Sichere Passwörter: So minimieren Sie Ihre Angriffsfläche

Wenn es zu einem Cyberangriff kommt, sind fast immer unsichere Passwörter schuld. Grund genug für die AGEV, einen Unternehmertreff speziell zum Thema Passwortsicherheit zu veranstalten. Arbnor Memeti, Berater für digitale Sicherheit, zeigte den Königsweg zu sicheren Passwörtern auf und stellte „Passkeys“ vor – Vorreiter für eine passwortfreies Zeitalter.

Bildquelle: Jakub Zerdzicki auf Unsplash

Cyberkriminalität entwickelt sich zu einem der größten Risiken für Unternehmer, Geld zu verlieren. 220 Milliarden Euro Schaden sind im vergangenen Jahr durch digitale Angriffe entstanden, die Dunkelziffer dürfte deutlich höher liegen. Mit dieser dramatischen Zahl eröffnete AGEV-Geschäftsführer Franz J. Grömping den AGEV-Unternehmertreff am 25. April. Besorgniserregend sei vor allem, dass Hacker immer häufiger kleine Unternehmen ins Visier nehmen – frei nach dem Motto „Kleinvieh macht auch Mist“. „Je kleiner ein Unternehmen ist, desto schlechter ist es in der Regel in Sachen Cybersicherheit aufgestellt“, stellte Arbnor Memeti, Berater im Kompetenzzentrum für Cybersicherheit DIGITAL.SICHER.NRW, zu Beginn seines praxisnahen Vortrags „Bye-bye Passwort“ fest.

Wenn das E-Mail-Konto gekapert wurde, hat man im schlechtesten Fall überall das gleiche Passwort eingesetzt. 2022 standen „123456“ und „123456789“ an Platz eins und zwei der Top 10 Passwörter in Deutschland. Sie sind sofort hackbar. Viele Unternehmer wissen zudem gar nicht, ob ihre Mitarbeiter sichere Passwörter verwenden. „Das kann schon deshalb fatal sein, weil Menschen privat und beruflich häufig die gleichen Passwörter verwenden. Wird ein privater Account mit einem schwachen Passwort gehackt, kann das auch für die Firma zum Problem werden“, gab der Berater zu bedenken.

Komplex gleich sicher? Stimmt nicht

Ein komplexes Passwort ist gut, aber was bedeutet das genau? Komplexität wird durch eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen erreicht. Insgesamt stehen dafür 80 Zeichen zur Verfügung. Schöpft man alle Kombinationsmöglichkeiten voll aus, klingt die Zahl zunächst beeindruckend: 1,67 Billionen. Doch Arbnor Memeti sorgte schnell für Ernüchterung, denn theoretisch kann ein vermeintlich sicheres Passwort mit der Mindestlänge von 8 Zeichen (gängige Passwortregel) in nur 39 Minuten geknackt werden. Das Fazit des Beraters: „Acht Zeichen sind keine gute Lösung. Zumal die Regel, mindestens 8 Zeichen‘ oft als Begrenzung auf genau 8 Zeichen missverstanden wird, die dann auch noch aus allen Zeichenvarianten bestehen sollen. Das macht es den Hackern letztlich nur leichter und verkürzt die Zeit, die sie brauchen, um das Passwort zu knacken“.

Länger ist sicherer: mindestens 12 Zeichen oder ganze Passsätze

Eine Mischung aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen auf mindestens 12 Zeichen zu verlängern, erhöht die Sicherheit bereits deutlich. Grundsätzlich gilt: Je länger ein Passwort ist, desto besser ist es vor Angriffen geschützt. Aber: Das gilt nur, wenn der Angreifer nicht weiß, welche Anforderungen der Dienst an das Passwort stellt. Um ein sicheres Passwort zu finden, das man sich auch merken kann, empfiehlt Memeti, einen Satz als Vorlage zu nehmen (kein bekanntes Zitat), aus dem man ausgewählte Groß- und Kleinbuchstaben und zusätzlich eine oder mehrere Zahlen verwendet. „Wenn es schwierig ist, sich diese Kombination zu merken, kann man auch einfach die Wörter des Satzes hintereinander tippen, wobei Leerzeichen als Sonderzeichen gelten, sofern der Dienst dies zulässt. Solche Passsätze oder Passphrasen sind für den Menschen einfacher einzutippen als kryptische Zeichenfolgen. Sie erhöhen durch die zusätzliche Zeichenanzahl automatisch die Komplexität wodurch sie Hackern ihre kriminelle Arbeit massiv erschweren“, erklärte der Experte von DIGITAL.SICHER.NRW.

