Konto schützen

Das Konto schützen: Passwort

Zunächst einmal zurück zur Passwortwahl. Seit Jahren ist die Liste der am häufigsten verwendeten Passwörter nahezu unverändert. Wider besseren Wissens kommen neben „12345“ oder „qwertz“ auch „admin“ oder „Passwort“ tausendfach zum Einsatz und es verwundert kaum, dass Hacker bei derart gedankenlos gewählten Passwörtern regelmäßig leichtes Spiel haben, auf Konten fremder Nutzer zuzugreifen. Grundsätzlich ist der Umgang mit Passwörtern natürlich kein Vergnügen und unterm Strich bestenfalls lästig.

Dazu kommt das Problem, das einfach zu merkende Passwörter fast immer unsicher sind und solche, die aus beliebigen Kombinationen von Buchstaben, Zahlen und Sonderzeichen bestehen, sind quasi unmöglich zu behalten. Aufschreiben soll man die Passwörter am besten auch nicht und die Liste irgendwo als Textdatei auf der Festplatte zu deponieren ist gleichfalls keine gute Idee. Empfehlenswert ist daher neben der Wahl eines Passwort-Managers die Nutzung einer Passwort-Strategie, mit deren Hilfe sich sichere Passwörter vergleichsweise einfach generieren lassen.

Entwicklung einer Passwort-Strategie

Wichtigster Punkt dabei ist neben der Verwendung komplizierter Passwörter dieser: Verwenden Sie kein Passwort mehr als ein einziges Mal. Gelangt ein mehrfach genutztes Passwort durch eine Sicherheitslücke zum Beispiel bei einer Bank oder bei einem beliebigen Online-Shop in die Hände von Hackern, wird die erbeutete Kombination aus Mailadresse und Passwort mit einiger Sicherheit auch bei anderen Konten zum Log-In getestet. Und da Firmen die Meldung einer Sicherheitslücke oft erst spät bemerken und sich zuweilen mit der Veröffentlichung eines Lecks Zeit lassen, haben Hacker oft recht viel Zeit dazu. Quasi unbemerkt wird dann am Ende eben nicht nur ein einziges Konto eines Nutzers gehackt, sondern möglicherweise gleich mehrere.

Wie bereits gesagt eignen sich einfache Passwörter nicht zur Verwendung. Darunter sollten Sie aber nicht nur die oben erwähnten Beispiele verstehen, sondern quasi jedes im Wörterbuch auffindbare Wort in jeder Sprache. „NewYork“ ist also ebenso unbrauchbar wie „Gartenzwerg“ oder „Suomi“. Leicht zu erraten sind auch Kombinationen wie „Hamburg666“ oder „Abc12345“. Empfehlenswert ist es dagegen, ein Passwort zum Beispiel mithilfe eines leicht zu merkenden Satzes zu generieren. Aus dem Satz „Auf dem Baum im Garten sitzen 2 Vögel“ würde bei Verwendung der ersten Buchstaben jedes Wortes das Passwort „AdBiGs2V“, welches bereits als ziemlich sicheres Passwort taugt. Wenn Sie dann noch ein Symbol wie etwa %, § oder & zufügen erhalten Sie ein Passwort, das nur mit unverhältnismäßig hohem Aufwand zu entschlüsseln ist. Problematisch ist bei dieser Methode allerdings, dass Sie sich eventuell eine Handvoll der Sätze merken können, aber wenn es mehr als das werden, müssen die meisten Nutzer vermutlich wieder einen Notizblock verwenden.

Einfacher wird das, wenn Sie als Passwort-Generator ein beliebiges Buch verwenden und aus den Anfangsbuchstaben der Wörter der Zeilen inklusive Satzzeichen einer beliebigen Seite jeweils ein Passwort bilden. Das Buch im Regal dürfte weniger Aufmerksamkeit erregen als ein Zettel mit Passwörtern unter der Tastatur, selbst wenn Sie im Buch hinter jeder Zeile den Namen des Kontos notieren, für welches das Passwort gelten soll. Alternativ lassen sich gute Passwörter auch aus den Anfangsworten von Kinderreimen, Liedern oder Gedichten erstellen. Auch diese bleiben dann meist viel besser im Gedächtnis als ein beliebiger Satz.

