konten stellt die sogenannte Zwei-Faktor-Authentisierung (oft abgekürzt mit 2FA) einen wirksamen Schutzmechanismus dar. Worum es sich hierbei handelt und für welche Anwendungsbereiche sich die Nutzung der Zwei-Faktor-Authentisierung empfiehlt, erfahren Sie im nachfolgenden Blog-Beitrag.

Was bedeutet Zwei-Faktor-Authentisierung?

Die Zwei-Faktor-Authentisierung ermöglicht eine deutlich bessere Absicherung von Online-Konten gegen unberechtigte Zugriffe, als das ausschließlich mittels eines Passwortschutzes möglich ist. Im Rahmen eines Anmeldevorgangs wird neben den klassischen Anmeldeinformationen, oftmals bestehend aus Benutzername oder E-Mail-Adresse und Passwort, zusätzlich noch ein weiterer Faktor, beispielsweise ein auf Anfrage per SMS zugesandter sechsstelliger Zahlencode benötigt.

Grundsätzlich kann zwischen folgenden Kategorien an Faktoren unterschieden werden:

• Wissen, z.B. Passwort oder PIN,
• Besitz, z.B. Chipkarte oder TAN-Generator und
• Biometrie, z.B. Fingerabdruck oder Retina.

Durch die Nutzung der Zwei-Faktor-Authentisierung werden zur erfolgreichen Bewältigung des Anmeldevorgangs also grundsätzlich zwei unterschiedliche der oben genannten Kategorien benötigt. Dies können somit Besitz und Wissen (Besitz der Bankkarte und Wissen der PIN), Besitz und Biometrie (Besitz des Smartphones und Verwendung des Fingerabdrucks) oder Wissen und Biometrie (Wissen eines Zugangscodes und Abgleich der Retina) sein.

Allen Anwendungsformen gemein ist, dass es Unbefugten erschwert wird, sich Zutritt oder Zugriff auf schützenswerte Informationen zu verschaffen. Wird für einen Anmeldevorgang die E-Mail-Adresse, das Passwort und ein zusätzlicher per SMS übersandter Zugangscode benötigt, muss die unbefugte Person Kenntnis über E-Mail-Adresse und Passwort und zugleich Zugriff auf das jeweilige Handy oder Smartphone des Konto-Inhabers haben. Unbefugte Zugriffe werden somit zunehmend unwahrscheinlicher.

Welche Formen der Zwei-Faktor-Authentisierung gibt es?

Die Zwei-Faktor-Authentisierung kann in unterschiedlichen Anwendungsformen umgesetzt werden, wobei im Alltag insbesondere zwei Formen anzutreffen sind:

• TAN/OTP-Systeme: TAN (Transaktionsnummer) und OTP (One-Time Password) basieren auf Einmalkennwörtern, die als zweiten Faktor verwendet werden. In der Vergangenheit wurden TAN auf Papierlisten bereitgestellt, nunmehr werden hauptsächlich TAN-Generatoren (Hardware) oder entsprechende Authenticator-Apps (Software) genutzt. Noch sicherer gelten eTAN und chipTAN, bei denen die TAN aus den Transaktionsdaten generiert werden. Ein weiterer Vertreter ist smsTAN.

• Kryptographische Token: Die Authentisierung erfolgt durch das Senden einer Anforderung an das Token (z.B. USB-Token), die das Token nur mithilfe eines privaten Schlüssels korrekt beantworten kann. Der Schlüssel kann als Softwarezertifikat gespeichert werden (z.B. ELSTER), sicherer ist die Speicherung in Hardware auf einer Chipkarte (HBCI, Signaturkarten) oder einem speziellen USB-Stick/NFC-Token (FIDO/U2F). Auch der Personalausweis enthält einen sicheren Schlüsselspeicher.

Was ist der Unterschied ziwschen Authentisierung und Authentifizierung?

