PASSWORT: So schützt man sich vor Hackern

Ob soziales Netzwerk, Online-Shop oder E-Banking — überall braucht man Passwörter. Viele Nutzer überfordert dies. Spezielle Apps können da helfen.

Merken
Drucken
Teilen
Eine absolute Sicherheit gegen Hacker-Angriffe gibt es nicht. Die Sicherheit kann aber massiv erhöht werden, wenn Nutzer bei der Passwortwahl wichtige Tipps befolgen. (Bild: Getty)

Eine absolute Sicherheit gegen Hacker-Angriffe gibt es nicht. Die Sicherheit kann aber massiv erhöht werden, wenn Nutzer bei der Passwortwahl wichtige Tipps befolgen. (Bild: Getty)

Andreas-Lorenz Meyer

Wie wählt man die Passwörter für die verschiedenen Online-Zugänge aus? Zu einfach und zu kurz dürfen die aber nicht sein. «abc123», «1234567» oder «passwort» wären leicht zu knacken. Genau wie «qwertzuiopü», das sind die Buchstaben der oberen Tastaturreihe von links nach rechts. Experten raten von solchen Kombinationen ab. Je komplizierter, desto sicherer, lautet die Regel. Ein gutes Passwort sieht in etwa so aus: «Sh7=5Rtk;z:3QLj+2». Es hat mehr als die empfohlenen 12 Zeichen, Gross- und Kleinbuchstaben wechseln sich mit Zahlen ab, hie und da ist ein Sonderzeichen eingestreut. Eine harte Nuss für Passwortknacker.

Wie merkt man sich ein Passwort?

Komplexe Zeichenfolgen geben mehr Sicherheit, wenn auch keine hundertprozentige. Aber sie stellen Nutzer auch vor ein Problem. Nicht jeder ist in der Lage, sich die Zeichen zu merken. Noch schwieriger wird es für diejenigen, die 7 oder 8 Accounts und Konten haben. Sie müssen mit ebenso vielen Passwörtern umgehen. Denn der Einfachheit halber ein Passwort für alles zu nehmen, das wäre sehr unvorsichtig. Natürlich kann man sich die Kombinationen aufschreiben. Aber was ist unterwegs? Der Zettel geht schnell verloren oder gerät in falsche Hände. Ausserdem ist es umständlich, ihn jedes Mal hervorzukramen, wenn das Passwort gebraucht wird. Es gibt dann noch den Trick, sich einen Satz auszudenken, der leicht zu behalten ist. Zum Beispiel: «Beat hat 5 Kisten Champagner und 8 Flaschen Rotwein im Keller stehen.» Jetzt nimmt man die Anfangsbuchstaben und bildet daraus das Passwort: «Bh5KCu8FRiKs». Nicht schlecht. Aber auch bei den Merksätzen muss man die Übersicht behalten.

Daten mit App verwalten

Viele umgehen das Problem, indem sie einen Passwortmanager nutzen. Der übernimmt die Verwaltung der Zugangsdaten. Man kann es sich wie einen Datentresor vorstellen, in dem alle Passwörter verwahrt sind. Um sich nun bei Amazon oder Facebook einzuloggen, muss man nicht erst überlegen, wie das richtige Passwort heisst. Der Manager kennt die korrekten Zugangsdaten und trägt sie automatisch ein. Ganz ohne Zettel oder Merksatz.

Last Pass

Last Pass gehört zu den vielen US-Anbietern, die sich auf dem Markt tummeln. Die Browser-Version ist kostenlos. Man installiert das Last-Pass-Add-on, also ein Erweiterungsprogramm und gibt dann sämtliche Passwörter ein. Die werden auf den Servern des Unternehmens in den USA verschlüsselt gespeichert. Last Pass hat keinen Einblick in die Daten, heisst es. Die Passwörter können weltweit abgerufen werden. Es gibt bei dem Anbieter auch ein Masterpasswort. Was den Nachteil hat, dass Angreifer, sofern sie den Generalschlüssel erbeuten, damit alle Accounts und Konten auf einmal öffnen können. Im Juni riet Last Pass den Nutzern, ihr Masterpasswort vorsichtshalber zu ändern. Unbekannte hatten sich ins System gehackt und unter anderem E-Mail-Adressen geklaut.

Die verschlüsselten Passwörter gerieten offenbar nicht in die Hände der Angreifer. Doch auch ohne die eigentlichen Schlüssel versuchen Kriminelle, an die Zugangsdaten zu kommen, das zeigen Fälle in der Schweiz. Hier verschicken Betrüger so genannte Phishing-E-Mails. Sie treten dabei im Namen eines Geldinstituts auf. Die E-Mail weist Nutzer darauf hin, dass ihre Zugangsdaten für E-Banking nicht mehr sicher sind und unter dem im Schreiben aufgeführten Link geändert werden müssen. Der Link führt allerdings nicht auf die Originalseite der Bank, sondern auf eine von den Betrügern aufgesetzte Doppelgängerseite. Wer den Anweisungen folgt, gibt seine E-Banking-Zugangsdaten in Betrügerhände.

