Herr Schrödel, welches Verhältnis haben die Deutschen zum Thema Sicherheit?
Wir wissen alle, dass wir Zugänge im Internet schützen müssen. Und doch hofft jeder insgeheim, dass niemand merkt, dass wir uns nicht ausreichend darum kümmern.
Ist es uns zu unbequem?
Natürlich. Aber viele wissen nicht einmal, was sie schützen sollen. Beim Smartphone verstehen wir es, oder beim Onlinebanking. Da geht es schließlich um unser Geld. Und trotzdem nutzt dann jeder ein PayPal-Konto mit einem einfachen und daher unsicheren Passwort, das gleichzeitig auch noch für sieben andere Accounts gilt.
Wer kann sich schon 30 verschiedene Passwörter für all die verschiedenen Websites merken.
Niemand. Trotzdem gibt es Möglichkeiten, sich im Internet sicher zu bewegen. Ein Passwort Manager kann ein Hilfsmittel sein. Der speichert für verschiedene Konten meine Login-Daten. Man sollte aber auf vertraute Anbieter setzen, die schon einige Jahre am Markt sind und vielleicht von einer Computerzeitschrift getestet wurden. Wer fünf Euro für ein Programm bezahlt, das von einem unbekannten russisch klingenden Programmierer angeboten wird, muss zumindest damit rechnen, dass vielleicht auch andere Leute die gespeicherten Passwörter zu Gesicht bekommen.
Zur Person
Tobias Schrödel, 45 Jahre, hat im Alter von 10 Jahren seine ersten Computer-Programme geschrieben, damals auf einem Sinclair Spektrum mit 48 Kilobyte Arbeitsspeicher.
Er ist ausgebildeter Informatiker und arbeitete unter anderem bei T-Systems, einer Tochter der Telekom, die als IT-Dienstleister Sicherheitslösungen für Firmenkunden anbietet. Schon Anfang der 2000er Jahre hat er dort im Team Telefonbücher, Kühlschränke und Backöfen dazu gebracht, mit ihren Besitzern zu kommunizieren. Nicht wie heute, über das Internet, sondern damals per SMS.
Heute arbeitet er als Berater und Redner, und weil er versucht, auch komplexe Sicherheitsthemen für Laien unterhaltsam und verständlich zu machen, wird er oft als IT-Comedian bezeichnet.
Ich würde meine Passwörter ungern digital speichern.
Wenn die Verschlüsselung vernünftig ist, ist das kein Problem. Aber selbst, wenn Sie das nicht wollen, können Sie ein System nutzen, mit dem Sie Passwörter auf verschiedenen Seiten variieren können.
Mit den Namen der Haustiere, die ich als Kind hatte? Da kommt keiner drauf.
Nein, ein Passwort muss wehtun. Und anders als der Name es nahe legt, darf es eben nicht wie ein Wort aussehen.
Jetzt bin ich gespannt.
Wir nehmen den Refrain eines Songs unserer Lieblingsband, oder einen Satz, den wir uns leicht merken können: Schneewittchen wohnt mit den sieben Zwergen hinter den sieben Bergen. Daraus nutzen wir von jedem Wort den Anfangsbuchstaben. SwmdsZhdsB.
Das bekomme ich noch hin.
Und schon hätten wir fast ein ausreichend sicheres Passwort. Aber wir sollten es optimieren und Sonderzeichen und Zahlen einbauen. Die sieben Zwerge und sieben Berge machen es uns in diesem Beispiel besonders leicht. Und das S ersetzen wir zusätzlich durch ein Dollarzeichen: $wmd7Zhd7B. In anderen Sätzen könnte man zum Beispiel ein I oder kleines L durch ein ! ersetzen.
Angriffsziele von aufsehenerregenden Cyberangriffen
Im Dezember 2015 fiel für mehr als 80.000 Menschen in der Ukraine der Strom aus. Zwei große Stromversorger erklärten, die Ursache sein ein Hacker-Angriff gewesen. Es wäre der erste bestätigte erfolgreiche Cyberangriff auf das Energienetz. Ukrainische Behörden und internationale Sicherheitsexperten vermuten eine Attacke aus Russland.
Im Februar 2016 legt ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm. Es ist die gleiche Software, die oft auch Verbraucher trifft: Sie verschlüsselt den Inhalt eines Rechners und vom Nutzer wird eine Zahlung für die Entschlüsselung verlangt. Auch andere Krankenhäuser sollen betroffen gewesen sein, hätten dies aber geheim gehalten.
Ähnliche Erpressungstrojaner trafen im Februar auch die Verwaltungen der westfälischen Stadt Rheine und der bayerischen Kommune Dettelbach. Experten erklären, Behörden gerieten bei den breiten Angriffen eher zufällig ins Visier.