Neben dem Begriff der Zwei-Faktor-Authentisierung findet sich oftmals auch der Begriff der Zwei-Faktor-Authentifizierung. Hintergrund ist hierbei, dass die Begriffe Authentisierung und Authentifizierung im allgemeinen Sprachgebrauch oftmals synonym verwendet werden.

Aus technischer Sicht beschreiben jedoch die beiden Begriffe verschiedene Teilprozesse eines Anmeldevorgangs: So erfolgt durch die Nutzenden eines Systems eine Authentisierung mittelst eindeutiger Anmeldeinformationen. Das System wiederum prüft die Gültigkeit der verwendeten Anmeldeinformationen und authentifiziert so die Nutzenden. Im Kontext unseres Themas ist somit der Begriff Zwei-Faktor-Authentisierung richtig. Im Zweifel ist jedoch nicht der Name entscheidend, sondern der Umstand, dass Sie dieses Verfahren nutzen!

Wo sollte ich eine Zwei-Faktor-Authentisierung nutzen?

Die Nutzung der Zwei-Faktor-Authentisierung bietet sich grundsätzlich in allen Bereichen an, in denen über Online-Konten sensible oder anderweitig schützenswerte Informationen verarbeitet werden. Das können beispielsweise sein:

• E-Mail-Postfächer: Das persönliche E-Mail-Postfach sollte gegen unberechtigte Zugriffe besonders geschützt werden: Einerseits da hierüber zum Teil auf eine große Anzahl persönlicher Informationen zugegriffen werden kann, andererseits da standardmäßig das E-Mail-Konto zum Zurücksetzen der Passwörter anderer Online-Konten verwendet wird. Hierbei ist jedoch oftmals die Einrichtung einer Zwei-Faktor-Authentisierung technisch nur dann möglich, wenn auf das E-Mail-Postfach per Browser zugegriffen wird.

• Soziale Netzwerke: Profile in sozialen Netzwerken können missbraucht werden, um auf sensible Inhalte zuzugreifen oder im Namen des Profilinhabers Inhalte zu posten und zu versenden. Die meisten Anbieter ermöglichen die Aktivierung der Zwei-Faktor-Authentisierung in den Kontoeinstellungen.

• Cloud-Speicherdienste: Je umfangreicher Cloud-Speicherdienste im Alltag genutzt werden, umso eher lassen sich darin auch besonders sensible Informationen finden. Das können beispielsweise Lohnabrechnungen, Steuerinformationen oder ärztliche Gutachten sein. Auch bei weniger sensiblen Informationen empfiehlt sich eine Absicherung mittels Zwei-Faktor-Authentisierung mit zunehmender Datenmenge.

• Gaming-Plattformen: Auch preisintensive Spiele oder eine umfangreiche Spielebibliothek kann aufgrund potenzieller wirtschaftlicher Schäden besonders schützenswert sein. Aus diesem Grund sollten auch solche digitalen Assets durch eine Zwei-Faktor-Authentisierung vor unberechtigten Zugriffen geschützt werden. Einige Anbieter stellen hierfür besondere Smartphone-Apps bereit.

• Zahlungsdienstleister: Auch Online-Konten bei Zahlungsdienstleistern oder bei sonstigen Online-Konten, in denen Zahlungsinformationen hinterlegt sind, sollte aufgrund potenzieller wirtschaftlicher Schäden bei unberechtigten Zugriffen eine Zwei-Faktor-Authentisierung über die Konteneinstellungen aktiviert werden. Bei Banken hingegen ist die Nutzung einer Zwei-Faktor-Authentisierung im Rahmen des Online-Bankings bereits gesetzlich vorgeschrieben.

