Michael Wiesner, Berater für Cybersicherheit, erklärt, warum die Zweifaktor-Authentifizierung so wichtig ist. Und warum er sensible Daten keinem Passwortmanager anvertraut.
Ein Leben ohne Passwörter ist undenkbar. Jeder hat dutzende Konten zu verwalten – Social Media, Onlineshopping, E-Mail. Um den Überblick zu behalten, nutzen viele ein Passwort in mehreren Variationen. Wie problematisch ist das?
Das ist sehr problematisch, besonders wenn man bedenkt, wie viele renommierte Webseiten schon gehackt worden sind. Die Kriminellen lesen die Passwortdatenbanken der großen Anbieter aus und verkaufen die Zugangsdaten oder nutzen sie selbst, indem sie automatisiert versuchen, sich mit den erbeuteten Passwörtern Zugang zu allen möglichen Plattformen zu verschaffen, von Ebay über Amazon bis Facebook. Wenn Sie nun für Ihr Onlineshopping das gleiche oder ein ähnliches Passwort nutzen, ist es für die Hacker leicht, sich auch auf den anderen Plattformen einzuloggen.
Lässt sich das mit individuellen, kryptischen Passwörtern verhindern?
Auch dann lässt es sich nicht komplett verhindern. Stellen Sie sich vor, Sie fallen auf eine Phishing-Mail rein, die einem Angreifer Zugang zu Ihrem PC gibt. Viele haben in ihren Webbrowsern wie Firefox oder Chrome ihre Passwörter gespeichert. Es ist ein Leichtes für den Angreifer die Passwörter aus dem Speicher auszulesen oder einfach die Tastatureingaben mitzuschneiten. Das heißt, selbst wenn Sie kryptische Passwörter benutzen, kann ein Angreifer da herankommen. Komplizierte und längere Passwörter sind zwar grundsätzlich sicherer. Aber ein Passwort allein ist immer eine schlechte Idee.
Inwiefern?
Weil es nur ein Faktor ist. Der Benutzername ist meistens die E-Mail-Adresse, der ist nicht geheim. Das Passwort als einziger Sicherheitsfaktor kann leicht in fremde Hände geraten, sei es durch Hacks von Webseiten oder durch einen Angriff auf Ihren PC oder Ihr Smartphone. Sicherheit haben Sie nur, wenn Sie mindestens zwei Faktoren haben – das sind Wissen und Besitz. Ein Passwort allein ist nur Wissen, ohne eine zusätzliche Bestätigung, dass wirklich Sie die Person sind, die sich anmeldet. Denn ob das Passwort von Deutschland aus eingegeben wird oder vom Südpazifik, ist der Webseite egal. Der zweite Faktor ist der Besitz des Smartphones, auf das dann ein generiertes Einmalpasswort gesendet wird. Bewährt ist hier das Verfahren TOTP – das Time-based One-time Passwort. Der Google oder der Microsoft Authenticator aber auch viele Apps nutzen TOTP und generieren eine sechsstellige Zahl. Durch diese Zwei-Faktor-Authentisierung (2FA) wird es für den Angreifer sehr sehr aufwendig, den Account zu knacken.
Was ist bei der Zweifaktor-Authentifizierung zu beachten, damit sie sicher ist?
Der zweite Faktor sollte nicht über den gleichen Weg abgefragt werden, wie das Passwort. Wenn Sie also Online-Banking über das Smartphone machen und die Banking-App schickt Ihnen eine SMS zu, dann landet die auch auf dem Smartphone. Gegen einen Angreifer mit Zugang zum Smartphone nützt das nichts, weil er beides zusammen in den Händen hat. Der zweite Faktor sollte immer auf einem anderen Kommunikationsweg übermittelt werden als der erste. Also am besten auf ein anderes Gerät.
Sind Passwortmanager für den Alltag eine gute Lösung, um den Überblick zu behalten?
Passwortmanager sind ein Hilfsmittel, um die eigentlich blöde Idee, lediglich ein Passwort als Authentifizierung zu nutzen, so sicher wie möglich zu machen. Wenn die Webseite, die Sie nutzen wollen, keine 2FA anbietet, dann bleibt nur ein Passwortmanager oder ein Stück Papier, auf das Sie das Passwort notieren. Letzteres ist natürlich nicht wirklich praktikabel. Das Passwort sollte ja möglichst komplex sein und aus mehr als 8 Zeichen bestehen. Wenn Sie das handschriftlich aufzeichnen und jedes Mal heraussuchen müssen, verzweifeln Sie irgendwann.