Das sollten Arbeitgeber vermeiden

Ein wichtiger Tipp für Arbeitgeber: Von der gängigen Praxis, dass Mitarbeitende alle paar Monate ihr Passwort ändern müssen, sollte man Abstand nehmen. Denn Passwörter werden mit der Häufigkeit des Wechsels nicht sicherer, sondern schwächer, weil meist aus Passwort 1 erst Passwort 2 abgeleitet wird, bevor man wieder zu Passwort 1 zurückkehrt. „Der Sicherheitsgewinn an dieser Stelle ist gleich Null. Wovon man Beschäftigte allerdings per Anweisung abhalten sollte: Tastenfolgen auf der Tastatur zu wählen, die man sich leicht merken kann – egal in welche Richtung. Diese sehen zwar kryptisch aus, sind aber für Hacker leicht zu knacken“, so Memeti.

Ein weiterer wichtiger Schutz gegen Angriffe: Passwörter sollten weder für mehrere Accounts verwendet noch weitergegeben werden. Das heißt: Im Idealfall erhält jeder Dienst ein eigenes starkes Passwort, um im Falle eines Angriffs einen Schneeballeffekt zu vermeiden.

Schwachstelle Onlinedienst

Als Anwender sollte man zudem wissen, wie der Anbieter die gespeicherten Passwörter sichert. Denn tatsächlich kann neben den Schwachstellen Mensch und Passwortauswahl auch der Onlinedienst zur Gefahrenquelle werden – egal wie sicher das eigene Passwort ist. Etwa dann, wenn er Passwörter als Klartext speichert. „Das passiert häufiger, als uns lieb ist. Sicher sind gespeicherte Passwörter nur dann, wenn die Dienste sie mit einem Hash-Verfahren (mindestens 30 Zeichen) verschlüsseln. „Um auf der sicheren Seite zu sein, sollte man bei allen Dienstleistern, bei denen man Accounts hat, nachfragen, ob diese mit mehr als 30 Zeichen gehasht werden“, empfiehlt Memeti.

Mehr Sicherheit durch 2FA

Die Sicherheit von Passwörtern kann auch durch die Einrichtung einer Zwei-Faktor-Authentifizierung erhöht werden, sofern dieses Verfahren aktivierbar ist. In der Regel wird der Code über eine 2-Faktor-Anwendung generiert oder per SMS angefordert. Erst nach Eingabe des Codes wird das Passwort freigeschaltet. Hat ein Angreifer also keinen physischen Zugriff auf das Gerät, nützt ihm ein geknacktes Passwort nichts.

Ein weiterer wichtiger Aspekt für die Sicherheit: Bei einer Registrierung wird häufig die Option einer Frage-Antwort-Einrichtung angeboten, falls das Handy verlorengeht oder das Passwort vergessen wird. Da die Fragen aus dem persönlichen Umfeld stammen und nicht auszuschließen ist, dass die Antworten über Social Media oder andere Kanäle abgeleitet werden können, sollte man die Antwort komplex gestalten. „Wählen Sie eine Antwort, die nicht ehrlich ist, die Sie sich aber trotzdem merken können. Das wird natürlich immer komplizierter, je mehr Accounts und Passwörter Sie haben. Daher kann ich die Nutzung eines Passwortmanagers oder Passwortsafes nur empfehlen“, betonte der IT-Sicherheitsberater.

Echte Hilfe: Passwortmanager

Passwortmanager helfen, Passwörter zu verwalten und gleichzeitig sicher aufzubewahren. Vorteil Nummer eins: Der Anwender muss sich keine Gedanken mehr darüber machen, wie ein sicheres Passwort aussehen sollte. Vorteil zwei: Zu merken ist nur noch das Passwort, das den Manager verschlüsselt. Dieses sollte allerdings sehr sicher sein. 20 bis 30 Zeichen lang sollte dieser Code zum Öffnen des „Tresors“ sein, rät Memeti. „Ein Hacker wird ein so langes Passwort nicht knacken können und es wahrscheinlich auch gar nicht erst versuchen, wenn er die Länge des Passworts auch nur erahnt.“ Vorteil drei: Loggt man sich in seinen Passwortmanager ein, in dem die Passwörter für alle Accounts verschlüsselt liegen, braucht man auf den Webseiten nur noch eine vorher selbst gewählte Tastenkombination eingeben und der Benutzername und das Passwort werden automatisch eingetragen. „Das ist die sicherste Variante. Copy and Paste ist nicht zu empfehlen, da die Passwörter dann in der Zwischenablage liegen und Hackern theoretisch zugänglich sind“, ergänzte Memeti.