Fazit

Die Zwei-Faktor-Authentisierung stellt ein sinnvolles Verfahren zur zusätzlichen Absicherung von Online-Konten dar. Auch wenn hierdurch der Anmeldevorgang geringfügig mehr Zeit in Anspruch nimmt, sollte diese überall – wo möglich – aktiviert werden. Denn so besteht auch bei Verlust der Anmeldeinformationen eine hohe Wahrscheinlichkeit, dass Unbefugte nicht auf die Online-Konten zugreifen können.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

Ist Ihr Passwort sicher? Jedes Jahr im Dezember veröffentlicht das Hasso-Plattner-Institut (HPI) in Potsdam das Ranking der beliebtesten deutschen Passwörter. Berücksichtigt werden hierbei die Passwörter aus sogenannten „Leaks“. Einerseits kann dies aus unverschlüsselt abgelegten Passwort-Datenbanken der jeweiligen Diensteanbieter stammen, andererseits resultieren derartige Leaks auch oftmals aus unsicheren Passwörtern selbst, deren Verschlüsselung („Hash-Wert“) aufgrund einer unzureichenden Komplexität des Passworts und der Verschlüsselungstechnik umgekehrt werden kann.

Passwort als Authentisierungsmerkmal

Passwörter dienen dem Schutz unserer Kundenkonten, Online-Profilen und somit auch unserer digitalen Identitäten. Ähnlich wie bei einem Schlüssel für die Wohnungstür, ist ein Zutritt zum jeweils geschützten Bereich ausschließlich für den Besitzer des korrekten Passwortes möglich. Umso wichtiger ist es, unsere „digitalen Besitztümer“ ähnlich wie diese der analogen Welt zu schützen.

Ein Passwort muss grundsätzlich geheim bleiben, sodass ein Zutritt durch Unbefugte erschwert wird. Auch wenn zu keinem Zeitpunkt ein hundertprozentiger Schutz erreicht werden kann, sollten grundlegende Maßnahmen in jedem Fall umgesetzt werden. Auch ein Wohnungseinbruch kann nur in seltenen Fällen gänzlich verhindert werden. Oftmals sind es jedoch die vielen kleineren Dinge, welche die Wahrscheinlichkeit, Opfer eines solches Verbrechens zu werden, erheblich reduzieren.

Damit ein Passwort geheim bleibt, darf es unter keinen Umständen mit weiteren Personen geteilt werden. Auch das Notieren eines Passwortes auf Klebezetteln und das Anbringen dieser in unmittelbarer Nähe zu den Endgeräten sorgt für ein erhebliches Risiko. Unbestritten ist es unmöglich eine Vielzahl von komplexen Passwörtern verlässlich im Kopf zu behalten. Hierzu sollten sogenannte „Passwortmanager“ genutzt werden. Zu diesem Thema hält auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) einige Empfehlungen bereit.

Zusätzlich muss ein Passwort über eine ausreichende Länge und Komplexität verfügen, um mit einer großen Wahrscheinlichkeit vor gängigen Angriffen geschützt zu sein.

Beliebte Passwörter: Geringe Länge, Geringe Komplexität

Das alljährlich veröffentlichte Ranking des Hasso-Plattner-Institutes zeigt jedoch, dass viele Passwörter nur über eine geringe und Komplexität verfügen sowie sich darüber hinaus an offensichtlichen Tastatur-Mustern bedienen. Der Schutz derartiger Passwörter ist denkbar gering.

Die Top Ten der Passwörter im Jahr 2022

Die Top Ten der Passwörter im Jahr 2021

Die Übersichten der letzten beiden Jahre zeigen deutlich, dass die Varianz der unsicheren Passwörter zumeist ebenfalls gering ist. Die hier aufgelisteten Passwörter sind selbstverständlich auch potenziellen Angreifern bekannt, sodass im Falle eines sogenannten „Brute-Force-Angriffs“ (Passwortknacken durch Ausprobieren) diese Passwörter zu Beginn getestet werden.

Die Wahl eines sicheren Passwortes

Ein sicheres Passwort sollte über mindestens zehn bis zwölf Zeichen verfügen und dabei Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen enthalten. Für besonders sensible Zugänge, wie zum Beispiel die zum Online-Banking oder zum Router, empfehlen sich längere Passwörter von mindestens 20 Zeichen.

