Thought Leadership
Bequemlichkeit statt Sicherheit: Das ist nach wie vor das Credo vieler Internetnutzer*innen in Sachen Passwörter. Darauf machen die IT-Sicherheitsexperten der PSW GROUP aufmerksam und verweisen auf eine Bitkom-Umfrage aus dem 1. Quartal dieses Jahres, nach der 36 Prozent der Befragten dasselbe Passwort für mehrere Online-Dienste benutzen.
Ein Grund dafür, vermutet Patrycja Tulinska, Geschäftsführerin der PSW GROUP, könnte der antiquierte Grundsatz sein, Passwörter müssten lang sein, viele Sonderzeichen enthalten und vor allem regelmäßig gewechselt werden: „Wer regelmäßig seine Passwörter ändert, nutzt eher mal schwache Kennungen, die einem Schema entsprechen, etwa Passwort1, Passwort2 und so weiter. Wer hingegen ein wirklich starkes Passwort auswählt, hat keinen Grund, es laufend zu ändern. Ein sicheres Passwort lässt sich über Jahre hinweg verwenden und sollte nur gewechselt werden, wenn es unbedingt sein muss“, ist die Expertin überzeugt.
Als entscheidende Merkmale für sichere Passwörter gelten nach Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) Länge und Komplexität eines Passworts: Empfohlen werden mindestens 8 Zeichen, wobei bei einer solchen Kürze noch Komplexität, also Ziffern, Sonderzeichen, Groß- und Kleinschreibung hinzugefügt werden muss. Bei Passwörtern mit 20 bis 25 Zeichen Länge muss weniger über die Komplexität nachgedacht werden, dennoch ist die Verwendung von mindestens zwei Zeichenarten ratsam. „Je länger und komplexer ein Passwort ist, umso sicherer ist es. Ich rate dazu, sämtliche verfügbaren Zeichen für ein Passwort zu verwenden, also neben Groß- und Kleinbuchstaben auch Ziffern und Sonderzeichen. Wer viel im Ausland unterwegs ist, sollte auf Umlaute verzichten. Sie lassen sich auf landestypischen Tastaturen womöglich nicht eingeben“, rät Tulinska.
Weder Adressangaben noch Namen von Familienmitgliedern, aber auch nicht von Haustieren, dem besten Freund oder des Lieblingsstars gehören in Passwörter. Idealerweise kommt das vollständige Passwort auch in keinem Wörterbuch vor. Auch gängige Muster wie „123abc“ oder „qwertz“ sind Tabu. Ebenfalls nicht empfehlenswert ist es, einfach ein Sonderzeichen an ein sehr simples Passwort zu hängen wie bei „kennung%“. „Für jeden Dienst sollte ein separates Passwort erstellt werden. Ein bisschen Kreativität ist dabei gefordert, denn Abwandlungen wie Passwort1%3-PC“ und „Passwort1%3-Facebook“ werden von Hackern zügig erraten“, ergänzt Patrycja Tulinska und gibt einen Tipp: „Eine sehr beliebte Methode zum Erzeugen sicherer Passwörter ist es, sich einen Satz auszudenken, die Anfangsbuchstaben der Wörter zu nutzen und das Ganze mit Sonderzeichen zu garnieren.“
Passwörter teilen: Wenn, dann sicher und entlang der DSGVO
Gerade im geschäftlichen Umfeld müssen Zugänge häufig geteilt werden, um beispielsweise Dienstleistern oder Kunden Zugriff zu gewähren. Die Datenschutzgrundverordnung (DSGVO) klärt die Rechtslage in diesem Fall eindeutig: Zum Versand von Zugängen müssen zwei getrennte Kanäle genutzt werden. „Für die Praxis bedeutet das, den Nutzernamen zum Beispiel per E-Mail zu versenden, während das Passwort telefonisch durchgegeben wird. Alternativ lässt sich der Nutzername auch per TeamViewer übertragen und das Passwort kommentarlos per E-Mail versenden“, veranschaulicht Tulinska. Muss ein Teil der Kennung per E-Mail oder Smartphone übertragen werden, ist auf einen sicheren, also verschlüsselten Versand zu achten.
Passwortmanager: Den Einsatz abwägen
Ist das Passwort auf sicherem Wege übertragen oder geteilt worden, muss es auch sicher, also verschlüsselt gespeichert werden. Bedeutet im einfachsten Falle: Physische Notizzettel wegsperren oder Passwörter verschlüsselt auf dem Rechner speichern. Doch das kann unübersichtlich werden, vor allem dann, wenn viele Passwörter verwaltet werden müssen. Hier kann sich ein Passwort-Verwaltungsprogramm lohnen, kurz Passwortmanager genannt. Praktisch an diesen Tools ist die Tatsache, dass Passwörter damit nicht nur gespeichert, sondern auch sichere Passwörter generiert werden können. Doch wo Licht ist, gibt es auch Schatten – und so haben Passwortmanager durchaus auch Nachteile, mahnt Patrycja Tulinska: „Wer das Masterpasswort vergisst, kann im schlimmsten Falle den Passwortmanager nicht mehr nutzen. Ich empfehle deshalb ein Tool, welches zur Not auch eine andere Authentifizierungsmethode nutzt, beispielsweise TouchID.“
Sollte es ein Hacker auf den Passwortmanager selbst abgesehen haben und das Masterpasswort knacken, hat er damit Zugang zu allen dort gespeicherten Passwörtern, Zugängen, IDs und eventuell zu weiteren Daten sind hier gespeichert sind. Wer auf cloudbasierte Passwortmanager setzt, sollte einen kritischen Blick in die AGB und Datenschutzerklärung werfen, denn hier können Überraschungen lauern. Geprüft werden sollte der Standort des Anbieters, aber auch der des Servers. Damit lassen sich Rückschlüsse ziehen, welchem Datenschutzrecht der Anbieter unterworfen ist. Da Clouds gehackt werden können und Offline-Tools einfach sicherer sind, Online-Dienste jedoch von überall abgerufen werden können, muss sich jeder genau überlegen, welche Anforderungen der Alltag an einen Passwortmanager stellt.
„Ob sich ein Passwortmanager lohnt oder nicht, lässt sich damit pauschal nicht beantworten. In aller Regel ist ein Passwortmanager sicherer und sinnvoller, als überall dasselbe Passwort wiederholt zu nutzen. Zur Verwaltung von Passwörtern im geschäftlichen Umfeld machen Passwortmanager Sinn – insbesondere dann, wenn sich viele komplexe Passwörter gemerkt werden müssen. Wer solchen Tools nicht traut oder sich nur wenige Passwörter merken muss, kann sie auch virtuell oder physisch notieren. Dann muss die Notiz aber sicher verstaut werden“, fasst Patrycja Tulinska zusammen.
www.psw-group.de
