Kampf gegen Cyberkriminalität

Passwortsicherheit lässt sich schnell steigern

Der „Ändere Dein Passwort“-Tag am 1. Februar hat vor allem ein Ziel: Userinnen und User für die Gefahren sensibilisieren, die mit mangelnder Passwortsicherheit einhergehen. Denn allzu oft siegt bei der Passwortwahl die Bequemlichkeit; Hacker haben dann leichtes Spiel. Doch was zeichnet ein gutes Passwort nun aus? Und worauf sollte bei Passwortmanagern geachtet werden?

30.01.2023

Die Bundesbürgerinnen und -bürger machen es Hackern leicht: 123456 und 123456789 sind und bleiben hierzulande die beliebtesten Passwörter. Das zeigt auch die neueste Untersuchung des Hasso-Plattner-Instituts (HPI) zur Passwortsicherheit.

In den Top 6 der beliebtesten Passwörter 2022 finden sich zudem:

  • 1Qaz2wsx3edc
  • 12345
  • password
  • qwertz

Solche Kombinationen sind ein gefundenes Fressen für Hacker.

Mangel an Passwortsicherheit ist ein weltweites Problem

Ein kleiner Trost für die nachlässigen Deutschen: Auch anderswo ist es um die Passwortsicherheit nicht unbedingt besser bestellt. So ist das beliebteste Passwort in Australien der Name des Lieblingstiers. Das zeigt eine Umfrage von Palo Alto Networks, einem weltweit agierenden Anbieter von Cybersicherheitslösungen.

Zudem fand das Unternehmen heraus, dass…

  • …die Hälfte der Befragten, die bereits von einer Cyberattacke betroffen waren, für alle Online-Konten dasselbe Passwort verwenden.
  • …39 Prozent ihre Passwörter nur einmal im Jahr oder seltener ändern.
  • …die Baby-Boomer zu 76 Prozent häufiger unterschiedliche Passwörter nutzen als die Generation Z, die insgesamt am schlechtesten auf Passwortsicherheit achtet. Das zweitbeliebteste Passwort in dieser Altersgruppe ist der eigene Name.

Deutsche Unternehmen unzureichend gegen Cyberangriffe geschützt

Auch in Unternehmen gibt es bei der Passwortsicherheit erhebliche Mängel. So zeigt der „Cybersecurity Census Report 2022“ von Keeper Security, einem Anbieter von Passwortmanagement, Schlüssel- und Verbindungsverwaltung: Nur 13 Prozent der Unternehmen haben ein hoch entwickeltes Konzept zur Regelung des Systemzugangs – und dass, obwohl gestohlene und kompromittierte Anmeldedaten die häufigste Art sind, wie Cyberkriminelle sich Zugang zum Netzwerk eines Betriebs verschaffen.

„Mindestens die Hälfte der Unternehmen in Deutschland, Frankreich, Großbritannien und den USA geben ihren Mitarbeitern zwar einige Hinweise zu Passwörtern und zur Zugangsverwaltung. Viele stellen jedoch nicht sicher, dass diese Hinweise auch befolgt werden. Dies stellt ein völlig unnötiges und sehr hohes Risiko dar“, sagt Rainer Enders, Vice President of Engineering bei Keeper Security.

Bequemlichkeit geht zulasten der Passwortsicherheit

Doch woher kommt dieser laxe Umgang mit Passwörtern? Eigentlich sollen diese unsere persönlichen Daten sowie geschäftliche Informationen schützen und müssten entsprechend stark und möglichst individuell sein. Laut HPI verführe die steigende Zahl an Online-Konten allerdings dazu, schwache Passwörter zu nutzen sowie dasselbe Passwort für mehrere Accounts einzusetzen.

Kundinnen und Kunden der Online-Apotheke DocMorris, des Pay-TV-Senders Sky sowie des Zahlungsdienstleisters PayPal gehören zu den jüngsten Opfern sogenannter Credential-Stuffing-Attacken. Dabei machen sich Kriminelle die Bequemlichkeit der Userinnen und User zunutze und versuchen, sich mit illegal erlangten Anmeldedaten Zugriff auf so viele Plattformen wie möglich zu verschaffen.

Moderne Technik macht es Hackern sehr leicht

Je kürzer und simpler eine Zeichen- und Zahlenkombination ist, desto schneller lässt sie sich auch knacken. Das ist wenig überraschend. Ein Bericht von Sicherheitsforschern von Hive Systems zeigt allerdings, wie schnell es mithilfe einer leistungsfähigen Grafikkarte gehen kann:

  • Passwörter mit höchstens sechs Stellen lassen sich innerhalb von maximal fünf Sekunden knacken.
  • Passwörter mit sieben Stellen – bestehend aus Klein- und Großbuchstaben, Zahlen und Symbolen – sind nach spätestens sechs Minuten geknackt.

Die Sicherheitsforscher haben einen sogenannten Brute-Force-Angriff simuliert. Dabei werden generierte Passwörter in Kombination mit einem Benutzernamen solange ausprobiert, bis zufällig eine Kombination passt. Generell zeigte sich in diesem Test: Besteht ein Passwort aus weniger als zehn Zeichen, ist es nach rund drei Wochen geknackt. Ab zehn Zeichen – inklusive Klein- und Großbuchstaben, Zahlen und Symbolen – sind Hacker bereits fünf Jahre beschäftigt; bei elf Zeichen benötigen Hacker rund 400 Jahre.

Tipps zur Passwortwahl

Klar, einen 100-prozentigen Schutz gibt es im Internet nicht. Denn prinzipiell kann jedes Passwort geknackt werden, wenn genügend Rechen- und Abfragezeit zur Verfügung steht. Doch wer einige Regeln befolgt, kann Cyberkriminellen das Leben erheblich erschweren.

