Der Umgang mit Passwörtern stellt viele Unternehmen und Privatpersonen vor große Herausforderungen. Einfach zu erratende oder unzulänglich geschützte Zugangsdaten gefährden die Datensicherheit und ermöglichen unbemerkt unbefugte Zugriffe auf Betriebsgeheimnisse und datenschutzrelevante Informationen.
Die Schwachstellen sind in der Architektur des Zwei-Faktoren-Systems begründet: Üblicherweise baut der Schutzmechanismus auf einem Benutzernamen in Verbindung mit einem Passwort auf. Stimmt die Kombination mit den im System hinterlegten Daten überein, wird der (Teil-)Zugriff genehmigt. Dabei wird der Benutzername in der Regel unverschlüsselt und das Passwort verschlüsselt in den Systemen gespeichert.
Der Benutzername entspricht häufig dem natürlichen Namen der Person oder besteht aus einer E-Mail-Adresse. Da dieser Faktor sehr einfach zu erraten ist, übernimmt das Passwort als zweiter Faktor die eigentliche Sicherungsfunktion.
Das stellt ein gravierendes Risiko dar, denn viele Menschen fühlen sich im Umgang mit diesen Daten überfordert und verkennen schlichtweg die Tragweite unsicherer Passwörter. Da die von Systemen oder Administratoren generierten Erstpasswörter meist schwer zu merken sind und viele Anwendungen zusätzlich den regelmäßigen Wechsel der Phrasen erfordern, benötigt es einen überlegten Umgang mit diesen sensiblen Informationen.
Vier sehr verbreitete Methoden im Umgang mit Passörtern sind (nicht zur Nachahmung empfohlen!):
Strategie 1: einfache Passwörter verwenden
Auf der Suche nach einfach zu merkenden Passwörtern kennt die Phantasie – und die Trivialität – der Nutzerinnen und Nutzer kaum Grenzen: „Hallo“, „Passwort“ oder „123456“ zählen aktuell zu den beliebtesten Passwörtern der Deutschen, gefolgt vom Namen des Haustieres, der Kinder oder des Partners. Gerne wird auch das eigene Geburtsdatum verwendet.
Strategie 2: Passwörter ungesichert notieren
Wer sich in einem Großraumbüro Zugang zu einem Computer verschaffen möchte, hat zumeist leichtes Spiel. Sollte am Bildschirm kein Post-it mit dem Passwort zu sehen sein, reicht oft ein Blick unter die Tastatur, die Schreibunterlage oder in die obere Schreibtischschublade des Roll-Containers.
Strategie 3: Passwörter weiterreichen und ein „Passwort für alles“
In dem Bestreben, den reibungslosen Ablauf von geschäftlichen Vorgängen auch während der eigenen Abwesenheit sicherzustellen, werden Passwörter oftmals an Kolleginnen oder Kollegen weitergereicht.
Um es noch einfacher zu haben, verwenden viele Menschen das gleiche oder ein nur leicht abgewandeltes Passwort für mehrere Systeme.
Strategie 4: Passwörter im Adressbuch ablegen (in Papierform oder auf dem Mobiltelefon)
Hierzu empfehlen wir unseren Blog-Artikel Geschäftliche Nutzung von WhatsApp > Quellen der Kontaktdaten.
Diese vier katastrophalen Strategien sind weit verbreitet und führen zu einer paradoxen Situation: das zum Datenschutz angelegte System der Zugangssteuerung über Benutzernamen und Passwörter wird löchrig und anfällig.
Dabei ist vielen nicht bewusst: wer diese oder ähnlich simple Strategien verfolgt, handelt fahrlässig und aus rechtlicher Sicht bedenklich. Artikel 5 der DSGVO besagt bereits: Informationen wie z.B. Name und Anschrift dürfen nur „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet.“ Das bedeutet praktisch, dass Unternehmen und ihre Mitarbeiter*innen verpflichtet sind „Passwörter […] geheim zu halten. Sie dürfen vor allem nicht unverschlüsselt auf dem Rechner oder offen auf dem Arbeitsplatz hinterlegt werden.“ Verstöße können mit hohen Bußgeldern geahndet werden.