Sind Passwortmanager nicht selbst ein Angriffsziel, um alles auf einen Schlag abzufangen?
Absolut. Allerdings hat es dann in der Regel jemand sehr gezielt auf Sie abgesehen. Grundsätzlich sollten deshalb die Endgeräte, auf denen der Passwort-Manager installiert sind, so sicher wie möglich gemacht werden. Am wichtigsten aber ist: Der Passwortmanager muss selbst mit einem starken Passwort und einer Zweifaktor-Authentifizierung abgesichert sein. Sie sollten sich also nur anmelden können mit Ihrem Benutzernamen, dem Passwort und einem zusätzlichen Einmalpasswort.
Können Sie bestimmte Anwendungen und Apps empfehlen?
Das ist schwierig, denn das schwankt. Wenn ich heute KeePass empfehle, weil es kostenlos ist und die Daten nicht in einer Cloud speichert, kann es trotzdem in einer Woche gehackt worden sein. In der Vergangenheit ist das bei verschiedenen Anbietern passiert. Man muss sich auf Tests verlassen. Ich empfehle Zeitschriften wie c‘t vom Heise Verlag, die regelmäßig solche Passwortmanager testen. Auch vom BSI oder der Allianz für Cybersicherheit gibt es immer wieder Empfehlungen. Das sollte man verfolgen.
Wir lernen also: Nichts ist vollkommen sicher. Was tun Sie, um Ihre Daten bestmöglich zu schützen?
Ich habe meine Dateien mit den sehr vertraulichen Dokumenten wie Urkunden und steuerlich relevanten Daten verschlüsselt. Das Passwort dafür habe ich aber nicht in meinem Manager gespeichert, weil mir das nicht sicher genug ist. Für meine Kronjuwelen nutze ich ein kryptisches Passwort, das ich mir merke. Ich habe drei bis fünf davon, die nirgendwo eingetragen sind.
Sie arbeiten auch als White Hat Hacker, suchen also Sicherheitslücken im Auftrag von Unternehmen. Welche Tipps haben Sie für ein starkes Passwort?
Vermeiden sollte man Passwörter, die zu erraten sind. Ich habe beispielsweise für ein Unternehmen mal in dem Facebook-Profil eines Mitarbeiters recherchiert. Dort habe ich gesehen, dass er eine Tochter hat, wie die heißt und wann sie geboren ist. Das Passwort war dann tatsächlich „Maja90!“. Das Ausrufezeichen ist übrigens das meistbenutzte Sonderzeichen und steht oft am Ende.
Da fühlen sich nun wahrscheinlich einige ertappt. Wie geht’s besser?
Eine Hilfsmöglichkeit ist es, sich einen Satz auszudenken, von dem man nur die ersten Buchstaben der Wörter nutzt. „Heute ist ein schöner Tag, denn es sind 30°c“ wird zu „HiesT,des30°c“ und schon hat man ein merkbares Passwort. Eine Alternative ist es, aus dem Namen der Webseite ein einmaliges Passwort abzuleiten. Der Zugang ist beispielsweise immer der 1., der 4. und der 5. Buchstabe des Anbieters, dazu die Domain. Für Amazon wäre das Passwort dann „Azo.de“. Kombiniert wird das mit einem Geburtsdatum und ein paar Sonderzeichen. Damit sind automatisierte Angriffe nicht mehr ohne weiteres möglich. Aber wenn ein Angreifer manuell herangeht, also genauer hinschaut, kann er das Schema erkennen. Dann muss er nur eins und eins zusammenzählen und hat auch die Passwörter für die anderen Seiten heraus. Am besten lässt man sich die Passwörter von einem Passwortmanager generieren und automatisch ausfüllen.
Ihr Fazit: Was sind die drei wichtigsten Schritte?
Die kritischsten Daten verschlüsseln Sie mit einem starken Passwort, das Sie sich merken oder auf ein Papier schreiben und gut wegschließen. Für die weniger kritischen nutzen sie einen Passwortmanager, und zwar mit Zweifaktor-Authentifizierung. Und auf keinen Fall nutzen Sie überall das gleiche Passwort.
Michael Wiesner berät Firmen als externer Beauftragter für Informationssicherheit und wird als White Hat Hacker engagiert, um sich in die Systeme von Unternehmen zu hacken und so Sicherheitslücken aufzudecken. Er klärt Firmen und Mitarbeiter über Schutzmaßnahmen gegen Cyberangriffe auf.