Tobias Schrödel: "Ein Passwort muss wehtun"

Sich komplexe Passwörter fürs Depot, Onlinebanking, Amazon und Ebay gleichzeitig merken? Mit einem kleinen Trick kann das jeder, verrät IT-Experte Tobias Schrödel.

09.02.2017 - 19:00 Uhr

IT-Sicherheitsexperte Tobias Schrödel: "Ein Passwort muss wehtun."

Foto: WirtschaftsWoche

Herr Schrödel, welches Verhältnis haben die Deutschen zum Thema Sicherheit?
Wir wissen alle, dass wir Zugänge im Internet schützen müssen. Und doch hofft jeder insgeheim, dass niemand merkt, dass wir uns nicht ausreichend darum kümmern.

Ist es uns zu unbequem?
Natürlich. Aber viele wissen nicht einmal, was sie schützen sollen. Beim Smartphone verstehen wir es, oder beim Onlinebanking. Da geht es schließlich um unser Geld. Und trotzdem nutzt dann jeder ein PayPal-Konto mit einem einfachen und daher unsicheren Passwort, das gleichzeitig auch noch für sieben andere Accounts gilt.

Wer kann sich schon 30 verschiedene Passwörter für all die verschiedenen Websites merken.
Niemand. Trotzdem gibt es Möglichkeiten, sich im Internet sicher zu bewegen. Ein Passwort Manager kann ein Hilfsmittel sein. Der speichert für verschiedene Konten meine Login-Daten. Man sollte aber auf vertraute Anbieter setzen, die schon einige Jahre am Markt sind und vielleicht von einer Computerzeitschrift getestet wurden. Wer fünf Euro für ein Programm bezahlt, das von einem unbekannten russisch klingenden Programmierer angeboten wird, muss zumindest damit rechnen, dass vielleicht auch andere Leute die gespeicherten Passwörter zu Gesicht bekommen.

Zur Person

Tobias Schrödel

Tobias Schrödel, 45 Jahre, hat im Alter von 10 Jahren seine ersten Computer-Programme geschrieben, damals auf einem Sinclair Spektrum mit 48 Kilobyte Arbeitsspeicher.Er ist ausgebildeter Informatiker und arbeitete unter anderem bei T-Systems, einer Tochter der Telekom, die als IT-Dienstleister Sicherheitslösungen für Firmenkunden anbietet. Schon Anfang der 2000er Jahre hat er dort im Team Telefonbücher, Kühlschränke und Backöfen dazu gebracht, mit ihren Besitzern zu kommunizieren. Nicht wie heute, über das Internet, sondern damals per SMS.Heute arbeitet er als Berater und Redner, und weil er versucht, auch komplexe Sicherheitsthemen für Laien unterhaltsam und verständlich zu machen, wird er oft als IT-Comedian bezeichnet.

Ich würde meine Passwörter ungern digital speichern.
Wenn die Verschlüsselung vernünftig ist, ist das kein Problem. Aber selbst, wenn Sie das nicht wollen, können Sie ein System nutzen, mit dem Sie Passwörter auf verschiedenen Seiten variieren können.

Mit den Namen der Haustiere, die ich als Kind hatte? Da kommt keiner drauf.
Nein, ein Passwort muss wehtun. Und anders als der Name es nahe legt, darf es eben nicht wie ein Wort aussehen.

Jetzt bin ich gespannt.
Wir nehmen den Refrain eines Songs unserer Lieblingsband, oder einen Satz, den wir uns leicht merken können: Schneewittchen wohnt mit den sieben Zwergen hinter den sieben Bergen. Daraus nutzen wir von jedem Wort den Anfangsbuchstaben. SwmdsZhdsB.

Das bekomme ich noch hin.
Und schon hätten wir fast ein ausreichend sicheres Passwort. Aber wir sollten es optimieren und Sonderzeichen und Zahlen einbauen. Die sieben Zwerge und sieben Berge machen es uns in diesem Beispiel besonders leicht. Und das S ersetzen wir zusätzlich durch ein Dollarzeichen: $wmd7Zhd7B. In anderen Sätzen könnte man zum Beispiel ein I oder kleines L durch ein ! ersetzen.