Welcher Passwortmanager ist der richtige?

Es gibt sowohl kostenlose als auch kommerzielle Passwortmanager. „Ein kostenloser Passwortmanager, den ich empfehlen kann, ist KEEPASSXC, dessen Programmcode auf der Website des Open-Source-Hosting-Dienstes Github einsehbar ist. Der Dienst in der Basisversion ist sicher und praktisch einsetzbar. Komfortabler und wahrscheinlich für größere Unternehmen besser geeignet sind kommerzielle Programme, die zum Beispiel mehrere zentrale Kontrollmöglichkeiten bieten, wenn mehr als eine Person Zugriff haben soll“, rät der Cybersicherheitsexperte. Wichtig zu wissen: Viele Anbieter ermöglichen das Speichern des Passwortmanagers auf dem PC oder der Infrastruktur des eigenen Unternehmens, manche speichern aber auch online in der eigenen Cloud. Ein solcher Dienst mit eigener Cloud – Last Pass – wurde im vergangenen Jahr gehackt. „Bei der Wahl des Anbieters rate ich daher, immer zu prüfen und abzuwägen, ob und in welcher Cloud der Passwortmanager liegt.“

Sicherheitsschlüssel und Passkeys – die passwortlose Zukunft

Arbnor Memeti stellte den AGEV-Mitgliedern auch die neuen Sicherheitsverfahren „Security Keys“ und „Passkeys“ vor. Beide basieren auf dem FIDO2-Prinzip, bei dem sich der Nutzer nicht mehr über Passwörter anmelden muss. Hinter dem Begriff steht die FIDO-Alliance, ein Zusammenschluss von über 150 führenden Technologie- und Sicherheitsunternehmen, die sich gemeinsam auf den praktikablen Standard geeinigt haben.

Es stehen zwei Möglichkeiten der Nutzung offen: erstens über einen physischen Stick, der einen speziellen Speicher für einen Sicherheitsschlüssel enthält. Der Nutzer steckt den Stick ins Gerät und authentifiziert sich mit einer PIN oder je nach Stick-Variante per Fingerabdruck. Nur eine begrenzte Anzahl von Versuchen ist erlaubt. Ohne diesen Schlüssel ist es nicht möglich, sich am Gerät und den damit verbundenen Programmen anzumelden.

Das zweite Verfahren ist Passkeys, das auf den meisten modernen Smartphones bereits installiert ist. Hier existiert der Schlüssel nicht auf physischer, sondern auf Software-Ebene – und ist damit komfortabler in der Handhabung. Beim Einloggen oder Registrieren mit Passkeys finden im Hintergrund mathematische Berechnungen statt. Diese werden für jede Website und zu jeder Tageszeit innerhalb von Millisekunden individuell generiert und sind nie gleich. Damit sind sie nicht übertragbar und nicht hackbar. „Immer mehr Programme werden sich diesem Verfahren anschließen, so dass wir davon ausgehen können, dass es in einigen Jahren keine klassischen Passwörter mehr geben wird“, erklärt Memeti.

Nach Einschätzung des Cybersicherheitsexperten sind diese Verfahren auf dem Weg, die einfache und sichere Alternative zu Passwörtern zu werden. Sein Tipp: Über Passkeys.io kann man die neue Anmeldemethode, die ganz ohne Passwörter funktioniert, in einer Demo-Version testen.

 

Referent Arbnor Memeti (Bildquelle: privat)

Kurz-Check für sichere Passwörter:

 

1. Komplex ist gut

2. Lang ist besser – mind. 12 Zeichen

3. Niemals Passwörter wiederverwenden oder weitergeben

4. Richten Sie die 2-Faktor-Authentifizierung (2FA) ein, wenn möglich

5. Wählen Sie bei gemeinen Fragen + Antworten stets komplexe Antworten, die nicht einfach zu erschließen sind

 

So richten Sie sich Ihren eigenen Passwortmanager ein

 

Zur Videoanleitung von DIGITAL.SICHER.NRW

 

Check: Wurde mein Passwort schonmal gehackt?

 

Diese Dienstleister bieten eine Prüfung an, ob Ihr Passwort schon einmal geleaked wurde:

 

Identity leak checker, Universität Bonn

Hasso-Plattner-Institut

have i been pwned?

 

Was tun bei einem IT-Sicherheitsvorfall?

 

So verhalten Sie sich richtig: Soforthilfe zum Download