Oft werden die Mails blind an Hunderttausende von Empfängern verschickt. Die Angreifer rechnen mit Streuverlusten und wissen, dass die Nachricht auch an Personen geht, die gar nicht Kunde der Bank sind, erklärt Max Klaus von der Melde- und Analysestelle Informationssicherung Melani. Hierzulande gibt es immer wieder den Fall, dass Kriminelle versuchen, auf solchen Umwegen an Passwörter zu gelangen. Klaus: «Die Schweiz ist nicht sicherer oder weniger sicher als andere Länder, was solche Angriffe betrifft.» Unter antiphishing.ch stellt Melani ein Online-Formular zur Verfügung, mit dem man Phi­shingversuche anonym melden kann. Zusätzlich ist eine E-Mail-Adresse angegeben, an welche die E-Mails weitergeleitet werden können. Die Absenderadresse wird nicht gespeichert oder nach Bearbeitung der Meldung gelöscht.

Keine absolute Sicherheit

Lückenlose Sicherheit bieten Passwortmanager nicht, aber sie erleichtern doch das Leben derer, die viel im Internet unterwegs sind, dort einkaufen, posten oder Geld überweisen. Grundsätzlich sollten Nutzer bei den Angeboten immer darauf achten, dass «sämtliche Daten jederzeit verschlüsselt übermittelt werden», so Klaus. Auch eine Zwei-Faktoren-Authentifizierung ist von Vorteil. Sie gilt als relativ sicher, weil meistens zwei Geräte benötigt werden. Für unterwegs sind Passwort-Apps gedacht.

Dashlane

Bei Dashlane können Zugangsdaten schnell mit einem Klick geändert werden. Regelmässige Änderungen des Passworts sind empfehlenswert, um die Sicherheit zu erhöhen. Zudem lassen sich bei diesem Anbieter die Zugangsdaten von mehreren Personen speichern. Und man kann eine Kontaktperson für Notfälle angeben, die bei einem Not- oder Unfall auf den «Tresor» zugreifen darf. Das Basisangebot ist gratis, das Premium-Angebot, bei dem man mehr als ein Gerät benutzen kann, kostet jedoch Geld.

1Password

1Password verwaltet nicht nur, sondern erstellt auch Passwörter. Ein Zufallsgenerator produziert bei dieser App die Zeichenkombinationen. Auch hier lassen sich die Passwörter mit Kollegen oder Freunden teilen.

KeePass 2

KeePass 2 bietet ebenfalls den Passwort­generator, ein Masterpasswort öffnet den Zugang. Dieses digitale Schliessfach ist dazu noch open source. Die Verschlüsselung erfolgt über AES-256, ein Algorithmus, den auch Banken nutzen.

Password-Box

Neue Wege geht Intel mit Password-Box. Dieser Passwortmanager soll um eine Funktion namens «True Key» erweitert werden. Den Zugang bekommt man hier nicht, indem man ein Passwort eingibt, sondern mit Hilfe biometrischer Daten. Gesichtserkennung und Fingerabdrücke bei Passwortmanagern? Max Klaus kommentiert die Entwicklung so: «Es ist viel schwieriger, biometrische Daten zu entwenden. Allerdings sind Fingerabdrücke längst nicht so fälschungssicher, wie man allgemein annimmt. Im Internet gibt es eine Reihe von Anleitungen, wie Fingerprintleser übertölpelt werden können.»

Kontroverse um US-Anbieter

Dass die gängigen Anbieter in den USA sitzen, mag manchem ein ungutes Gefühl bereiten. Aufgrund des Patriot Acts kann jedes amerikanische Unternehmen zur Herausgabe der Daten an die Geheimdienste verpflichtet werden. Es gibt aber auch Schweizer Anbieter.

SecureSafe

SecureSafe, ein Produkt der Firma DSwiss, kombiniert Dokumentenablage und Passwortmanager. Kostenpflichtig wird es erst, wenn man mehr als 100 Megabyte an Dokumenten oder mehr als 50 Passwörter sichern möchte. Die gespeicherten Daten können jederzeit abgerufen werden, über den Browser, aber auch unterwegs via App auf dem Smartphone. Der Anbieter garantiert, dass die Daten in der Schweiz verwahrt werden. Ein Passwortgenerator übernimmt auf Wunsch das Zusammenstellen der Zugangsdaten.