In San Francisco konnte man am vergangenen Wochenende kostenlos mit öffentlichen Verkehrsmitteln fahren, weil die rund 2000 Ticket-Automaten von Erpressungs-Software befallen wurden. Laut einem Medienbericht verlangten die Angreifer 73 000 Dollar für die Entsperrung.
Im Mai 2015 fallen verdächtige Aktivitäten im Computernetz des Parlaments auf. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, das die Bundestags-IT ausgetauscht werden. Als Urheber wird die Hacker-Gruppe APT28 vermutet, der Verbindungen zu russischen Geheimdiensten nachgesagt werden.
Die selbe Hacker-Gruppe soll nach Angaben amerikanischer Experten auch den Parteivorstand der Demokraten in den USA und die E-Mails von Hillary Clintons Wahlkampf-Stabschef John Podesta gehackt haben. Nach der Attacke im März wurden die E-Mails wirksam in der Schlussphase des Präsidentschaftswahlkampfs im Oktober 2016 veröffentlicht.
APT28 könnte auch hinter dem Hack der Weltdopingagentur WADA stecken. Die Angreifer veröffentlichen im September 2016 Unterlagen zu Ausnahmegenehmigungen zur Einnahme von Medikamenten, mit einem Fokus auf US-Sportler.
Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte im November für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurden E-Mails aus mehreren Jahren erbeutet. Es war das erste Mal, dass ein Unternehmen durch eine Hackerattacke zu Papier und Fax zurückgeworfen wurde. Die Veröffentlichung vertraulicher Nachrichten sorgte für unangenehme Momente für mehrere Hollywood-Player.
Bei dem bisher größten bekanntgewordenen Datendiebstahl verschaffen sich Angreifer Zugang zu Informationen von mindestens einer Milliarde Nutzer des Internet-Konzerns. Es gehe um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Der Angriff aus dem Jahr 2014 wurde erst im vergangenen September bekannt.
Ein Hack der Kassensysteme des US-Supermarkt-Betreibers Target macht Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.
Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, erschütterten die Enthüllungen das Leben vieler Kunden.
Im Frühjahr 2016 haben Hacker den Industriekonzern Thyssenkrupp angegriffen. Sie hatten in den IT-Systemen versteckte Zugänge platziert, um wertvolles Know-how auszuspähen. In einer sechsmonatigen Abwehrschlacht haben die IT-Experten des Konzerns den Angriff abgewehrt – ohne, dass einer der 150.000 Mitarbeiter des Konzerns es mitbekommen hat. Die WirtschaftsWoche hatte die Abwehr begleitet und einen exklusiven Report erstellt.
Im Mai 2017 ging die Ransomware-Attacke "WannaCry" um die Welt – mehr als 200.000 Geräte in 150 Ländern waren betroffen. Eine bislang unbekannte Hackergruppe hatte die Kontrolle über die befallenen Computer übernommen und Lösegeld gefordert – nach der Zahlung sollten die verschlüsselten Daten wieder freigegeben werden. In Großbritannien und Frankreich waren viele Einrichtungen betroffen, unter anderem Krankenhäuser. In Deutschland betraf es vor allem die Deutsche Bahn.
Einen Moment bitte, ich sollte wohl schnell mein Passwort mit Ihrer Methode verbessern.
Der Unterschied ist enorm. Wenn wir ein achtstelliges Passwort wählen, das nur aus Buchstaben und Zahlen besteht, benötigt ein Hacker je nach System etwa 2 Jahre, um alle Kombination auszuprobieren und so Ihr Passwort so zu knacken. Wenn wir zusätzlich Sonderzeichen verwenden, würde er 24 Jahre brauchen.
Eine Lebensaufgabe. Dann kann ich das Passwort jetzt beruhigt für alle meine Konten einsetzen?
Das sollten Sie nicht machen. Wenn jemand Ihren Autoschlüssel klaut, würden Sie ja auch nicht nur das Schloss auf der Fahrerseite austauschen, sondern sicher auch das auf der Beifahrerseite und ebenso das Zündschloss. Schließlich wollen Sie ja, dass der Dieb nirgends rein kommt, und der Schlüssel gänzlich nutzlos ist. Besser wäre daher jeweils ein eigener Schlüssel für jede Seite und die Zündung.
Also ein Satz für jedes Login? Dann muss ich mir jetzt 30 Sätze statt 30 Passwörter merken. Keine Chance.
Es geht viel einfacher: Wir variieren unser Schneewittchen für die verschiedenen Seiten. Wenn ich mich bei Ebay einlogge, baue ich zum Beispiel an der sechsten Stelle im Passwort ein E ein, für meinen Amazon-Login entsprechend ein A: $wmd7Ahd7B.