Um sich komplexe Passwörter dennoch gut einprägen zu können, eignen sich unterschiedliche Hilfsstrategien: Zum einen kann ein beliebiger Satz gebildet werden, von dem die Anfangsbuchstaben eines jeden Wortes das Grundgerüst bilden. Im Anschluss können bestimmte Buchstaben in sich ähnelnde Ziffern oder Sonderzeichen umgewandelt werden. Zum anderen können aber auch einzelne, durch Ziffern und Sonderzeichen verbundene Wortgruppen ein sicheres Passwort darstellen. Darüber hinaus empfiehlt sich die Nutzung des zuvor erwähnten Passwortmanagers.

Die ausschließliche Ergänzung von einfachen Ziffern oder üblichen Sonderzeichen am Anfang oder Ende eines einfachen Passwortes ist nicht empfehlenswert. Als Passwort gänzlich ungeeignet sind Namen von Bekannten, Freunden und Familienmitgliedern, Geburtsdaten oder gängige Wiederholungs- und Tastaturmuster, wie beispielsweise „1234abcd“oder „asdfgh“. Auch sollte das vollständige Passwort möglichst in keinem Wörterbuch vorkommen.

Darüber hinaus sollten Passwörter nur einmalig vergeben werden. Eine regelmäßige anlasslose Änderung ist hingegen nach Ansicht des BSI bei sicheren Passwörtern nicht mehr erforderlich (siehe BSI IT-Grundschutz „ORP.4 Identitäts- und Berechtigungsmanagement“, OPR.4.A23). Unverzüglich zu ändern sind hingegen voreingestellte Passwörter.

Zusätzliche Maßnahme: Zwei-Faktor-Authentisierung

Verschiedene Dienstanbieter bieten zusätzlich zum Passwortschutz eine sogenannte „Zwei-Faktor-Authentisierung“ an. Dabei wird nach der erfolgreichen Eingabe der Zugangsdaten zunächst ein zufällig generierter Code per SMS an eine zuvor festgelegte Telefonnummer gesendet. Erst mit der Eingabe dieses Codes erhält der jeweilige Nutzer einen Zugang. Alternativ wird dieses Verfahren teilweise auch mit speziellen Code-Generatoren und Apps angeboten. Dieses Verfahren schützt Sie somit auch dann, wenn Ihr Passwort einmal in die Hände von Unbefugten gelangen sollte.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.

WAS ZEICHNET EIN SICHERE PASSWORT AUS?

Ein sicheres Passwort sollte über mindestens zehn bis zwölf Zeichen verfügen und dabei Groß- und Kleinschreibung, Ziffern sowie Sonderzeichen enthalten. Auch wenn unter diesen Umständen die Verlockung groß ist: Vermeiden Sie es unbedingt, sich Ihre Passwörter zu notieren. Um sich komplexe Passwörter dennoch gut einprägen zu können, eignen sich unterschiedliche Hilfsstrategien: Zum einen kann ein beliebiger Satz gebildet werden, von dem die Anfangsbuchstaben eines jeden Wortes das Grundgerüst bilden. Im Anschluss können bestimmte Buchstaben in sich ähnelnde Ziffern oder Sonderzeichen umgewandelt werden. Zum anderen können aber auch einzelne, durch Ziffern und Sonderzeichen verbundene Wortgruppen ein sicheres Passwort darstellen. Das BSI empfiehlt darüber hinaus auch die Verwendung sogenannter Passwort-Manager.

Die Ergänzung von einfachen Ziffern oder üblichen Sonderzeichen am Anfang oder Ende eines einfachen Passwortes ist hingegen nicht empfehlenswert. Als Passwort gänzlich ungeeignet sind Namen von Bekannten, Freunden und Familienmitgliedern, Geburtsdaten oder gängige Wiederholungs- und Tastaturmuster, wie beispielsweise „1234abcd“oder „asdfgh“. Auch sollte das vollständige Passwort möglichst in keinem Wörterbuch vorkommen.

