Stärken Sie Ihren digitalen Türsteher: Tipps zur Passwort-Sicherheit

„12345“ – klar, ein sicheres Passwort sieht anders aus. Dennoch verwenden immer noch viele Nutzer genau solche leicht zu erratenden Kennwörter für ihre privaten wie beruflichen Accounts. Die meisten wissen eigentlich, dass es besser geht, nehmen das Thema aber nicht ernst genug. Ihr Leichtsinn öffnet Hackern Tür und Tor. Dabei ist es weder schwer noch nervig, das perfekte Passwort zu finden.

Hand aufs Herz: Haben Sie auch schon einmal das Geburtsdatum des Sohnes oder den Namen Ihrer Katze als Passwort vergeben? Einfach weil Sie keine Lust hatten, sich etwas Komplizierteres auszudenken oder weil Sie dachten, das Kennwort schützt sowieso nur unwichtige Daten wie einen Gewinnspiel-Account? Leider ist dieses Verhalten nur allzu menschlich. Nicht wenige Menschen neigen dazu, unsichere Buchstaben- oder Zahlenabfolgen als Passwörter zu verwenden. Und das auch im beruflichen Umfeld: Bei einer Aufforderung der IT-Abteilung, das Passwort zu wechseln, tippen viele zudem gern ein bereits mehrfach für private Zugänge verwendetes Kennwort ein. Vielleicht weil sie gerade nicht die Zeit haben, sich ein neues Wort auszudenken, oder aus Angst, das neue Passwort zu vergessen. Den wenigsten ist dabei bewusst, dass dieses unbedarfte Verhalten fatale Folgen haben kann – für sie selbst, aber auch für das Unternehmen bzw. den Arbeitgeber.

Warum ist ein guter Passwort-Schutz so wichtig?

Ein Passwort schützt einen Zugang zu Geräten, Anwendungen oder Nutzerkonten. Knacken Hacker diesen Schutz, können sie Daten wie beispielsweise Finanz- und Steuerdaten abfangen, sensible Informationen etwa zu Produktentwicklungen oder Kundendaten lesen oder auch Schadsoftware verbreiten. Im Nu lassen sich so mit nur einem gehackten Account ganze Unternehmen lahmlegen. Auch Erpressungen der Mitarbeiter, deren Passwörter geknackt wurden, kommen vor. Die Hacker drohen dann, den Arbeitgeber darüber zu informieren, dass der betroffene Mitarbeiter beispielsweise während der Dienstzeit auf Datingportalen unterwegs war, online geshoppt hat oder auch einfach nur, dass er durch sein unbedachtes Passwort-Verhalten für den Hackerangriff auf das Unternehmen verantwortlich ist. Um das zu verhindern, soll der betroffene Mitarbeiter zahlen.

Je einfacher ein Passwort zu erraten ist, umso leichteres Spiel haben die Cyber-Kriminellen beispielsweise mit einem sogenannten Brute-Force-Angriff. Dabei testet ein Software-Tool in großer Geschwindigkeit immer wieder unterschiedliche Buchstaben- und Zahlenkombinationen durch. Zuerst einfache Reihen wie „123456“ oder häufig verwendete Worte wie „Password“, dann Begriffe aus Wörterbüchern und solche mit Sonderzeichen. Auch Geburtsdaten oder Namen von Familienangehörigen sind auf Social-Media-Plattformen schnell ausfindig gemacht. Wird ein Passwort schließlich geknackt, versuchen die Cyber-Kriminellen in der Regel damit auch bei anderen Diensten durchzukommen. Deshalb sollte es tabu sein, ein Passwort doppelt zu verwenden – egal wie sicher es ist.

Wie kann ich prüfen, ob mein Passwort gehackt wurde?

Wurde ein Passwort bereits gehackt, steht es in der Regel auf Listen, die in Kreisen der Cyber-Kriminellen bekannt sind und zum Teil auch in Internet-Datenbanken veröffentlicht werden. Im Zuge eines Angriffs testen die Hacker die Kennwörter auf diesen Listen in Kombination mit E-Mail-Adressen als Erstes durch. Ob das eigene Passwort auf einer solchen Liste steht, lässt sich relativ einfach herausfinden, indem man zum Beispiel eine Suchanfrage auf der Website haveibeenpwnde.com startet. Auch wenn die eigene E-Mail-Adresse auf Listen mit geleakten Zugangsdaten im Internet steht, ist das kein gutes Zeichen. Google Chrome oder Mozilla Firefox bieten entsprechende Online-Tools an, mit dem sich prüfen lässt, ob die E-Mail-Adresse in Hacker-Kreisen bekannt ist und die Passwörter dazu vermutlich bereits kursieren.

