Passwort-Sicherheit 2017: „Die digitale Identität ist in Gefahr”

Zum "Tag der Passwort-Sicherheit" veröffentlicht WEB.DE regelmäßig eine Studie rund um die Passwortgewohnheiten der Deutschen. Für Sicherheitsprofis wie Sebastian Koye, Leiter E-Mail-Sicherheit bei WEB.DE, sind die Ergebnisse dieser Studien besonders spannend: So lässt sich leichter einschätzen, wo genau neue Sicherheitsrisiken liegen - und wo die deutschen Internet-Nutzer noch Nachholbedarf haben.

11. Januar 2017 von Christian Friemel
Digitale Daten im Netz und auf dem Smartphone sind immer mehr in Gefahr. (c) Shutterstock

Herr Koye, Sie haben auch dieses Jahr eine umfangreiche Studie zum Thema Passwortsicherheit in Deutschland erhoben. Wie sehen die Ergebnisse aus?

Unsere Studie zeigt eine ganz klare Tendenz zur „Passwort-Müdigkeit“ bei den Internet-Nutzern: Wir nutzen täglich immer mehr Onlinedienste, die einen Login erfordern – für die meisten von uns sind das bis zu 15. Das empfinden viele Menschen als lästig, und sie werden dann fahrlässig: Mehr als die Hälfte der Studienteilnehmer gibt an, für mehrere oder sogar alle Onlinedienste immer das gleiche Passwort zu benutzen – egal ob E-Mail-Konto, Social-Media-Profil oder Onlinebanking. Und das ist gefährlich.

Sebastian Koye ist Leiter E-Mail-Sicherheit bei WEB.DE

Sebastian Koye ist Leiter E-Mail-Sicherheit bei WEB.DE. (c) WEB.DE

Welche Gefahr sehen Sie konkret in dieser „Passwort-Müdigkeit“?

Wenn bei einem erfolgreichen Hack das Passwort bei nur einem einzigen dieser Dienste geknackt wird, dann probieren die Hacker üblicherweise die Kombination aus E-Mail-Adresse oder Nutzername und Passwort bei einer ganzen Reihe anderer populärer Websites aus. Und wenn man dann im schlimmsten Fall überall dasselbe Passwort verwendet, dann ist die gesamte „digitale Identität“ in Gefahr. Dann verliert man eventuell nicht nur den Zugriff auf den eigenen Facebook-oder Twitter-Account, sondern gleich auch noch die Kreditkarten-Daten vom Amazon-Konto und die privaten Fotos aus dem Cloudspeicher bei flickr oder Google. Das ist natürlich dann fatal.

Was empfehlen Sie als Gegenmaßnahme?

Auch wenn es manchmal lästig scheint: Man sollte sich auf jeden Fall die Mühe machen, für jeden Dienst ein eigenes Passwort zu erstellen. Das tun zwar laut unserer Studie immerhin schon 41 Prozent der Internetnutzer, allerdings sehen wir da noch deutliches Potenzial für mehr Sicherheit. Darüber hinaus sollte man Passwörter routinemäßig wechseln – also in regelmäßigen Abständen für die genutzten Dienste ein neues Passwort vergeben, das erhöht die Sicherheit enorm. Auch hier zeigt unsere Studie allerdings Defizite: Rund ein Drittel der Befragten behalten ihr Passwort länger als ein Jahr bei oder haben es sogar seit Registrierung nicht mehr geändert – da müssen wir ansetzen und die Leute zu mehr Sorgfalt animieren.

Wie sähe denn das perfekte Passwort aus?

Das perfekte Passwort gibt es eher nicht. Aber ein gutes Passwort sollte mindestens acht Zeichen haben, darunter Groß- und Kleinbuchstaben, Ziffern, und möglichst auch Sonderzeichen. So ein Passwort lässt sich übrigens ganz leicht mit der so genannten Satzmethode erstellen: Denken Sie sich einfach einen Satz aus, zum Beispiel „Das ist mein sicheres Passwort für WEB.DE“. Dann nehmen Sie nur die Anfangsbuchstaben in Groß und Klein, also DimsPfW, ersetzen das i noch durch die Ziffer 1 und machen ein Ausrufezeichen hinten dran. Mit D1msPfW! haben Sie dann ein Passwort, das wirklich nicht leicht zu knacken ist.

Abschließend: Gibt es ein Studienergebnis, das für Sie überraschend kam?  

Tatsächlich positiv überrascht war ich davon, dass die Passwörter im Vergleich zum Vorjahr komplexer werden. Viele Deutsche haben gelernt, dass ein starkes  Passwort einen Mix aus Sonderzeichen, Ziffern sowie Groß- und Kleinschreibung aufweist. Gleichzeitig verwenden immer weniger Leute persönliche Informationen wie Geburts- oder Hochzeitstag. Viel eher kommen jetzt Fantasiewörter und auch die Satzmethode zum Einsatz. Das sind für sich genommen sehr schöne Entwicklungen.  Auf der anderen Seiten hat sich die Erkenntnis, dass jeder Dienst ein eigenes Passwort benötigt, noch nicht durchgesetzt. Und auch die Bereitschaft zum regelmäßigen Passwortwechsel ist noch zu wenig verbreitet.