Ausspähskandal, geknackte E-Mail-Konten, Pishingangriffe: Das Internet steckt voller Gefahren für unsere Daten und digitalen Konten – egal ob elektronisches Postfach, Bankzugang oder die Informationen, die in einem Onlineshop hinterlegt sind. Zwar mag die Verschlüsselung der Daten immer besser werden, und unsere Informationen durch eine ausgeklügelte Technik wohl behütet sein. Die Gefahr ist damit nicht gebannt: Das schwächste Glied im Netz ist und bleibt nämlich der Mensch – mit seinen Passwörtern."Der Mensch ist und bleibt der größte Risikofaktor in der IT-Sicherheit" weiß auch Christian Schaaf von der Münchner Sicherheitsberatung Corporate Trust. IT-Experte Christian Cronjäger von der Telekom stimmt zu: "Die eigenen Mitarbeiter sind die eigentliche Schwachstelle" in der Sicherheit.

Sichere Passwörter für all die verschiedenen Anwendungen sind also Pflicht. Schließlich bilden sie ein "Sesam-öffne-Dich" in die geheimsten Ecken des privaten und geschäftlichen Lebens. Doch wann ist ein Passwort sicher – und dabei so eingängig, dass es sich merken lässt? Fünf Regen für gute Passwörter.

Sichern Sie sich ab! Richtig sicher ist ein Passwort erst, wenn der Nutzer Zahlen, Buchstaben, Sonderzeichen und Groß- und Kleinschreibung kombiniert. (© 2015 iStockphoto)

Regel 1:
Mindestens 8-Zeichen

Ein Passwort, das nur aus zwei oder drei Zeichen besteht, ist schnell geknackt. Mit jedem Zeichen mehr steigt auch die Sicherheit exponentiell. Daher empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI), mindestens acht Zeichen zu benutzen. Passwörter für WLAN-Zugänge mit Verschlüsselungsverfahren wie WPA und WPA2 sollten sogar mindestens 20 Zeichen lang sein. Hier sind laut BSI so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren.

Regel 2:
Zahlen, Buchstaben, Groß- und Kleinschreibung, Sonderzeichen

Neben der Länge eines Passwortes spielt aber auch die Zusammensetzung eine Rolle. Werden nur Zahlen verwendet, ist die Größe des Zeichenraumes sehr begrenzt. Er liegt gerade einmal bei zehn, nämlich 0 bis 9. Hat ein Passwort acht Ziffern, sind das 100 Millionen mögliche Kombinationen. Keine große Aufgabe für einen Standard-Computer von heute. Werden dagegen nur Buchstaben benutzt, erweitert sich der Zeichenraum immerhin auf 26 Möglichkeiten – und damit rund 209 Milliarden Kombinationen. Immer noch keine unmögliche Aufgabe für einen PC, diesen Code in angemessener Zeit zu knacken.

Ein Beispiel: Ein moderner Standardcomputer mit leistungsfähiger Grafikkarte kann in der Sekunde etwas eine Milliarde mögliche Kombinationen ausprobieren. Damit braucht dieser PC etwa 209 Sekunden um ein achtstelliges Passwort, das nur aus Buchstaben besteht, zu knacken.

Richtig sicher wird das Passwort somit erst, wie auch die Experten vom BSI empfehlen, sobald der Nutzer Zahlen, Buchstaben, Sonderzeichen zusammen mit  Groß- und Kleinschreibung kombiniert.


Keyword-Manager

Viele Sicherheitsexperten empfehlen den Gebrauch von so genannten Keyword-Managern. Dabei handelt es sich um Programme, die sich die Passwörter merken und in einer Art digitalem Safe verwahren. Der Nutzer braucht sich somit nur noch ein Passwort für den Tresor zu merken. Hierbei ist natürlich die Gefahr, dass sobald das Passwort für den Keyword-Manager geknackt wurde, alle anderen Passwörter verloren sind. Der sicherste Ort für ihre Passwörter ist und bleibt der Kopf.

