"Nehmen Sie sich die Zeit für ein sicheres Passwort!"
Sicherheitsprobleme durch Hacker-Angriffe, Spionage durch Geheimdienste und Schwachstellen in Softwarelösungen sind allgegenwärtig. Führt dies zu einer Bewusstseinveränderung der Nutzer? Sebastian Koye, Head of Infrastructure Systems & Mail Security bei WEB.DE und GMX, über Maßnahmen zum Datenschutz und die Notwendigkeit sicherer Passwörter.
PC Magazin: In den letzten Monaten bestimmten NSA-Skandal, BSI-Warnungen und die Heartbleed-Lücke die Medien. Viele Millionen Nutzer waren betroffen. Doch haben sich das Bewusstsein für Datenschutz und E-Mail-Sicherheit sowie das Verhalten Ihrer User verändert? Sebastian Koye: Wir sehen durchau...
PC Magazin: In den letzten Monaten bestimmten NSA-Skandal, BSI-Warnungen und die Heartbleed-Lücke die Medien. Viele Millionen Nutzer waren betroffen. Doch haben sich das Bewusstsein für Datenschutz und E-Mail-Sicherheit sowie das Verhalten Ihrer User verändert?
Sebastian Koye: Wir sehen durchaus eine Veränderung im Verhalten unserer Nutzer. Beispielsweise hat die Zahl der Passwort-Änderungen im Zuge der großen Medienpräsenz der genannten Themen zugenommen. Das zeigen auch die Studienergebnisse, die zum Tag der Passwort-Sicherheit 2014 veröffentlicht worden sind.
68 Prozent der Befragten gaben an, ihr E-Mail-Passwort innerhalb des letzten Jahres mindestens einmal geändert zu haben. 2013 waren es 46 Prozent. Diese Zahl ist somit um 50 Prozent gestiegen.
Wir fördern dies auch regelmäßig durch flankierende Hinweiskampagnen. Die Menschen in Deutschland wollen ihre Daten in Sicherheit wissen und dabei werden wir sie nach Kräften unterstützen.
Noch immer gibt es Nutzer, die die Auffassung vertreten, dass es egal sei, wie gut ein Passwort ist. Am Ende könne es ja doch von irgendwem geknackt werden. Lohnt es sich überhaupt, viel Zeit in die Passwort-Wahl zu investieren?
Die Erfahrung mit Hackangriffen über weltweit verteilte Botnetze hat uns gezeigt, dass die Infrastruktur der Angreifer immer ausgeklügelter und leistungsfähiger wird. Einfache Passwörter, die beispielsweise in Wörterbüchern zu finden sind, können sehr leicht ermittelt und zur Anwendung gebracht werden. Daher ist die Zeit, sich ein schwieriges und langes Passwort aus Zahlen, Buchstaben und Sonderzeichen, die in keinem logischen Zusammenhang stehen, auszudenken, in jedem Falle lohnenswert.
Man muss hier das Massenphänomen betrachten: Hacker wollen sich Zugang zu vielen Konten in sehr kurzer Zeit verschaffen, um dort ihr Unwesen treiben zu können, bevor sie entdeckt werden. Je länger und komplizierter das Passwort, umso mehr Zeit benötigen die Hacker. Damit lassen sie entweder vom Versuch ab oder werden rechtzeitig entdeckt, so dass geeignete Gegenmaßnahmen ergriffen werden können, um die Nutzer zu schützen.
Ich kann daher nur dazu ermutigen, sich diese Zeit wirklich zu nehmen.
Was ist der häufigste Fehler bei der Wahl des richtigen Passworts?
Der häufigste Fehler ist die Einfachheit eines Passworts: Name des Haustieres, das eigene Geburtsdatum, einfache Zahlenfolgen wie 123456. Dicht gefolgt vom Fehler für mehrere Dienste (Online-Shopping, Soziale Netzwerke, Onlineversender) das gleiche Passwort in Kombination mit der E-Mail Adresse zu nutzen.
Ich verstehe, dass es für den Nutzer damit einfacher ist, sich so ein Passwort zu merken. Jedoch gebe ich zu bedenken, dass, wenn das Passwort bei einem dieser Dienste abhanden gekommen ist, es dann für alle weiteren nutzbar ist. Darum rate ich jedem, sich für jeden genutzten Online-Dienst ein anderes Passwort auszudenken.
Ein weiterer Fehler ist, das Passwort nicht in regelmäßigen Abständen zu ändern. Sollte die Kombination aus Nutzername und Passwort einmal in die falschen Hände gekommen sein, so kann hier durch die regelmäßige Änderung dieser Besitz von gestohlenen Daten zunichte gemacht werden.
Wie stehen Sie zu Passwort-Manager-Software, die die Zugangsdaten für mehrere Accounts verwaltet? Sehen Sie in der Verwendung eines einzelnen Master-Passworts auch Risiken?
Der Vorteil liegt klar auf der Hand: Ich muss mir nur ein Passwort merken und habe dann Zugang zu allen Diensten. Wenn ich mir jedoch z.B. einen Keylogger über einen Virus eingefangen habe, der meine Tastenklicks an Online-Kriminelle meldet, muss hier nur ein Zugang geknackt werden, um an alle weiteren Informationen für meine Online-Zugänge gelangen zu können.
Es gibt mittlerweile auch Passwort-Manager, zu denen man nur mit mehreren Faktoren Zugang erhält (z.B. Passwort plus Fingerprint oder Passwort plus Authentifizierungsapp mit dem Smartphone). Hier ist nicht zu erwarten, dass ein Hacker Zugang zu beiden Faktoren erlangt.
Deswegen nutzen wir beispielsweise bei De-Mail eine Kombination aus mobile-Tan-Verfahren und Passwort-Schutz.
Welche Schritte sollte ich einleiten, wenn mein E-Mail-Postfach gehackt oder anderweitig kompromittiert wurde?
Als erstes sollten Sie umgehend das Passwort ändern. Das ist das Allerwichtigste. Hierbei ist zu beachten, sich wieder ein schweres und langes Passwort auszudenken. Damit ist schon mal der wichtigste Schritt getan, da der Zugang für den Hacker sogleich verwehrt wird.
Kontrollieren Sie dann die Aktualität Ihres Betriebssystems und Ihrer Virenschutzsoftware. Führen Sie in jedem Fall ein Update durch und lassen Sie Ihren gesamten Computer durch die Virenschutzsoftware überprüfen. Auch wenn es länger dauert. Wird eine entsprechende Schadsoftware gefunden, muss sie umgehend beseitigt werden, damit ein wiederholter Missbrauch verhindert wird.
Halten Sie Ihr Betriebssystem, Ihre Peripherie-Software und die Virenschutz-Software immer auf dem neuesten Stand, damit Schadsoftware rechtzeitig erkannt und beseitigt werden kann. Die meisten Virenscanner verfügen über eine automatisierte Updatefunktion, so dass sie sich selbst immer aktuell hält.
Wir bedanken uns für das Interview.
