Die fatale Folge: Was eigentlich dem Schutz von persönlichen Details oder Unternehmensinformationen dienen soll, wird zur gefährlichen Schwachstelle im Datenraum, zum Einfallstor für Diebe und On-linebetrüger. Auch wenn sich Banken und Kreditkarteninstitute gleichermaßen über das Ausmaß des Missbrauchs von Karten und Codes ausschweigen – die Schäden gehen in die Millionen.
Nach einer aktuellen Statistik des Bundeskriminalamtes summierte sich allein der Schaden der erfassten Internet-Straftaten in Deutschland 2006 auf 36 Millionen Euro. Die Zahl der angezeigten Vergehen wuchs gegenüber 2005 um gut 40 Prozent auf 47 684 Straftaten. Gut ein Zehntel davon war „Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten", kurz PINs und Passwörter.
Viele Kartenkunden und Computernutzer machen es den Gaunern aber auch sehr leicht. Wann immer möglich, deaktivieren PIN-geplagte Zeitgenossen die Sicherheitsabfragen, wandeln die komplexen Zeichenfolgen in möglichst leicht zu merkende Passwörter um, „oder kleben sich die Liste der Codes gleich an den Computer- » bildschirm", weiß der Münchner IT-Sicherheitsberater Tobias Schrödel.
Den Sinn von Zugriffssicherungen zieht zwar niemand in Zweifel. Aber mit der steigenden Zahl von Geheimcodes und Passwörtern wachsen leider auch Verwechslungsgefahr und Vergesslichkeit. Der Grund: „Erinnerung funktioniert umso besser, je mehr sie mit Bildern, Emotionen, Personen oder ähnlichem verknüpft ist", weiß der Bonner Hirnforscher und Spezialist für Neuroökonomie Christian Elger. „Anders als etwa die mit den Anschlägen aufs World-Trade-Center verbundene Zahlenfolge 9/11 besitzen die Ziffern und Zeichen der PINs meist keinerlei Sinnzusammenhang. Statt schnell in der Erinnerung verfügbar zu bleiben, verliert sich ihre Spur irgendwo im Stirnhirn – und weg sind sie."
Frontalangriff auf Datensicherheit
Wer PINs und Passwörter selbst wählen kann – eine Option, die beispielsweise viele Banken an ihren Geldautomaten anbieten – sollte deshalb Zahlenreihen wählen, an die sich starke Emotionen knüpfen, rät Hirnforscher Elger. Wohl wissend, dass auch diese Strategie ihre Schwächen hat: „Natürlich probieren die Bösen, beim Versuch die Codes zu knacken, zuerst naheliegende Zeichenfolgen aus, wie etwa die Geburtsdaten oder Namen von Computernutzer, Lebenspartner oder Kindern."
Wer glaubt, die Zahl der möglichen Code-Kombinationen sei für derlei Frontalangriffe auf die Datensicherheit viel zu groß, sei gewarnt: Längst nutzen Hacker zum Knacken der Codes spezielle Software, mit deren Hilfe sich Millionen von Zahlenfolgen in Minutenschnelle testen lassen. Bei solchen sogenannten Brute-Force-Angriffen werden vier- bis sechsstellige Schlüssel mit diesen Hacker-Werkzeugen in wenigen Sekunden geknackt.
Dabei haben es die Angreifer besonders leicht, wenn sie die (digitalen oder realen) Safes beliebig oft und beliebig schnell mit alternativen Code-Kombinationen attackieren können. Wenn hingegen wie bei Handy-SIMs die Karte nach der dritten Fehleingabe gesperrt wird, sind die Zugriffsmöglichkeiten begrenzt. Schlau ist also, wer seinen Geldschrank mit einem zeitgesteuerten Schloss versieht, das die Wartezeit bis zur nächsten PIN-Eingabe nach jedem Fehlversuch verdoppelt. Dann haben auch Profis, die digitale Code-Generatoren nutzen, kaum eine Chance.
Noch mehr Sicherheit bieten komplexe Codes, die aus Ziffern und Zeichen mit persönlichem Bezug gebildet werden. Wer etwa seinen Partner im Jahr 1997 auf Sylt kennengelernt hat, könnte beide Informationen zu 7S9y9l1t verschränken. „Solche Kombinationen stellen Angreifer vor deutlich höhere Hürden“, weiß Sicherheitsberater Schrödel. „Im Prinzip ist es viel leichter, sich eine auf vertrauten Informationen basierende Regel zu merken, aus denen sich ein kompliziertes Passwort bilden lässt, als das Passwort selbst.“
Dennoch empfiehlt auch Schrödel, wenigstens drei individuelle Passwörter unterschiedlicher Komplexität zu verwenden, die man für unterschiedlich sensible Anwendungen einsetzt. Und zwar strikt getrennt. „Wer für die Teilnahme an Diskussionsforen im Web, für seinen Xing-, Linked, In- oder StudiVZ-Account und den Zugang zum Online-Banking den gleichen Code verwendet, bringt unmittelbar auch sein Konto in Gefahr, wenn Hacker in eine der anderen Datenbanken einbrechen.“
Die Grenzen der menschlichen Merkfähigkeit können aber auch die eingängigsten Regeln nicht verschieben. „Mehr als zehn Zeichenfolgen kann kaum ein Mensch zuverlässig im Kopf behalten“, sagt Ernst Pöppel, Professor für Medizinische Psychologie an der Universität München. Pöppels radikale Konsequenz: „Ich merke mir keine PIN-Nummern mehr, das ist pure Verschwendung von Hirnressourcen. Wer mit diesem Blödsinn anfängt, macht sich zum Sklaven der Technik. “
Einen komfortablen Ausweg aus der Passwort-Klemme bieten ausgerechnet die – zumeist Code-gesicherten – Computer oder Mobiltelefone. Auf denen nämlich lassen sich spezielle Programme installieren, in denen sich geheime Zugangscodes missbrauchssicher ablegen lassen. Ihr Hirn ist Ihnen zu schade fürs Speichern von PINs? Nutzen Sie Assistenten (siehe Gedankenstütze Software und Hardware). Statt einer Vielzahl von Schlüsseln reichen dann nur noch zwei, um erst den PC oder das Handy und dann den Passwort-Safe zu entsperren. Anschließend ist der Zugriff auf alle anderen Codes frei.
Eine Lösung, die nicht nur Psychologe Pöppel gefallen dürfte. „Denn den ganzen Zahlenwust im Kopf herumzutragen, verstößt gegen jede Vernunft. Wer meint, es trotzdem tun zu müssen, ist selber Schuld.“
