An den Augenblick, in dem der Bankautomat am Münchner Flughafen seine Kreditkarte verschluckte, erinnert sich Andreas Iching noch immer mit Grausen. „Plötzlich stand ich ohne Bargeld da, mutierte von einer zur anderen Sekunde vom Geschäftsreisenden zum Bittsteller“, erzählt er. Iching hatte die PIN-Codes von EC- und Kreditkarte verwechselt und unter Zeitdruck dreimal hintereinander die falschen Ziffern eingetippt. „Und dann war die Karte futsch.“
Und mit ihr Ansehen und Reputation. Das musste der 52-Jährige kurze Zeit später feststellen, als er seine Geschäftspartner um einen Bargeldvorschuss fürs Abendessen und das Hotel bat. „Selbst bei Leuten, mit denen ich seit Jahren zu tun habe, wurde ich ohne Bares schlagartig zum Paria.“ Ichings ernüchterte Erkenntnis: „Du bist nix – deine PIN ist alles!“
Sie heißen „9562“, 327643“ oder „Smr72“ oder „Wa!-@4“ – und sie sind die neue Qual des digitalen Zeitalters: PINs, Passwörter, und Zugangs-Codes für Handy oder EC-Karte, Büro-PC oder Web-Shop. Ohne die kryptischen Zahlen-, Zeichen- und Ziffernkolonnen streikt nicht nur der Geldautomat, sondern auch der Computer und das Mobiltelefon. Und die Liste der Geräte und Anwendungen, die nur noch nach Eingabe von Geheimzahl und/oder elektronischem Zugangsschlüssel die Arbeit aufnehmen, wird immer länger: Kreditkarte, Autoradio, Online-Banking, E-Mail-Zugang, Garagentoröffner, PayBack-Karte, Bahnbonus, Vielflieger-Karte, Ebay-Konto, Internet-Hotspot, Hotel-Safe, SAP-Software – alles wird mit möglichst komplizierten Ziffernschlüsseln gegen Missbrauch gesichert. Und mit der elektronischen Gesundheitskarte kommt dieses Jahr noch ein Datenträger hinzu, der beim Arztbesuch mit einer PIN aktiviert werden muss.
Wie Unkraut
„Es ist eine wahre Passwort-Pest“, schimpft Petra Jenner. Als Deutschland-Chefin des IT-Sicherheitsunternehmens Check Point ist sie dem Datenschutz eigentlich zugetan. Doch auch die Technikexpertin stößt mittlerweile an ihre Grenzen. „Die Zahl der Geheimcodes wächst wie Unkraut. Inzwischen schlage ich mich pro Tag mit mehr als 20 PINs und Passwörtern herum – das kann sich kein Mensch mehr merken.“ Um nicht völlig den Überblick zu verlieren, hat sie die wichtigsten Geheimwörter inzwischen notiert und abgelegt – „verschlüsselt und an sicherer Stelle wohlgemerkt“, wie die 43-Jährige betont.
Das hätte auch Bernd Waldner besser getan. Nach dem Kauf eines neuen Handys vertauschte der Essener Einzelhändler versehentlich den SIM-Code seines Handys mit dem seines Autotelefons – und blockierte nach wiederholter Falscheingabe gleich beide Telefone.
Dass Mobilfunkkunden ihre SIM-Karten mit falschen PIN-Eingaben komplett sperren, kommt allerdings nach Angaben der Mobilfunker inzwischen nur noch selten vor. „Geschäftskunden schalten ihre Handys oft nicht mehr ab, sondern nutzen den Flugmodus – dann brauchen sie den Code nach dem Wiedereinbuchen in das Netz nicht mehr einzugeben“, weiß Thomas Salchow, Leiter der Kunden-Hotline von Vodafone. „Damit verzichten Kunden allerdings auf einen wichtigen Schutz des Han-dys bei Diebstahl oder Verlust.“ Wer den Code dann doch einmal vergessen hat, dem verraten die Düsseldorfer den „PUK“ genannten Entsperr-Code. Allerdings erst nach einer weiteren Erinnerungsleistung „Zum Schutz gegen Missbrauch muss der Anrufer sein Kundenkennwort nennen.“
Die Industrie hat aus der Vergesslichkeit der Menschen längst ein Geschäft gemacht und digitale Passwortspeicher zum Mitnehmen entwickelt. Aber oft reichen schon pfiffige Merkansätze, mit denen Menschen diesseits der Genieschwelle sichere Passwörter erstellen und auch im Kopf behalten können (siehe "Sichere Passwörter"). Leider nur, beklagen Sicherheitsexperten wie Ruben Wolf vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT), „gibt es viel zu wenig Leute, die diese Möglichkeiten auch nutzen“.
Die fatale Folge: Was eigentlich dem Schutz von persönlichen Details oder Unternehmensinformationen dienen soll, wird zur gefährlichen Schwachstelle im Datenraum, zum Einfallstor für Diebe und On-linebetrüger. Auch wenn sich Banken und Kreditkarteninstitute gleichermaßen über das Ausmaß des Missbrauchs von Karten und Codes ausschweigen – die Schäden gehen in die Millionen.
Nach einer aktuellen Statistik des Bundeskriminalamtes summierte sich allein der Schaden der erfassten Internet-Straftaten in Deutschland 2006 auf 36 Millionen Euro. Die Zahl der angezeigten Vergehen wuchs gegenüber 2005 um gut 40 Prozent auf 47 684 Straftaten. Gut ein Zehntel davon war „Betrug mit Zugangsberechtigungen zu Kommunikationsdiensten", kurz PINs und Passwörter.
