Passwörter Je komplizierter, desto sicherer

Die Geburtsstadt, der Mädchenname der Frau oder der Name des Dackels sind äußerst beliebte Passwörter. Um beim Surfen auf Nummer sicher zu gehen, reichen sie aber nicht mehr aus. Denn die Methoden der Passworthacker werden immer perfider.

Darmstadt/Hannover - "Es gibt grundsätzlich zwei Möglichkeiten, an die Passwörter von Nutzern zu kommen", erklärt Ruben Wolf vom Fraunhofer-Institut für Sichere Informationstechnologie. "Entweder die Hacker bewegen den Nutzer dazu, das Passwort herauszugeben, oder sie probieren so lange verschiedene Möglichkeiten aus, bis das Richtige gefunden ist." Laut Daniel Bachfeld von der Zeitschrift "C't" liegt derzeit vor allem Ersteres im Trend.

Diese auch als Phishing bekannte Methode gibt es in verschiedenen Varianten. Fingierte E-Mails etwa sollen beim Nutzer den Eindruck erwecken, sie kämen von seiner Bank oder einem Onlineauktionshaus. Der Empfänger wird aufgefordert, einen Link anzuklicken - vom dem er zu einer meist täuschend echt aussehenden Webseite geleitet wird. Dort wird der Nutzer unter einem Vorwand gebeten, seine persönlichen Daten einzutragen, darunter auch Passwörter. "Gegen solche Betrugsversuche hilft es, das Gehirn einzuschalten", sagt Bachfeld.

Oft reiche etwa ein Blick in die Adresszeile des Webbrowsers, um zu erkennen, dass es sich gar nicht um die richtige Website handelt. Außerdem würden Seiten, auf denen man sensible Nutzerdaten eingeben muss, in der Regel SSL-verschlüsselt, was an einem Schlüsselsymbol im Browser zu erkennen ist. "Banken fordern zudem nie per E-Mail auf, persönliche Daten preiszugeben."

Noch öfter kommt derzeit aber eine andere Phishingvariante vor, wie Günther Ennen vom Beratungsteam beim Bundesamt für Sicherheit in der Informationstechnik (BSI) erläutert. Dabei handelt es sich um Trojaner - kleine Programme, die sich auf dem PC einnisten, Passwörter bei der Eingabe aufzeichnen und über das Internet an die Hacker senden. "Einen Trojaner kann man sich einfangen, wenn man den Anhang einer E-Mail anklickt. Es reicht aber sogar schon aus, wenn der Nutzer lediglich eine bestimmte Website besucht", warnt Ennen.

"Um sich vor solchen Trojanern zu schützen, sollte man einen Virenscanner installieren und immer mit aktueller Software unterwegs sein", sagt Experte Bachfeld. Das gelte nicht nur für den Internetbrowser, sondern auch für Programme wie beispielsweise den Flash-Player.

"Name des Dackels kommt nicht infrage"

"Name des Dackels kommt nicht infrage"

Neben dem Phishing versuchen Hacker, mit Software Passwörter so lange automatisiert durchzuprobieren, bis das Richtige getroffen wurde. Brute-Force-Method, Methode der rohen Gewalt, nennen Experten das. Ergänzt wird die Software dabei um Datenbanken, die Wörterbücher mit möglichen Passwörtern enthalten.

Es seien längst keine teuren Großrechner mehr nötig, um solche Attacken zu fahren, erklärt Wolf vom Fraunhofer-Institut: "Mit einem handelsüblichen Laptop sind heute acht Millionen Anfragen pro Sekunde möglich." Wer sich solchen Angriffen nicht wehrlos aussetzen will, sollte vor allem darauf achten, dass seine Passwörter möglichst kompliziert sind: "Einfache Wörter wie der Name des Dackels oder der Ehefrau oder auch die eigene Telefonnummer kommen nicht infrage", warnt Wolf.

Vielmehr sollte das Passwort eine Kombination aus verschiedenen Zeichenklassen sein - also aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, rät Wolf. Doch bei vielen Onlinediensten sind nicht alle Sonderzeichen für Kennwörter erlaubt, schränkt BSI-Experte Ennen ein. "Außerdem sollte man für ein Passwort keine Umlaute verwenden, weil man sie auf einer ausländischen Tastatur - etwa im Urlaub - nicht verwenden kann."

Auch die Länge des Kennworts spiele eine wichtige Rolle, so Experte Wolf: "Ein Passwort mittlerer Sicherheit hat mindestens acht Zeichen. Für hohe Sicherheit sollten es mindestens zwölf Zeichen sein." Auf keinen Fall sollte ein und dasselbe Passwort für verschiedene Dienste benutzt werden. "Wenn ich das gleiche bei Ebay  und in einem Forum verwende, weiß ich nicht, ob der Forenadministrator nicht ausprobiert, ob das Passwort nicht auch bei Ebay funktioniert."

Wer diesen Ratschlag beherzigt, muss sich heutzutage mitunter ein Dutzend oder noch mehr unterschiedliche Kennwörter merken - und hat unter Umständen schnell den Überblick verloren. Hilfe bieten Soft- und Hardwarelösungen. Sie verwalten die verschiedenen Passwörter. Fraunhofer etwa bietet den, allerdings kostenpflichtigen, Passwordsitter an. Der Nutzer identifiziert sich bei den Lösungen über einen Fingerabdruck-Sensor oder ein einziges Master-Passwort. "Das Master-Passwort kann dann ruhig besonders lang und kompliziert sein. Man muss sich dann ja nur noch dieses eine merken."

Sebastian Knoppik, dpa

Die Wiedergabe wurde unterbrochen.