Angriffsziele von aufsehenerregenden Cyberangriffen

Energie-Infrastruktur

Im Dezember 2015 fiel für mehr als 80.000 Menschen in der Ukraine der Strom aus. Zwei große Stromversorger erklärten, die Ursache sein ein Hacker-Angriff gewesen. Es wäre der erste bestätigte erfolgreiche Cyberangriff auf das Energienetz. Ukrainische Behörden und internationale Sicherheitsexperten vermuten eine Attacke aus Russland.

Krankenhäuser

Im Februar 2016 legt ein Erpressungstrojaner die IT-Systeme des Lukaskrankenhauses in Neuss lahm. Es ist die gleiche Software, die oft auch Verbraucher trifft: Sie verschlüsselt den Inhalt eines Rechners und vom Nutzer wird eine Zahlung für die Entschlüsselung verlangt. Auch andere Krankenhäuser sollen betroffen gewesen sein, hätten dies aber geheim gehalten.

Rathäuser

Ähnliche Erpressungstrojaner trafen im Februar auch die Verwaltungen der westfälischen Stadt Rheine und der bayerischen Kommune Dettelbach. Experten erklären, Behörden gerieten bei den breiten Angriffen eher zufällig ins Visier.

Öffentlicher Nahverkehr

In San Francisco konnte man am vergangenen Wochenende kostenlos mit öffentlichen Verkehrsmitteln fahren, weil die rund 2000 Ticket-Automaten von Erpressungs-Software befallen wurden. Laut einem Medienbericht verlangten die Angreifer 73 000 Dollar für die Entsperrung.

Bundestag

Im Mai 2015 fallen verdächtige Aktivitäten im Computernetz des Parlaments auf. Die Angreifer konnten sich so weitreichenden Zugang verschaffen, das die Bundestags-IT ausgetauscht werden. Als Urheber wird die Hacker-Gruppe APT28 vermutet, der Verbindungen zu russischen Geheimdiensten nachgesagt werden.

US-Demokraten

Die selbe Hacker-Gruppe soll nach Angaben amerikanischer Experten auch den Parteivorstand der Demokraten in den USA und die E-Mails von Hillary Clintons Wahlkampf-Stabschef John Podesta gehackt haben. Nach der Attacke im März wurden die E-Mails wirksam in der Schlussphase des Präsidentschaftswahlkampfs im Oktober 2016 veröffentlicht.

Doping-Kontrolleure

APT28 könnte auch hinter dem Hack der Weltdopingagentur WADA stecken. Die Angreifer veröffentlichen im September 2016 Unterlagen zu Ausnahmegenehmigungen zur Einnahme von Medikamenten, mit einem Fokus auf US-Sportler.

Sony Pictures

Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte im November für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurden E-Mails aus mehreren Jahren erbeutet. Es war das erste Mal, dass ein Unternehmen durch eine Hackerattacke zu Papier und Fax zurückgeworfen wurde. Die Veröffentlichung vertraulicher Nachrichten sorgte für unangenehme Momente für mehrere Hollywood-Player.

Yahoo

Bei dem bisher größten bekanntgewordenen Datendiebstahl verschaffen sich Angreifer Zugang zu Informationen von mindestens einer Milliarde Nutzer des Internet-Konzerns. Es gehe um Namen, E-Mail-Adressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter. Der Angriff aus dem Jahr 2014 wurde erst im vergangenen September bekannt.

Target

Ein Hack der Kassensysteme des US-Supermarkt-Betreibers Target macht Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen. Die Verkäufe von Target sackten nach der Bekanntgabe des Zwischenfalls im Dezember 2013 ab, weil Kunden die Läden mieden.

Ashley Madison

Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, erschütterten die Enthüllungen das Leben vieler Kunden.

Thyssenkrupp

Im Frühjahr 2016 haben Hacker den Industriekonzern Thyssenkrupp angegriffen. Sie hatten in den IT-Systemen versteckte Zugänge platziert, um wertvolles Know-how auszuspähen. In einer sechsmonatigen Abwehrschlacht haben die IT-Experten des Konzerns den Angriff abgewehrt – ohne, dass einer der 150.000 Mitarbeiter des Konzerns es mitbekommen hat. Die WirtschaftsWoche hatte die Abwehr begleitet und einen exklusiven Report erstellt.

WannaCry

Im Mai 2017 ging die Ransomware-Attacke "WannaCry" um die Welt – mehr als 200.000 Geräte in 150 Ländern waren betroffen. Eine bislang unbekannte Hackergruppe hatte die Kontrolle über die befallenen Computer übernommen und Lösegeld gefordert – nach der Zahlung sollten die verschlüsselten Daten wieder freigegeben werden. In Großbritannien und Frankreich waren viele Einrichtungen betroffen, unter anderem Krankenhäuser. In Deutschland betraf es vor allem die Deutsche Bahn.