Viele Kartenkunden und Computernutzer machen es den Gaunern aber auch sehr leicht. Wann immer möglich, deaktivieren PIN-geplagte Zeitgenossen die Sicherheitsabfragen, wandeln die komplexen Zeichenfolgen in möglichst leicht zu merkende Passwörter um, „oder kleben sich die Liste der Codes gleich an den Computer- » bildschirm", weiß der Münchner IT-Sicherheitsberater Tobias Schrödel.
Den Sinn von Zugriffssicherungen zieht zwar niemand in Zweifel. Aber mit der steigenden Zahl von Geheimcodes und Passwörtern wachsen leider auch Verwechslungsgefahr und Vergesslichkeit. Der Grund: „Erinnerung funktioniert umso besser, je mehr sie mit Bildern, Emotionen, Personen oder ähnlichem verknüpft ist", weiß der Bonner Hirnforscher und Spezialist für Neuroökonomie Christian Elger. „Anders als etwa die mit den Anschlägen aufs World-Trade-Center verbundene Zahlenfolge 9/11 besitzen die Ziffern und Zeichen der PINs meist keinerlei Sinnzusammenhang. Statt schnell in der Erinnerung verfügbar zu bleiben, verliert sich ihre Spur irgendwo im Stirnhirn – und weg sind sie."
Frontalangriff auf Datensicherheit
Wer PINs und Passwörter selbst wählen kann – eine Option, die beispielsweise viele Banken an ihren Geldautomaten anbieten – sollte deshalb Zahlenreihen wählen, an die sich starke Emotionen knüpfen, rät Hirnforscher Elger. Wohl wissend, dass auch diese Strategie ihre Schwächen hat: „Natürlich probieren die Bösen, beim Versuch die Codes zu knacken, zuerst naheliegende Zeichenfolgen aus, wie etwa die Geburtsdaten oder Namen von Computernutzer, Lebenspartner oder Kindern."
Wer glaubt, die Zahl der möglichen Code-Kombinationen sei für derlei Frontalangriffe auf die Datensicherheit viel zu groß, sei gewarnt: Längst nutzen Hacker zum Knacken der Codes spezielle Software, mit deren Hilfe sich Millionen von Zahlenfolgen in Minutenschnelle testen lassen. Bei solchen sogenannten Brute-Force-Angriffen werden vier- bis sechsstellige Schlüssel mit diesen Hacker-Werkzeugen in wenigen Sekunden geknackt.
Dabei haben es die Angreifer besonders leicht, wenn sie die (digitalen oder realen) Safes beliebig oft und beliebig schnell mit alternativen Code-Kombinationen attackieren können. Wenn hingegen wie bei Handy-SIMs die Karte nach der dritten Fehleingabe gesperrt wird, sind die Zugriffsmöglichkeiten begrenzt. Schlau ist also, wer seinen Geldschrank mit einem zeitgesteuerten Schloss versieht, das die Wartezeit bis zur nächsten PIN-Eingabe nach jedem Fehlversuch verdoppelt. Dann haben auch Profis, die digitale Code-Generatoren nutzen, kaum eine Chance.
Noch mehr Sicherheit bieten komplexe Codes, die aus Ziffern und Zeichen mit persönlichem Bezug gebildet werden. Wer etwa seinen Partner im Jahr 1997 auf Sylt kennengelernt hat, könnte beide Informationen zu 7S9y9l1t verschränken. „Solche Kombinationen stellen Angreifer vor deutlich höhere Hürden“, weiß Sicherheitsberater Schrödel. „Im Prinzip ist es viel leichter, sich eine auf vertrauten Informationen basierende Regel zu merken, aus denen sich ein kompliziertes Passwort bilden lässt, als das Passwort selbst.“
Dennoch empfiehlt auch Schrödel, wenigstens drei individuelle Passwörter unterschiedlicher Komplexität zu verwenden, die man für unterschiedlich sensible Anwendungen einsetzt. Und zwar strikt getrennt. „Wer für die Teilnahme an Diskussionsforen im Web, für seinen Xing-, Linked, In- oder StudiVZ-Account und den Zugang zum Online-Banking den gleichen Code verwendet, bringt unmittelbar auch sein Konto in Gefahr, wenn Hacker in eine der anderen Datenbanken einbrechen.“
Die Grenzen der menschlichen Merkfähigkeit können aber auch die eingängigsten Regeln nicht verschieben. „Mehr als zehn Zeichenfolgen kann kaum ein Mensch zuverlässig im Kopf behalten“, sagt Ernst Pöppel, Professor für Medizinische Psychologie an der Universität München. Pöppels radikale Konsequenz: „Ich merke mir keine PIN-Nummern mehr, das ist pure Verschwendung von Hirnressourcen. Wer mit diesem Blödsinn anfängt, macht sich zum Sklaven der Technik. “
Einen komfortablen Ausweg aus der Passwort-Klemme bieten ausgerechnet die – zumeist Code-gesicherten – Computer oder Mobiltelefone. Auf denen nämlich lassen sich spezielle Programme installieren, in denen sich geheime Zugangscodes missbrauchssicher ablegen lassen. Ihr Hirn ist Ihnen zu schade fürs Speichern von PINs? Nutzen Sie Assistenten (siehe Gedankenstütze Software und Hardware). Statt einer Vielzahl von Schlüsseln reichen dann nur noch zwei, um erst den PC oder das Handy und dann den Passwort-Safe zu entsperren. Anschließend ist der Zugriff auf alle anderen Codes frei.
Eine Lösung, die nicht nur Psychologe Pöppel gefallen dürfte. „Denn den ganzen Zahlenwust im Kopf herumzutragen, verstößt gegen jede Vernunft. Wer meint, es trotzdem tun zu müssen, ist selber Schuld.“