Passwort-Manager

Wer sich die Passwörter nicht merken kann oder will und den Anbietern Vertrauen entgegenbringt, der kann auch einen der vielen Passwort-Manager nutzen, die heutzutage angeboten werden. Diese haben den riesigen Vorteil, dass Sie sich nur ein einziges Masterpasswort merken müssen, um auf alle Passwörter zugreifen zu können. Zudem lagern die Zugangsdaten verschlüsselt in der Cloud und lassen sich daher bequem auf jedem Endgerät und von jedem Ort der Welt mit Internetverbindung nutzen. Einen Passwortgenerator zur automatischen Erstellung eines beliebig langen und komplizierten Passwortes haben diese Programme ebenfalls an Bord.

Hauptproblem: Wird Ihr Masterpasswort gehackt, sind alle Passwörter in einem Rutsch verloren. Gleiches gilt bei einer Sicherheitslücke beim Anbieter des Passwort-Managers, der, sofern er im Ausland seinen Sitz hat, rechtlich kaum belangt werden kann.

Auch die Betriebssysteme Windows und macOS haben mehr oder weniger brauchbare Passwort-Manager an Bord, wobei der von Windows ziemlich rudimentär ist. Der Zufallsgenerator, mit dem sich Passwörter erzeugen lassen, funktioniert nur im PowerShell beziehungsweise per Kommandozeile. Passwörter, die im Browser beim LogIn zum Beispiel bei einem Bankkonto eingegeben werden, lassen sich auf Wunsch in Windows abspeichern. So müssen sie beim nächsten LogIn-Vorgang nicht erneut eingegeben werden. Gespeicherte Passwörter lassen sich über die Anmeldeinformationsverwaltung von Windows einsehen. Hier können Sie die Passwörter, die bislang angelegt wurden, aufrufen und gegebenenfalls auch löschen. Für den Aufruf der Anmeldeinformationsverwaltung ist die nochmalige Eingabe Ihres Windows-Passwortes notwendig.

Das Äquivalent dazu in macOS ist die Schlüsselbundverwaltung, für die nach erfolgreicher Anmeldung des Nutzers am Mac keine weitere Kennworteingabe erforderlich ist. Die Schlüsselbundverwaltung ist recht bequem, denn hier lassen sich nicht nur die bisher eingesetzten Passwörter einsehen, sondern auf Wunsch auch neue Einträge für LogIns in Webaccounts anlegen. Weiterhin ist es möglich, die Passwörter oder LogIn-Daten vorhandener Zugänge beliebig zu ändern und natürlich auch zu löschen. Ein sehr komfortabler Generator zum Anlegen neuer Passwörter ist ebenfalls an Bord. Dabei kann der Nutzer entscheiden, wie lang das Passwort sein soll, welche Zeichen, Zahlen oder Buchstaben enthalten sein sollen und er erhält eine lange Liste von Passwortvorschlägen, aus denen er aussuchen kann. Auf Wunsch wird der gesamte Schlüsselbund in die iCloud gelegt und steht so für andere Geräte zur Verfügung, die mit diesem iCloud-Konto verknüpft sind. Somit haben Sie Zugriff auf alle gespeicherten Zugänge, egal ob Sie mit Ihrem Mac, dem iPhone oder einem iPad auf ein beliebiges Konto zugreifen möchten.

Kompromittierte Passwörter werden zusammen mit Handlungsempfehlungen angezeigt. Das bedeutet im Klartext: Wurde ein Passwort zum Beispiel wegen eines Datenlecks bei einem Internetanbieter entwendet, werden die betroffenen Anwender automatisch benachrichtigt und können eine Änderung vornehmen. Eine integrierte 2-Faktor-Authentifizierung besitzt die Schlüsselbundverwaltung von Apple bislang trotz Ankündigung nicht. Das ist dann auch der Hauptgrund dafür, wieso ausgereifte Passwortmanager bislang noch etwas leistungsfähiger sind als das Onboard-Mittel von Apple.