Regel 3:
Keine normalen Wörter benutzen, selbst wenn Sonderzeichen mitgenutzt werden

Doch selbst das längste Passwort hilft nur wenig, wenn es einen normalen Begriff aus dem Duden wiedergibt und dabei kein einziger Buchstabe durch ein Sonderzeichen ersetzt wurde. Neben Programmen, die versuchen alle möglichen Kombinationen auszuprobieren (Brut-Force-Angriffe), gibt es auch solche, die alle Wörter aus einem Wörterbuch testen (Wörterbuchangriff). Solch ein Programm kommt schnell auf den Code. Daher gilt: Machen Sie Kauderwelsch zum Passwort.

Die Krux dabei: Je sinnloser die Zeichenfolgen, desto schwieriger ist es, sie im Gedächtnis zu behalten. Die Wahl von gängigen Tastenkombinationen (mit leichten Abwandlungen) wie abcd1234, 12d$5678 oder as3fghjk@ stellen dabei keine Alternative dar. Sie sind jedem Programm und Hackern bekannt und daher schnell enttarnt.

Regel 4:
Immer unterschiedliche Passwörter gebrauchen

Der Teufel steckt im Detail: Denn wer 50 Passwörter hat, muss sie sich auch merken können. Jede Anmeldung im Onlineshop, E-Mail, bei der Bank, Theater oder Kino verlangt nach einem eigenen Passwort. Kein Wunder, dass viele Nutzer den einfachen Weg wählen und für alle Zugänge dasselbe Zauberwort benutzen. Ein Kardinalfehler, wie Experten versichern. "Schützen kann man sich nur, wenn man tatsächlich immer ein anderes Passwort benutzt", sagt IT-Spezialist Tobias Schrödel. Ist dann tatsächlich einmal beispielsweise das E-Mail-Passwort geknackt, sind die anderen Konten nicht gleich mitverloren.

Regel 5:
Passwörter immer wieder wechseln

Zuletzt wird empfohlen, die Passwörter in regelmäßigen Abständen zu ändern. Sollte sich tatsächlich jemand unbemerkt Zugang zu einem Ihrer Accounts verschafft haben, wird derjenige künftig draußen bleiben müssen.

Um ein Passwort eingängig zu machen, an das man sich auch wirklich noch erinnern kann, empfiehlt sich eine Eselsbrücke, die sich gut merken lässt. Am besten eignen sich dazu ganze Sätze, die Sie auswendig können. Dieser Satz bildet dann die Basis für das Passwort. Unser Beispiel zeigt den Anfang eines Gedichtes von Johann Wolfgang von Goethe, das jeder Schüler in Deutschland auswendig lernt. Der Erlkönig:

"Wer reitet so spät durch Nacht und Wind? Es ist der Vater mit seinem Kind;"

Das gesamte Zitat ist natürlich viel zu lang und besteht zudem aus richtigen Worten, welche für ein Passwort ja tabu sind. Damit die Worte verschwinden, nehme ich von jedem Wort einfach nur den Anfangsbuchstaben inklusive Satzzeichen. Dabei kommt folgendes heraus:
WrssdNuW?EidVmsK;

Das Passwort enthält Buchstaben, Groß- und Kleinschreibung wie auch Sonderzeichen – schon nicht schlecht. Fehlen nur noch die Zahlen. Dafür lassen sich ein paar Buchstaben durch Zahlen und weitere Sonderzeichen ersetzen, etwa:
Wr55dN&W?E1dVm5K;

Das bildet nun ein Basiskennwort, das sich sehr gut merken lässt. Ein einfacher Trick hilft, dieses Grundwort mit kleinen Ergänzungen für viele Zugänge zu individualisieren. Jede Anmeldung erhält zum Beispiel zusätzlich die ersten beiden Buchstaben der jeweiligen Internetadresse, bei der man sich anmeldet. Im Fall Amazon wäre das "am" von www.amazon.de – damit wird aus dem Passwort dann
Wr55dN&W?E1dVm5K;am

Um das Passwort noch sicherer zu machen, lässt sich zudem eine Zahl oder ein Sonderzeichen an das Passwort hängen. Der Vorteil dieser Methode: Selbst wenn ein Passwort geknackt wurde, bleiben die anderen Zugänge sicher.