Tag der Passwortsicherheit 2014

"Nehmen Sie sich die Zeit für ein sicheres Passwort!"

Sicherheitsprobleme durch Hacker-Angriffe, Spionage durch Geheimdienste und Schwachstellen in Softwarelösungen sind allgegenwärtig. Führt dies zu einer Bewusstseinveränderung der Nutzer? Sebastian Koye, Head of Infrastructure Systems & Mail Security bei WEB.DE und GMX, über Maßnahmen zum Datenschutz und die Notwendigkeit sicherer Passwörter.

Interview Passwortsicherheit

© wellphoto / sirastock - shutterstock.de

Interview Passwortsicherheit

PC Magazin: In den letzten Monaten bestimmten NSA-Skandal, BSI-Warnungen und die Heartbleed-Lücke die Medien. Viele Millionen Nutzer waren betroffen. Doch haben sich das Bewusstsein für Datenschutz und E-Mail-Sicherheit sowie das Verhalten Ihrer User verändert?

Sebastian Koye: Wir sehen durchaus eine Veränderung im Verhalten unserer Nutzer. Beispielsweise hat die Zahl der Passwort-Änderungen im Zuge der großen Medienpräsenz der genannten Themen zugenommen. Das zeigen auch die Studienergebnisse, die zum Tag der Passwort-Sicherheit 2014 veröffentlicht worden sind.

68 Prozent der Befragten gaben an, ihr E-Mail-Passwort innerhalb des letzten Jahres mindestens einmal geändert zu haben. 2013 waren es 46 Prozent. Diese Zahl ist somit um 50 Prozent gestiegen.

Wir fördern dies auch regelmäßig durch flankierende Hinweiskampagnen. Die Menschen in Deutschland wollen ihre Daten in Sicherheit wissen und dabei werden wir sie nach Kräften unterstützen.

Sebastian Koye, Head of Infrastructure Systems & Mail Security

© Sebastian Koye

Sebastian Koye, Head of Infrastructure Systems & Mail Security, WEB.DE und GMX

Noch immer gibt es Nutzer, die die Auffassung vertreten, dass es egal sei, wie gut ein Passwort ist. Am Ende könne es ja doch von irgendwem geknackt werden. Lohnt es sich überhaupt, viel Zeit in die Passwort-Wahl zu investieren?

Die Erfahrung mit  Hackangriffen über weltweit verteilte Botnetze hat uns gezeigt, dass die Infrastruktur der Angreifer immer ausgeklügelter und leistungsfähiger wird. Einfache Passwörter, die beispielsweise in Wörterbüchern zu finden sind, können sehr leicht ermittelt und zur Anwendung gebracht werden. Daher ist die Zeit, sich ein schwieriges und langes Passwort aus Zahlen, Buchstaben und Sonderzeichen, die in keinem logischen Zusammenhang stehen, auszudenken, in jedem Falle lohnenswert.

Man muss hier das Massenphänomen betrachten: Hacker wollen sich Zugang zu vielen Konten in sehr kurzer Zeit verschaffen, um dort ihr Unwesen treiben zu können, bevor sie entdeckt werden. Je länger und komplizierter das Passwort, umso mehr Zeit benötigen die Hacker. Damit lassen sie entweder vom Versuch ab oder werden rechtzeitig entdeckt, so dass geeignete Gegenmaßnahmen ergriffen werden können, um die Nutzer zu schützen.

Ich kann daher nur dazu ermutigen, sich diese Zeit wirklich zu nehmen.

Was ist der häufigste Fehler bei der Wahl des richtigen Passworts?

Der häufigste Fehler ist die Einfachheit eines Passworts: Name des Haustieres, das eigene Geburtsdatum, einfache Zahlenfolgen wie 123456. Dicht gefolgt vom Fehler für mehrere Dienste (Online-Shopping, Soziale Netzwerke, Onlineversender) das gleiche Passwort in Kombination mit der E-Mail Adresse zu nutzen.

Auch interessant

Galerie
Tag der Passwort-Sicherheit

Tag der Passwortsicherheit 2014

Ich verstehe, dass es für den Nutzer damit einfacher ist, sich so ein Passwort zu merken. Jedoch gebe ich zu bedenken, dass, wenn das Passwort bei einem dieser Dienste abhanden gekommen ist, es dann für alle weiteren nutzbar ist. Darum rate ich jedem, sich für jeden genutzten Online-Dienst ein anderes Passwort auszudenken.