Das HPI empfiehlt:

  • lange Passwörter mit mehr als 15 Zeichen
  • individuelle Passwörter für unterschiedliche Dienste, die sich nicht zu sehr ähneln dürfen
  • falls möglich: die Aktivierung der Zwei-Faktor-Authentifizierung
  • eine Änderung von Passwörtern bei Sicherheitsvorfällen
  • die Verwendung von Passwortmanagern

Was leistet ein Passwortmanager?

Dass das HPI an letzterer Empfehlung festhält, wirkt auf den ersten Blick überraschend. Immerhin wurde LastPass, ein verbreiteter Passwortmanager, 2022 gehackt. Angreifer konnten in das System eindringen, in dem LastPass den Quellcode seiner Software speicherte. Kunden- oder Mitarbeiterdaten sind laut Unternehmensangaben allerdings nicht verloren gegangen.

Daher beruhigt Paul Ducklin, Security-Evangelist vom Cybersicherheitsexperten Sophos, auch: „Grundsätzliche Bedenken wären berechtigt, wenn Passwortmanager exakte Kopien aller Passwörter auf ihren eigenen Servern speichern würden, wo sie von Angreifern ausgelesen oder von den Strafverfolgungsbehörden abgefragt werden könnten. Aber kein vernünftiger cloudbasierter Passwortmanager funktioniert auf diese Weise.“

Aus Ducklins Sicht sprechen unter anderem folgende Punkte dafür, privat und im Business auf Passwortmanager zu setzen:

  • Diese Tools vereinfachen die Verwendung von Passwörtern, denn sie lösen das Problem, sich Dutzende von Passwörtern merken zu müssen.
  • Ein Passwort-Manager kann Hunderte lange, pseudozufällige, komplexe Passwörter generieren und speichern. Und er lässt dasselbe Passwort nicht zweimal zu.
  • Er verhindert, dass das richtige Passwort auf der falschen Seite eingegeben wird. Das schützt Userinnen und User beispielsweise vor Phishing.

Was müssen Unternehmen bei der Wahl des Passwortmanagers beachten?

Keeper Security hat fünf Aspekte zusammengestellt, auf die Sicherheitsverantwortliche und IT-Administratoren bei der Wahl von Passwortmanagern für Unternehmen achten sollten.

Zero-Knowledge-Security: Jeder User sollte die volle Kontrolle über die Ver- und Entschlüsselung aller in seinem Tresor gespeicherten persönlichen Daten haben. Andere Personen – nicht einmal die eigenen IT-Administratoren – sollten darauf zugreifen können.

Verschlüsselung aller Daten im Tresor: Wichtig ist ein mehrschichtiges Verschlüsselungssystem, das auf vom Client erzeugten Schlüsseln basiert. 256-Bit-AES-Schlüssel auf Datensatzebene und Schlüssel auf Ordnerebene werden auf dem Client-Gerät generiert, die jeden gespeicherten Datensatz verschlüsseln.

Effektiver Schutz des Datenschlüssels: Der Datenschlüssel ist eines der wichtigsten Elemente in einem Passwortmanager. Denn um den Tresor eines Benutzers öffnen zu können, muss zunächst der Datenschlüssel gefunden werden.

Sicherheit bei SaaS-Passwortmanagern: Passwortmanager als SaaS-Plattform sollten die Daten bei vertrauenswürdigen, von Userinnen und Usern wählbaren, Hosting-Dienstleistern speichern.

Zertifizierungen und Compliance: Passwortmanager sollten von offizieller Stelle geprüft und zertifiziert sein. Dazu gehören Normen wie etwa SOC 2 und ISO 27001, aber auch die Konformität zu DSGVO, CCPA, FedRAMP, StateRAMP, TrustArc und PCI DSS.

Gibt es eine Zukunft ohne Passwörter?

Wie lange Passwörter noch das Nonplusultra sind, wird sich zeigen. Denn unter anderem Google, Apple, Microsoft, Amazon, Visa, Mastercard und das Bundesamt für Sicherheit in der Informationstechnik arbeiten gemeinsam an Lösungen für eine Zukunft ohne Passwörter. Sie alle gehören der nichtkommerziellen FIDO-Allianz an.

Die Abkürzung FIDO steht für Fast Identity Online. Das Ziel: „Wir wollen es Nutzern ermöglichen, sich genauso einfach in Apps oder auf Webseiten anzumelden, wie man jetzt schon sein Handy entsperrt“, sagt Patrick Nepper, Produktmanager am Google Safety Engineering Center.

Funktionieren soll das mithilfe von sogenannten Passkeys. Dafür bekommen Userinnen und User zwei digitale, kryptografische Zugangsschlüssel: der private Schlüssel bleibt immer auf dem eigenen Gerät und ist durch biometrische Daten wie Fingerabdruck oder Gesichtserkennung geschützt; der Online-Dienst kann mit einem öffentlichen Schlüssel feststellen, ob der richtige private Schlüssel vorliegt.

Doch noch steht diese Technologien am Anfang. Vorerst hilft also weiterhin nur, sich regelmäßig neue Passwörter auszudenken.

Kleiner Tipp für die Praxis:

Wer wissen möchte, ob persönliche Daten im Internet kursieren, kann dies mithilfe des Identity Leak Checker des Hasso-Plattner-Instituts kostenfrei und schnell prüfen. Nach Eingabe der E-Mail-Adresse wird diese mit mehr als 12,8 Milliarden gestohlenen und im Netz verfügbaren Identitätsdaten abgeglichen.