Darüber hinaus sollten Passwörter nur einmalig vergeben werden. Eine regelmäßige anlasslose Änderung ist hingegen nach Ansicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) bei sicheren Passwörtern nicht mehr erforderlich (siehe IT Grundschutz „ORP.4 Identitäts- und Berechtigungsmanagement“, OPR.4.A23).

ÄNDERN SICH VOREINGESTELLTE PASSWÖRTER UMGEHEND

Diverse Hardware- und Softwarelösungen verfügen über allgemein bekannte voreingestellte oder „leere“ Passwörter. Diese stellen ein besonderes Sicherheitsrisiko dar und sind aus diesem Grund umgehend abzuändern. In diesem Zusammenhang sei noch erwähnt, dass Router stets über ein mindestens 20-stelliges Passwort verfügen sollten.

SICHERN SIE IHRE ENDGERÄTE PER SPERRBILDSCHIRM

Sämtliche gängigen Betriebssysteme bieten automatische Bildschirm-Timeouts in Verbindung mit der Eingabe eines Passwortes bei Reaktivierung an. Diese Funktion sollte abhängig vom jeweiligen Endgerät, spätestens jedoch fünf Minuten nach der letzten Benutzeraktivität den Zugang sperren. Bei kürzerer Abwesenheit ist auch eine Sperrung per Tastenkombination, beispielsweise durch Windows-Taste + L möglich. Dies verhindert, dass unbefugte Dritte während Ihrer Abwesenheit Zugang zu personenbezogenen Daten sowie anderen vertraulichen Informationen erhalten.

GEBEN SIE PASSWÖRTER MÖGLICHST NUR AUF EIGENEN GERÄTEN EIN

Oftmals ist nicht bekannt, ob fremde Endgeräte über einen ausreichenden Schutz vor Schadprogrammen verfügen. Demnach kann auch nicht ausgeschlossen werden, dass mittels sogenannter „Keylogger“ sämtliche Tastatur- und Bildschirmeingaben aufgezeichnet werden. Vermeiden Sie aus diesem Grund auf die Eingabe Ihrer Zugangsdaten bei der Nutzung fremder Endgeräte. Sofern Sie beispielsweise während einer Dienstreise gezwungenermaßen ausschließlich über fremde Geräte Ihre Zugangsdaten eingeben können, empfiehlt sich für diese Zeit die Nutzung eines temporären Ersatzpasswortes.

GEBEN SIE PASSWÖRTER NIEMALS WEITER

Wie eingangs erwähnt, handelt es sich bei Passwörtern auch um ein Authentifizierungsmerkmal Ihrer Person. Geben Sie aus diesem Grund Passwörter niemals weiter, weder an Familienangehörige noch an Vorgesetzte oder Kolleginnen und Kollegen. Ändern Sie Ihr Passwort umgehend, wenn Sie mitbekommen haben, dass ein anderer Ihre Zugangsdaten in Erfahrung bringen konnte.

TRENNEN SIE BERUFLICHE UND PRIVATE PASSWÖRTER

Verwenden Sie für berufliche und private Zwecke stets unterschiedliche Passwörter. So vermeiden Sie, dass berufliche Passwörter durch das Ausspähen von Zugangsdaten bei privaten Dienstanbietern bekannt werden.

NUTZEN SIE DIE ZWEI-FAKTOR-AUTHENTISIERUNG

Verschiedene Dienstanbieter bieten zusätzlich zum Passwortschutz eine sogenannte „Zwei-Faktor-Authentisierung“ an. Dabei wird nach der erfolgreichen Eingabe der Zugangsdaten zunächst ein zufällig generierter Code per SMS an eine zuvor festgelegte Telefonnummer gesendet. Erst mit der Eingabe dieses Codes erhält der jeweilige Nutzer einen Zugang. Alternativ wird dieses Verfahren teilweise auch mit speziellen Code-Generatoren und 2FA-Apps angeboten.

Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und IT-Sicherheitsbeauftragter beim Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.