Auch Google bietet einen eigenen Passwortmanager an, der direkt in den Chrome-Browser eingebettet ist und über das Google-Konto aufgerufen, eingesehen und bearbeitet werden kann. Das Tool beinhaltet ein nützlichen Passwortcheck, der den Anwender warnt, wenn irgendwo eine Webseite gehackt und bei einem Datenleck Zugangsdaten abhanden gekommen sind. Eine Änderung der alten Passwörter in ein sichereres geht schnell von der Hand, da der Link auf die entsprechende Webseite im Manager hinterlegt ist. Es ist also in der Regel nicht nötig, die Webseite zur Änderung des Passworts separat aufzurufen.

2-Faktor-Authentifizierung

Weil sich die bislang übliche Kombination aus Benutzername und Passwort vor allem im Bankbereich über die Jahre als zu wenig sicher erwiesen hat, wurde mit der Zwei-Faktor-Authentifizierung eine zusätzliche Sicherheitsebene eingeführt, die seit 2019 im Bankbereich vorgeschrieben ist. Hier kommt neben Benutzername und Passwort eine zusätzliche Schranke ins Spiel, die zum Beispiel aus einem Fingerscan, Gesichtserkennung oder der Eingabe einer per SMS ans Smartphone geschickten TAN-Nummer bestehen kann.

Manche Banken verwenden eigene Apps, über die sich der Nutzer in Verbindung mit einem biometrischen Merkmal einloggen kann, andere setzen auf kryptografische Token oder einen Chip-Generator, der in Verbindung mit der Girocard zum Einsatz kommt. Der Generator liest nach Einschub der Girocard einen auf dem Bildschirm eingeblendeten Barcode aus und erzeugt daraus eine TAN-Nummer, die dann in die Maske auf dem Überweisungsformular eingegeben werden muss.

Eine weitere Möglichkeit der Authentifizierung ist die Nutzung spezieller Apps wie Twilio oder Authy, auf denen beim LogIn Nummerncodes erscheinen, die dann auf der Webseite einzugeben sind. Diese sogenannten Time-based One-Time Passwords (TOTP) haben eine sehr begrenzte Lebensdauer von im Normalfall etwa 30 Sekunden, danach verfallen sie und werden durch einen neuen Code ersetzt. Selbst wenn es Kriminellen gelingen sollte, an die Zugangsdaten für ein Web-Konto zu gelangen, bleiben anschließend gerade einmal 30 Sekunden Zeit, um eine sechs- oder achtstellige Zahl zu erraten und auszuprobieren. Die Wahrscheinlichkeit, dass dieses gelingt, ist äußerst gering, weswegen die TOTP-Methode auch als ausgesprochen sicher gilt.

Neben dem zeitbasierten Algorithmus TOTP existiert noch der ältere HMAC-based One-time Password (HOTP), bei dem ein einmaliges Passwort generiert wird, das dann allerdings bis zur Verwendung gültig ist. Da das Passwort nicht verfällt, ist es weit weniger sicher als das TOTP und kommt daher kaum noch zum Einsatz.

Wer herausfinden möchte, welche Webseiten eine 2-Faktor-Authentifizierung anbieten, der bekommt auf der https://twofactorauth.org/ eine nahezu komplette Übersicht der wichtigsten Seiten im Netz. Bei „Banking“ befindet sich eine lange Bankenliste mit detaillierten Informationen dazu, welche Bank 2FA bietet und sogar in welcher Form. Die Postbank ist dort beispielsweise mit „Software“ und „Hardware“ gelistet, was in der Praxis bedeutet, dass sowohl ein Chiptan-Verfahren (Hardware) als auch eine hauseigene Authorisierungs-App namens BestSign zum Einsatz kommt. Dazu liefert das Verzeichnis auf twofactorauth.org noch direkte Links zu den Seiten aller Banken, auf denen die jeweils verwendeten Sicherheitsverfahren erklärt werden.

