Passwörter-Management: BSI spricht Empfehlungen für mehr Sicherheit aus

Cyberkriminalität ist allgegenwärtig. Via Phishing-Mails oder durch aktives Einhacken auf den PCs unbedarfter User verschaffen sich Internetgangster immer wieder Zugang zu Festplatten, E-Mail-Accounts oder den gespeicherten Dateien von Usern. Einfallstor für diese Machenschaften sind in zahlreichen Fällen unzureichend gepflegte Passwörter. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) hat einen Leitfaden für mehr Passwort-Sicherheit veröffentlicht. Hier die wichtigsten Tipps.

Mal ehrlich, wer kennt das nicht. Bei der Vielzahl der Passwörter, die wir alle für die unzähligen Konten und Plattformzugänge anhäufen, ist es nur menschlich, wenn man sich der Einfachheit halber immer wieder für dasselbe Passwort entscheidet, statt jedes Mal ein neues zu generieren. Das ist laut BSI-Ansicht schon mal ein Lapsus mit unter Umständen weitreichenden Konsequenzen. Denn logischerweise haben Übeltäter leichtes Spiel, wenn sie das „Eingangspasswort“ knacken und dann feststellen, dass sie damit kinderleicht durch alle Accounts surfen können. Wer diese Methode nach wie vor leichtfertig anwendet, sollte das zügig ändern und etwas mehr Mühe in den digitalen Selbstschutz investieren.

Sicheres Passwort-Merkblatt anfertigen

Es gibt eine Vielzahl von digitalen Passwort-Verwaltungsprogrammen mit entsprechender Verschlüsselung. Wer eine solche Investition jedoch scheut, ist laut BSI am besten mit einem „Merkblatt“ beraten, das an einem sichern Ort aufbewahrt wird. Empfohlen wird dazu die Methode des zweiteiligen Passworts. Den ersten Passwortteil merkt man sich, notiert ihn aber nicht auf dem Merkzettel. Aufgeschrieben werden lediglich die zweiten Teile der Gesamtpasswörter. Kommt das Merkblatt in zweifelhafte Hände, kann der Finder damit kaum etwas anfangen, da ja der vordere Passwortteil (der immer gleich lautet), nicht auf der Liste vermerkt wird. Einen weiteren Tipp gibt das BSI für die generelle Passwort-Generierung, indem man sich statt einer komplizierten Folge von Zeichen, Zahlen und Sonderzeichen einen Satz merkt, und von diesem beispielsweise jeweils den zweiten, fünften oder sonstigen Buchstaben jedes Worts des Satzes merkt, idealerweise werden dabei noch einzelne Buchstaben gegen Zahlen oder Sonderzeichen getauscht.

Wann Passwörter gewechselt werden sollten

Die Indizien für einen guten oder gar wichtigen Zeitpunkt, die Passwörter zu erneuern, können vielfältig sein. Das kann zum Beispiel dann ratsam sein, wenn einer oder mehrere Anbieter von Diensten dazu auffordern. Ein weiteres Indiz ist eine Häufung von verdächtigen E-Mails, die konkrete Aufforderungen enthalten. Ebenfalls ist es Zeit, sich mit neuen Passwörtern zu beschäftigen, wenn die PC-eigene Sicherheitssoftware Alarm schlägt und beispielsweise auf schädliche Dateien oder Malware hinweist. Ferner weist das BSI darauf hin, dass gehackte E-Mail- und Passwort-Kombinationen von Kriminellen oftmals im Internet zum Kauf angeboten werden. Wer also selbst mitbekommt, dass die eigenen Daten offenbar in die Hände von Übeltätern geraten sind, sollte umgehend handeln. Checks sind über Dienstanbieter selbst vorzunehmen. Als deutschsprachiges Angebot wird von den Sicherheitsexperten beim BSI die Seite HPI Identity Leak Checker empfohlen, ebenso der internationale Anbieter haveibeenpwned.com.

Zumindest die „wichtigen Passwörter“ regelmäßig ändern

Bei der Vielzahl an Passwörtern, die wir heute alle verwalten, ist kaum zu leisten, diese alle regelmäßig zu ändern. Allerdings, so die Empfehlung des BSI, sollten die „wichtigsten“ Konten regelmäßig mit neuen Passwörtern ausgestattet werden. Dazu gehören die E-Mail-Accounts ebenso wie die Banking-Aktivitäten über PC und/oder Smartphone. Auch die Social-Media-Accounts verdienen einen regelmäßige Check. Zu vernachlässigen sind da eher Passwörter von Konten, mit denen man nur selten einen kleinen Kauf tätigt oder beispielsweise Newsletter-Accounts.

Fazit: Angesichts steigender Fallzahlen von Cyberkriminalität sollte jeder ein Minimum an zeitlichem Aufwand investieren, um seine digitalen Prozesse zumindest durch hin und wieder geänderte Passwörter abzusichern.