Einen Moment bitte, ich sollte wohl schnell mein Passwort mit Ihrer Methode verbessern.
Der Unterschied ist enorm. Wenn wir ein achtstelliges Passwort wählen, das nur aus Buchstaben und Zahlen besteht, benötigt ein Hacker je nach System etwa 2 Jahre, um alle Kombination auszuprobieren und so Ihr Passwort so zu knacken. Wenn wir zusätzlich Sonderzeichen verwenden, würde er 24 Jahre brauchen.

Eine Lebensaufgabe. Dann kann ich das Passwort jetzt beruhigt für alle meine Konten einsetzen?
Das sollten Sie nicht machen. Wenn jemand Ihren Autoschlüssel klaut, würden Sie ja auch nicht nur das Schloss auf der Fahrerseite austauschen, sondern sicher auch das auf der Beifahrerseite und ebenso das Zündschloss. Schließlich wollen Sie ja, dass der Dieb nirgends rein kommt, und der Schlüssel gänzlich nutzlos ist. Besser wäre daher jeweils ein eigener Schlüssel für jede Seite und die Zündung.

Also ein Satz für jedes Login? Dann muss ich mir jetzt 30 Sätze statt 30 Passwörter merken. Keine Chance.
Es geht viel einfacher: Wir variieren unser Schneewittchen für die verschiedenen Seiten. Wenn ich mich bei Ebay einlogge, baue ich zum Beispiel an der sechsten Stelle im Passwort ein E ein, für meinen Amazon-Login entsprechend ein A: $wmd7Ahd7B.

Schwache Passwörter

Das Hasso-Plattner-Institut (HPI) veröffentlicht jedes Jahr die meistgenutzten Passwörter der Deutschen - Datengrundlage sind 12,9 Millionen E-Mail-Adressen, die als .de-Domain registriert sind.

Foto: dpa

Hacker lieben schwache Passwörter

Wer sich bei Hackern beliebt machen möchte, wählt als Passwort die Zahlenfolge 123456 - laut der HPI-Studie weltweit das meistbenutzte Passwort in den untersuchten Daten-Leaks. Welche deutschen Passwörter besonders verbreitet sind, konnten die Forscher aus den rund 30 Millionen Nutzerkonten ermitteln, die als .de-Domain registriert sind.

Foto: dpa

Platz 10: hallo123

Im vergangenen Jahr stand auf Platz 10 noch das Passwort "ficken" – das zehntplatzierte Passwort dieses Jahr ist deutlich jugendfreier und lautet "hallo123".

Foto: dpa

Platz 9: 111111

Leicht zu merken und ebenso leicht zu hacken: "111111".

Foto: dpa

Platz 8: 1234567

Bis sieben kann jedes Kindergartenkind zählen - vielleicht ist deshalb diese einfache Zahlenfolge eines der beliebtesten Passwörter der Deutschen.

Foto: WirtschaftsWoche

Platz 7: passwort

Ein Passwort, das man zumindest nicht vergisst, lautet "passwort" und erfreut sich großer Beliebtheit.

Foto: dpa

Platz 6: hallo

Ahoi, bonjour, Ciao, Grüß Gott, Guten Tag – es gibt viele Grußformeln, die in Deutschland geläufig sind. Als Passwort eignet sich wahrscheinlich jede davon eher als "hallo" – allerdings sind sie allesamt keine empfehlenswerten Passwörter.

Foto: dpa

Platz 5: 12345678

Von nun an wird es zahlenlastig – und etwas einseitig. Internetnutzer, die dieses Passwort verwenden, sollten besser Acht geben!

Foto: dpa

Platz 4: 12345
High Five ist bei Sportlern, die körperbetonten Sportarten nachgehen, eine beliebte Geste. Auch als Passwort sind die Zahlen 1 bis 5 sehr beliebt.

Foto: USA TODAY Sports

Platz 3: 1234

Die nächsten Passwörter werden zwar nicht besser - aber dafür zumindest länger.

Foto: dpa

Platz 2: 123456789

Eine unbedarftere Einladung zum Datenklau ist kaum vorstellbar. Aber möglich.

