Von Daniel Steiger

„Hacker verkaufen Milliarden Passwörter im Sonderangebot“, „Mega-Hacker-Attacke: Milliarden Passwörter im Netz aufgetaucht“, „Datenpanne: Erneut Hunderte Millionen Zugangsdaten aufgetaucht“... Im Wochenrhythmus sorgen neue Schlagzeilen zu Gefahren im Internet für Verunsicherung. Doch was können Nutzer tun? Die RUNDSCHAU hat sich zu dem Thema mit Professor Andriy Panchenko (38) unterhalten. Er leitet den neugegründeten Lehrstuhl IT-Sicherheit an der BTU in Cottbus. Hier werden seit einem Jahr Studenten im neuen Masterstudiengang Cyber Security ausgebildet.

Auch wenn es hierbei vor allem um den Schutz von IT-Systemen geht, beschäftigen sich Panchenko und seine Studenten auch mit Themen wie Passwortsicherheit, mögliche Angriffsszenarien bei Smartphones und sind Schwachstellen in Computersystemen auf der Spur. „Hundertprozentige Sicherheit wird es im Internet nie geben“, ist Andriy Panchenko überzeugt. „Mit Passwörtern ist es wie mit einem Schloss. Es ist nur eine Frage der Zeit. Überwindbar ist alles.“ Trotzdem gibt es Dinge, die wir Nutzer tun können, um mehr Sicherheit im Netz zu haben. Der Experte nennt da vor allem drei Bereiche.

1. Wie einsicheres
Passwort aussieht?

Für ungläubiges Staunen sorgt jedes Jahr eine Liste des Potsdamer Hasso-Plattner-Instituts (HPI). Dort werden die zehn meistgenutzten Internetpasswörter der Deutschen veröffentlicht. Die ersten drei Plätze teilen sich demnach die Passwörter „123456“ (Rang 1), „12345“ (Rang 2) und „123456789“ (Rang 3). In der Top Ten finden sich auch „hallo“ und „passwort“. „Derart schwache Passwörter gleichen Haustüren, an denen von außen ein Schlüssel steckt“, warnt Christoph Meinel, Direktor des Hasso-Plattner-Instituts.

Wie es besser geht, weiß BTU-Professor Andriy Panchenko. „Ein Passwort sollte eine zufällige Reihenfolge von Buchstaben, Zahlen und Sonderzeichen sein. Je länger das Passwort ist, desto besser“, so der Cottbuser Informatiker. Auch die Benutzung von Groß- und Kleinschreibung könne die Sicherheit eines Passwortes erhöhen. Auf keinen Fall sollten Wörter aus dem Duden als Passwort verwendet werden.

Panchenko liefert auch den Grund für diese Regel. Eine beliebte Methode des Passwort-Klaus unter Hackern sei der Dictionary-Angriff. Dabei prüfe ein Programm nach und nach mithilfe einer Wörterbuch-Datei, ob eines dieser vielen Tausend Begriffe als Passwort herhalten musste. Panchenko: „Das kann je nach Rechnerleistung eine längere Zeit dauern, aber irgendwann wird das Programm fündig, in dem alle möglichen Kombinationen ausprobiert werden.“ Außerdem sollten die Passwörter für unterschiedliche Dienste auch möglichst unterschiedlich sein. Wie aber bei der steigenden Zahl der Passwörter den Überblick behalten?

Panchenko selbst benutzt einen Passwort-Manager. Das ist ein Programm, das eine Datenbank verwendet, um dort alle seine Passwörter verschlüsselt aufzubewahren. Solche Manager können auch neue Passwörter kreieren. Diese Datei wird dann mit einem Master-Passwort geschützt und ist auf Panchenkos Rechner abgelegt. Der Experte sichert diese Datei auch in regelmäßigen Abständen auf anderen Speichermedien, um beim Verlust des Laptops an seinen Passwort-Manager heranzukommen. Außerdem ändert er die Passwörter in regelmäßigen Abständen. „Wie oft man das machen sollte, lässt sich schwer sagen“, so Panchenko. Dafür ändert sich die Technik zu schnell. Und der Tipp von heute kann morgen schon wieder überholt sein.

Das Computermagazin Chip hat erst vor einigen Tagen Passwortmanager getestet. Experten empfehlen zudem, einen Passwort-Manager zu benutzen, dessen Quellcode offen ist. Somit kann in einem solchen Programm jeder Computerspezialist nachschauen, was mit den gesicherten Passwörtern tatsächlich geschieht.