Worauf muss ich achten? Wann ist mein Passwort sicher?

Doch wie sieht nun ein sicheres, starkes Passwort aus?

• Zunächst einmal gilt die Devise: je länger, desto besser. Denn mit der Passwortlänge steigt die Zahl der möglichen Kombinationen, die Hacker-Rechner ausprobieren müssen. Mit zunehmender Länge des Passworts erhöht sich also automatisch die Passwort-Sicherheit. Das Bundesamt für Sicherheit in der Informationstechnik BSI empfiehlt, für ein Passwort mindestens acht Zeichen zu verwenden. Für die Sicherung von WLAN-Netzen sollten es mindestens 20 Zeichen sein.
• Außerdem besteht ein starkes Passwort aus verschiedenen Buchstaben, Ziffern und Sonderzeichen, Groß- und Kleinbuchstaben. Verwenden Sie keine realen Wörter oder Namen. Je komplexer es ist, desto besser. Vermeiden Sie aber Phrasen wie „DuKommstHierNichtVorbei“ oder nebeneinanderliegende Tastaturkombis à la „qwert“. Denn auch das erraten Hacker-Programme ziemlich schnell.

Wie Sie ein sicheres Passwort erstellen: Merkhilfen und -tools

Für jedes Konto ein eigenes, komplexes Passwort – wie soll man sich das alles merken? Indem man eine Merk-Strategie anwendet. Eine Empfehlung des BSI lautet beispielsweise, sich einen Satz zu überlegen, der mindestens eine Zahl enthält. Aus den ersten (oder den ersten beiden) Buchstaben eines jedes Worts bildet man dann das sichere Passwort. Zum Beispiel: „Am liebsten gehe ich mit vier Freunden ins Schwimmbad!“ Das Passwort aus den jeweiligen ersten Buchstaben wäre dann: „Algim4FiS!“ Noch sicherer und vor allem auch noch weniger anfällig für Vergesslichkeit ist es, einen Passwort-Manager wie zum Beispiel KeePass, Dashlane Passwort Manager oder 1Password zu verwenden. Das sind Programme zur Verwaltung von Passwörtern und den dazugehörigen Benutzernamen. Das Einzige, was sich der User dann noch merken muss, ist das Passwort für den Passwort-Manager.

Tipps für eine hohe Passwort-Sicherheit im Unternehmen

Damit Ihr Unternehmen nicht zur Zielscheibe von Kriminellen wird, sollten Sie der Passwortsicherheit eine hohe Priorität einräumen und Ihre Belegschaft entsprechend sensibilisieren. Diese Maßnahmen sind sinnvoll:

• Auch wenn es hart klingen mag, sollten Unternehmen Ihre Mitarbeiterinnen und Mitarbeiter zur Vorsicht zwingen, indem Sie eine Passwort-Richtlinie erlassen, an die sich alle Zugangsberechtigten zum Firmennetzwerk zu halten haben.
• Sensibilisieren Sie den kompletten Mitarbeiter-Stab für das Thema, indem Sie Schulungen zur IT-Sicherheit und speziell für die Passwort-Sicherheit anbieten. EWE hält auf seiner eLearning-Plattform für Geschäftskunden ein umfangreiches Trainingsangebot zur Security Awareness am Arbeitsplatz bereit, das sich auch individuell auf Ihr Unternehmen zuschneiden lässt.
• Implementieren Sie die Zwei-Faktor-Authentifizierung! Das Prinzip: Bei jedem Login mit Passwort (Faktor 1) erhalten die Zugangsberechtigten auf einem zweiten vertrauenswürdigen Gerät, etwa einem Smartphone, einen automatisch erstellten Bestätigungscode (Faktor 2). Nur mit diesem zweiten Code kann der Account freigeschaltet werden. Das erhöht die Datensicherheit enorm.
• Ebenso sinnvoll ist es, einen Passwort-Manager zu installieren. Dieser verhindert übrigens auch, dass sich Mitarbeiter Ihre Zugangscodes auf einen Zettel schreiben und den dann irgendwo rund um ihren Arbeitsplatz deponieren.

Beherzigen Sie diese Tipps zur Passwort-Sicherheit, bieten Sie Hackern keine Angriffsfläche und schützen Ihre Daten bestmöglich. Die IT-Security-Spezialisten von EWE unterstützen Sie gern dabei und wappnen das Netzwerk Ihres Unternehmens noch mit weiteren Schutzmaßnahmen vor kriminellen Attacken.