Foto: dpa

Platz 1: 123456

Ohne Worte.

Foto: dpa

Schutz vor Identitätsdiebstahl

„Es gibt keinen 100-prozentigen Schutz vor Identitätsdiebstahl“, so HPI-Direktor Christoph Meinel, einer der Autoren der Studie. „Aber wer sein Passwort auf dieser Liste entdeckt, sollte es schnellstmöglich ändern.“

Foto: dpa

Und für mein Onlinekonto bei der Sparkasse ein S. Verstanden. Aber die Bank lässt mich nur ein fünfstelliges Zugangswort festlegen.
Stimmt, hier hilft Ihnen Schneewittchen nicht weiter. Aber die fünf Stellen bei der Bank genügen. Sicherer muss der Zugang zum Onlinekonto nicht sein. Denn selbst wenn sich jemand unbefugt einloggt, fehlt ihm ja noch eine Transaktionsnummer, um Überweisungen auszuführen.

Diese Branchen sind am häufigsten von Computerkriminalität betroffen

Gesamt

Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.Quelle: Bitkom/StatistaStand: 2015

Platz 5

Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.

Platz 4

58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.

Platz 3

Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.

Platz 2

Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.

Platz 1

Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.

Ist es okay, wenn ich TAN-Nummern von einer Papierliste eingebe?
Solange Sie die TAN-Nummern nicht per E-Mail verschicken, wenn Sie dazu in einer E-Mail aufgefordert werden, die vermeintlich von Ihrer Bank kommt, schon. Aber das größte Risiko beim Onlinebanking ist nun mal derjenige, der vorm Bildschirm sitzt. Leider fallen immer noch zu viele Nutzer auf solche gefälschten E-Mails herein.

Welches TAN-Verfahren würde mich davor schützen?
Es gibt Wege, wie zum Beispiel ChipTAN, bei denen die Bank Ihnen eine Nummer nur für eine bestimmte Überweisung generiert. Dann sehen sie zu jeder TAN auch den Empfänger, an den das Geld gehen soll. Und selbst wenn ihr Computer nun von Schadsoftware manipuliert wurde, die das Geld Ihrer Überweisung abzwacken will, können Sie sehen, dass der Empfänger geändert wurde, und den Vorgang einfach abbrechen.

Sie schildern das so nüchtern. Wenn jemand meine Onlineüberweisungen manipuliert, verfalle ich doch sofort in Panik: Computer aus, Netzstecker ziehen, W-Lan-Router abschalten.
Kein Grund zur Panik. Es reicht, wenn Sie den Vorgang abbrechen und keine weiteren Überweisungen ausführen. Dann melden Sie sich bei Ihrer Bank und schildern den Vorfall. Anschließend prüfen Sie Ihren Computer mehrfach mit verschiedenen Virenschutzprogrammen, um zu schauen, wo das Problem liegt. Schließlich sollte wohl noch ein IT-Profi versuchen, die Schadsoftware zu entfernen.

Und wenn es mir nicht auffällt, dass sich jemand in mein Konto geschlichen hat?
Dann bemerkt es häufig ihre Bank. Sie analysiert nämlich ihr Verhalten bei Kartenzahlungen und beim Onlinebanking: Wem schicken Sie regelmäßig Geld. Nutzen Sie ihre Karten vielleicht gerade zum Bezahlen im Urlaub. Oder haben Sie heute Morgen noch in München Geld am Automaten abgehoben, und zwei Stunden später plötzlich in Mexiko? Das fällt den Systemen der Banken sofort auf, und sie werden bei Ihnen nachfragen, ob die Buchung in Mexiko tatsächlich von Ihnen stammt.

Ist es möglich, mich anhand meines Verhaltens auch beim Login zum Onlinebanking zu erkennen? Dann könnte ich unseren Schneewittchen-Satz endlich wieder vergessen.
Natürlich, ich denke, dass solche Verfahren zur Authentifizierung kommen werden. Man kann Sie zum Beispiel heute schon eindeutig daran identifizieren, wie Sie Sätze über die Tastatur eingeben. Wenn Sie zum Beispiel die Buchstaben E und R immer im Abstand von 0,7 Sekunden eingeben. Bis solche Systeme flächendecken eingesetzt werden, wird es zwar noch ein paar Jahre dauern. Aber ja, dann könnten Sie Schneewittchen als Passwort-Hilfe getrost vergessen.