Bei biometrischen Passwörtern ist Panchenko skeptisch. Als solche werden zum Beispiel Fingerabdrücke bezeichnet, mit denen beispielsweise Handys ge- und entsperrt werden. Panchenko: „Wird ein normales Passwort gestohlen, kann ich es ändern und den Dienst weiter nutzen. Wird aber ein Fingerabdruck geklaut, ist dieser nie wieder nutzbar und kann im schlimmsten Fall sogar missbraucht werden.“

Wie leicht sich so ein Fingerabdruck als Passwort missbrauchen lässt, zeigte ein Versuch eines Mitglieds des Chaos Computer Clubs. Dieser hatte bereits vor fünf Jahren mithilfe von Fotos aus einer Pressekonferenz den Fingerabdruck von Bundesverteidigungsministerin Ursula von der Leyen präsentiert. Mit etwas Folie, einem Drucker, Grafitspray und Leim lassen sich daraus sogar Fingerattrappen basteln, warnt Panchenko.

2. Vorsicht bei
öffentlichem Wlan!

Auch das beste Passwort und der sicherste Passwortmanager sind nutzlos, wenn es Hackern gelingt, sich als legitimer WiFi Access Point auszugeben und damit die Kontrolle über den Datenverkehr zwischen Opfer und Internet zu bekommen (sogenannter Man-in-the-Middle-Angriff).

Dann ist es unter Umständen dem Angreifer relativ einfach möglich, die übertragenden Daten einzusehen oder sogar zu manipulieren, selbst wenn diese als verschlüsselt erscheinen. Deshalb sollte man in öffentlichen Netzen zum Beispiel kein Homebanking betreiben, rät Andriy Panchenko.

3. Wie sicher sindFacebook,
Instagram& Co. selbst?

Relativ wenig Einfluss auf die Sicherheitsstandards haben Nutzer bei den Diensten selbst. Aber auch hier können ein paar Expertentipps für mehr Sicherheit sorgen. „Wer sich irgendwo einloggen möchte, sollte immer darauf achten, dass links im Browser ein Schloss angezeigt wird beziehungsweise die Adresse mit https beginnt“, erklärt IT-Forscher Panchenko. Außerdem sollten Nutzer beim Passwort-Reset Vorsicht walten lassen. Dieser wird benutzt, wenn ein Passwort vergessen wurde und der Zugang zum Dienst wiederhergestellt werden soll. Hierbei bieten die einzelnen Anbieter unterschiedliche Sicherheitsstandards, die von Hackern gern als Einfallstor genutzt werden. So sei zum Beispiel die vor einigen Jahren beliebte Sicherheitsfrage bei einigen Anbietern immer noch im Angebot. In Zeiten von sozialen Netzwerken ist oft aber der Geburtsname der Mutter kein allzu großes Geheimnis mehr.

Außerdem rät Panchenko, Software stets auf dem aktuellsten Stand zu halten (Updates installieren), eine Browser-Zertifikatswarnung beim Besuch von https-Websites sehr ernst zu nehmen und abgelaufene und ungültige Zertifikate nicht zu akzeptieren, die Anhänge oder Links von Unbekannten nicht zu öffnen und die Augen nach „Phishing“ offen zu halten. Dabei handelt es sich beispielsweise um E-Mails mit der Aufforderung, das Passwort zu ändern. Oft handelt es sich dabei um einer Form des Social Engineering, bei der die Gutgläubigkeit des Opfers ausgenutzt wird, um seine Login-Daten (inklusive Passwörter) zu klauen.

„Ich wünsche mir, dass die Leute sensibler beim Umgang und der Sicherung von Daten werden. Das betrifft nicht nur die Passwörter, sondern auch die Daten, die wir beispielsweise bei der Nutzung von Social Media, Suchmaschinen oder auch Kundenkarten (wie Payback) hinterlassen. Wir beschäftigen uns damit, die Eigenschaften immer komplexer werdender IT-Systeme besser zu verstehen, um deren Zuverlässigkeit und Sicherheit zu erhöhen.

Aber ein System ist eben nur maximal so sicher wie das schwächste Glied. Und das ist oft der Mensch. Ich blicke aber auch optimistisch in die Zukunft. Denn das Thema Sicherheit im Netz war lange nicht im Fokus. Jetzt ist es das aber immer mehr“, sagt Andriy Panchenko.