Phishing

Neben dem Verlust von Passwörtern zum Beispiel durch ein Datenleck bei einem Webseiten-Betreiber ist vor allem das Phishing auch heute noch hauptverantwortlich für gehackte Online-Konten. Auch wenn diese Methode fast so alt ist wie das World Wide Web selber, so führt sie bis heute immer wieder zum Erfolg. Verwunderlich ist das nicht, weil die Methoden der Hacker immer besser und die Fälschungen oft so gut wie nicht als solche zu identifizieren sind.

Die erste Regel, einem Phishing-Versuch sicher zu entgehen, ist, die Webseite Ihrer Bank oder eines beliebigen Web-Shops nicht über einen Link aufzurufen. Das gilt vor allem für E-Mails, aber auch für in Websites eingebettete Links. Zahllose Phishing-Mails geben vor, zum Beispiel von einer Bank zu kommen und bitten um den Klick auf einen Link in der Mail, um die Zugangsdaten zu überprüfen. So plump dieser Versuch auch ist, es gibt trotzdem immer wieder Anwender, die darauf hereinfallen. Sind Sie unsicher, ob die Mail nicht vielleicht doch von Ihrer Bank kommt, hilft ein Rechtsklick auf den eingebetteten Link. So lässt sich über das Kontextmenü herausfinden, wohin der Link Sie letztlich leitet. Nichts desto trotz sollten Sie aber nicht auf den Link klicken, sondern lieber direkt auf die Bankseite gehen.

Darüber hinaus ist jede Verbindung zur Website einer Bank oder eines seriösen Webshops verschlüsselt und signiert. Erkennbar ist das über die Adressleiste im Browser: Beginnt die Webadresse mit „https“ und nicht nur mit „http“ und ist zusätzlich ein Schlosssymbol zu sehen, ist die Verbindung auf jeden Fall sicher. Fehlt das Schloss, handelt es sich andererseits aber auf jeden Fall nicht um die originale Webseite zum Beispiel einer Bank, denn die würde niemals eine unverschlüsselte Seite ins Netz stellen.

Kreditkartendaten und Bankkonten schützen

Die Bezahlung per Kreditkarte im Internet ist üblich und kommt täglich global millionenfach zum Einsatz. Im Normalfall wird bei der Zahlung neben der Kreditkartennummer und dem Namen des Kontoinhabers noch das Verfallsdatum und eine dreistellige PIN erfragt, die sich auf der Rückseite der Kreditkarte befindet. Grundsätzlich sollten Sie Ihre Kreditkarten nicht gedankenlos in dubiosen Webshops verwenden, sondern zahlen Sie nur in garantiert zuverlässigen und seriösen Geschäften mit Kreditkarte. Achten Sie bei jeder Zahlung mit Kreditkarte darauf, dass die Seite verschlüsselt und signiert ist, was am eingeblendeten Schloss sowie am „https“ am Anfang der Adresszeile erkennbar ist.

Sind Sie dennoch Opfer eines Kreditkartenmissbrauchs geworden, sollten Sie so schnell wie möglich reagieren und den Kartenanbieter am besten telefonisch informieren. Die Karte wird dann umgehend gesperrt und der Schaden ersetzt, sofern Sie nicht grob fahrlässig gehandelt haben und man Ihnen das nachweisen kann. Bei einem Girokonto verhält es sich ganz ähnlich. Bemerken Sie illegale Abbuchungen, so können Sie diese innerhalb von sechs Wochen bei Ihrer Bank stornieren. Auch hier sollten Sie trotz des vergleichsweise lang erscheinenden Zeitraums jede Unregelmäßigkeit unverzüglich reklamieren, denn das wird durch die allgemeinen Geschäftsbedingungen der Banken sogar explizit verlangt.

Unser Tipp: Setzen Sie beim Online-Banking auf eine Multibanking-App beziehungsweise Anwendung, mit der Sie alle Konten verwalten und im Auge behalten können. So entgeht Ihnen nichts und Sie bemerken illegale Abbuchungen innerhalb kürzester Zeit. Auch für die Buchführung sind Multibanking-Apps perfekt geeignet.