Entscheidend für die Erstellung eines sicheren Passwortes sind Länge und Komplexität. Ein gutes Passwort sollte mindestens 8 Zeichen umfassen – je länger, desto besser. Doch die Anzahl der Zeichen allein sagt nichts über die Sicherheit eines Passwortes aus. Nebeneinanderliegende Tastenkombinationen oder beispielsweise die Verwendung von im Lexikon befindlicher Wörter, können von Hackern mit automatisierten Methoden (z.B. mit Brute-Force Angriffen) einfach identifiziert werden. Ein komplexes Passwort sollte also eine bunte Mischung aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen enthalten. Der Einsatz klassischer Sonderzeichen wie !,? oder # am Anfang oder Ende ist nicht empfehlenswert.
Eine komfortable Hilfe ist die Verwendung eines Passwort-Generators. Diese Spezialprogramme erzeugen auf der Basis der oben beschriebenen Faktoren zufällige und somit sehr sichere Passwörter.
Weiter unten im Artikel wird eine Software, die u. a. diese Funktion anbietet vorgestellt.
Der eigene Kopf zählt mit hoher Wahrscheinlichkeit zu den sichersten Orten zur Speicherung von Passwörtern. Aus diesem Grund ist gelegentlich in thematisch verwandten Publikationen die Aussage „Gute und sichere Passwörter soll man sich auch merken können“ zu lesen.
Diese Aussage ist so nicht richtig. Wer, wie vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen, für jeden Zugang ein individuelles Passwort verwendet, kann sich diese unmöglich ohne Weiteres merken.
Als Lösung für dieses Dilemma bieten sich sogenannte Passwort-Manager an. Das sind kleine Hilfsprogramme, die wie eine Art Schlüsselkasten funktionieren: Sie hinterlegen alle Ihre Zugangsdaten in einer gut sortierten Struktur und prägen sich nur noch ein einziges Passwort, den sogenannten „Hauptschlüssel“, ein. Mit diesem Hauptschlüssel erhalten Sie dann jederzeit Zugriff auf alle Ihre gespeicherten Zugangsdaten, PINs und weitere Informationen.
Passwort-Manager lassen sich auf dem Rechner oder einem externen Datenträger, wie beispielsweise einem USB Stick, betreiben. Sie sind für alle gängigen Betriebssysteme erhältlich und laufen auch auf Mobilgeräten. Die Daten werden verschlüsselt abgelegt und können ausschließlich durch die Eingabe des persönlichen Hauptschlüssels gelesen werden.
Ein verbreiteter Passwort-Manager mit sehr hohem Sicherheitsstandard ist das Programm „Keepass“. Das seit 2003 beständig weiterentwickelte, spendenfinanzierte Programm ist lizenzkostenfrei und für unterschiedliche Betriebssysteme erhältlich. Die Software ist einfach zu bedienen und verfügt zudem über einige Komfortfunktionen wie z.B. einen Passwort-Generator und eine automatische Ausfüllen-Funktion, mit der die Zugangsdaten in Anmeldeformulare übertragen werden können, ohne diese immer wieder erneut einzutippen.
Passwortsicherheit ist ein sensibles Thema für Organisationen und Privatpersonen. Unternehmen sollten ihre Mitarbeiter im sicheren Umgang mit Daten schulen und Lösungen zur sicheren Aufbewahrung von Passwörtern bieten. Dazu eignen sich sogenannte Passwort-Manager, also kleine Hilfsprogramme, in denen Zugangsdaten sicher und verschlüsselt aufbewahrt werden können.
Verstöße gegen die Sorgfaltspflicht beim Umgang mit Passwörtern gefährden die Datensicherheit, unterlaufen den Datenschutz und können empfindliche Geldstrafen nach sich ziehen.