Ein weiterer Fehler ist, das Passwort nicht in regelmäßigen Abständen zu ändern. Sollte die Kombination aus Nutzername und Passwort einmal in die falschen Hände gekommen sein, so kann hier durch die regelmäßige Änderung dieser Besitz von gestohlenen Daten zunichte gemacht werden.

Wie stehen Sie zu Passwort-Manager-Software, die die Zugangsdaten für mehrere Accounts verwaltet? Sehen Sie in der Verwendung eines einzelnen Master-Passworts auch Risiken?

Der Vorteil liegt klar auf der Hand: Ich muss mir nur ein Passwort merken und habe dann Zugang zu allen Diensten. Wenn ich mir jedoch z.B. einen Keylogger über einen Virus eingefangen habe, der meine Tastenklicks an Online-Kriminelle meldet, muss hier nur ein Zugang geknackt werden, um an alle weiteren Informationen für meine Online-Zugänge gelangen zu können.

Es gibt mittlerweile auch Passwort-Manager, zu denen man nur mit mehreren Faktoren Zugang erhält (z.B. Passwort plus Fingerprint oder Passwort plus Authentifizierungsapp mit dem Smartphone). Hier ist nicht zu erwarten, dass ein Hacker Zugang zu beiden Faktoren erlangt.

Deswegen nutzen wir beispielsweise bei De-Mail eine Kombination aus mobile-Tan-Verfahren und Passwort-Schutz.

Welche Schritte sollte ich einleiten, wenn mein E-Mail-Postfach gehackt oder anderweitig kompromittiert wurde?

Als erstes sollten Sie umgehend das Passwort ändern. Das ist das Allerwichtigste. Hierbei ist zu beachten, sich wieder ein schweres und langes Passwort auszudenken. Damit ist schon mal der wichtigste Schritt getan, da der Zugang für den Hacker sogleich verwehrt wird.

Kontrollieren Sie dann die Aktualität Ihres Betriebssystems und Ihrer Virenschutzsoftware. Führen Sie in jedem Fall ein Update durch und lassen Sie Ihren gesamten Computer durch die Virenschutzsoftware überprüfen. Auch wenn es länger dauert. Wird eine entsprechende Schadsoftware gefunden, muss sie umgehend beseitigt werden, damit ein wiederholter Missbrauch verhindert wird.

Halten Sie Ihr Betriebssystem, Ihre Peripherie-Software und die Virenschutz-Software immer auf dem neuesten Stand, damit Schadsoftware rechtzeitig erkannt und beseitigt werden kann. Die meisten Virenscanner verfügen über eine automatisierte Updatefunktion, so dass sie sich selbst immer aktuell hält.

Wir bedanken uns für das Interview.

Mehr zum Thema

Home Cloud mit Laptop, Smartphone, Tablet und WD Festplatte.
WD My Cloud, MyFritz & Co.

Wir zeigen, wie Sie Cloud-Server im Heimnetzwerk einrichten. Wir erklären Western Digital My Cloud, AVM MyFritz und Synology Quickconnect.
Spam-Mails
6 Tipps gegen E-Mail Betrug

Betrüger versenden E-Mails, die es auf Ihre Daten und Ihr Geld abgesehen haben. Wie Sie Phishing E-Mails erkennen und sich schützen.
Mann kommt aus dem Laptop und ballt die Faust
Trolle im Internet

Trolle vergiften die Diskussionskultur im Internet - Mit diesen Strategien entledigt man sich der Störenfriede endgültig.
Facebook-Betrug mit Fake-Profilen
Gefälschte Facebook-Konten

Betrüger nutzen gefälschte Facebook-Profile, um Geld zu ergaunern. Wir zeigen, wie Sie sich und auch Ihre Facebook-Kontakte gegen die Betrugsmasche…
Spam-Mails
Vorsicht vor Phishing

E-Mail von Amazon: "Verdächtige Aktivitäten" sollen die Eingabe von Anmelde- und Bankdaten nötig machen. Ignorieren Sie die Phishing-Mail!