passwort abgeflossen bußgeld

Heartbleed: Sichere Passworte sind jetzt gefragt

/von

Mal wieder hat es mit dem sog. “Heartbleed bug” ein Programmierfehler bis in die Tagesschau geschafft. So unscheinbar er auch war – immerhin wurde er zwei Jahre lang nicht entdeckt – die Auswirkungen waren und sind dramatisch: Es war eben diese zwei Jahre lang möglich, durch Ausnutzung des Fehlers die SSL-Verschlüsselung von Internetseiten zu “überlisten”. Ob dieser Fehler in der Vergangenheit tatsächlich ausgenutzt wurde, ist unklar. Gerüchte, Geheimdienste wie die NSA hätten von der Sicherheitslücke gewusst und den Fehler über lange Zeit ausgenutzt, wurden umgehend dementiert.

Sicher ist aber, dass der Fehler jetzt ausgenutzt wird. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist aktuell darauf [Link entfernt, da das Ziel nicht mehr erreichbar ist] hin, dass es “weiterhin großflächige Scans nach für ‘Heartbleed’ verwundbaren
Servern registriert”.

Heartbleed ist noch nicht überstanden

Die Lage ist also immer noch unsicher und kann sicher so zusammengefasst werden, dass im Zweifel davon auszugehen ist, dass der Hearbleed bug ausgenutzt wurde und somit sämtliche Passworte kompromittiert sind und schnellstens geändert werden müssen. Das gleiche gilt für die Verschlüsselungszertifikate der Server, hier sind allerdings die Serverbetreiber gefragt.

Die großen Betreiber dürften schnell reagiert haben und die entsprechenden Patches und Korrekturen in ihren Servern eingespielt und auch die bis dahin genutzten Verschlüsselungszertifikate ausgetauscht haben.

Jetzt ist es an Ihnen, ihre sämtlichen Passworte einmal zu ändern. Und wo Sie schon mal dabei sind, wäre es jetzt auch an der Zeit, bei allen Ihren Passworten darauf zu achten, dass sie auch wirklich sicher sind. Was macht nun ein sicheres Passwort aus? Ganz einfach: Es ist ist schwer zu erraten. Dabei ist nicht nur gemeint, dass es von Menschen nicht erraten werden kann. Vielmehr bedeutet es auch, dass ein Computer, der nichts anderes tut, als Passworte durchzuprobieren, es nicht in annehmbarer Zeit schaffen wird, Ihr Passwort zu knacken. Das ist jetzt schon mal eine andere Hausnummer, oder?

Möglichst sinnlos bitte

Als ganz einfache Regel für gute Passworte gilt: Je länger, je sinnloser, je mehr Zeichen des Computer-Zeichenvorrats, desto besser.

Passworte mit einer Länge von weniger als 10 Zeichen sollten als unsicher angesehen werden, da die Zeit, solche Passworte automatisiert zu knacken mit den heutigen Rechenleistungen moderner Computer tatsächlich in greifbare Nähe rückt. Wenn der Server eines Dienstes ein 20-stelliges Passwort akzeptiert, sollten Sie diese angebotenen 20 Stellen um der Sicherheit Willen auch ausnutzen. Bietet er Ihnen mehr an: Nutzen!

Jetzt zum Passwort an sich: “Schatzilein-1997” lässt sich gut merken, ist deutlich länger als 10 Zeichen und enthält Buchstaben (klein und groß), Zahlen und Sonderzeichen. Leider ist es trotzdem ein schlechtes Passwort, denn es enthält ein echtes Wort. Moderne Hacker nutzen sog. Wörterbuchattacken, um solche Passworte zu knacken. Hierbei handelt es sich schlicht und einfach um eine brute-force-Methode: Alle Worte eines viele Millionen Worte umfassenden Wörterbuches werden nacheinander als Passwort automatisiert durchprobiert. Einzeln, in Kombination mit anderen Worten und in Kombination mit Zahlen, Daten, Sonderzeichen etc. Auch der vielgepriesene Trick bestimmte Buchstaben durch Zahlen zu ersetzen (A wird zu 4, S zu 5, I zu 1 etc.) ist seit längerem zu den Hackern durchgedrungen und stellt für diese keine wirkliche Hürde dar.

Es sind also härtere Mittel gefordert. Wie oben schon geschrieben: Sinnlose Passworte sind das Zaubermittel. Völlig zusammenhanglos kombinierte Zahlen, Klein- und Großbuchstaben und Sonderzeichen. Und das möglichst lang.
Und ganz wichtig: Für jeden Account ein eigenes Passwort. Auf keinen Fall sollten Sie Passwort-Recycling betreiben. Hierfür gibt es einen guten Grund.

Hilfe, meine Accounts sind weg!

Stellen Sie sich folgendes Szenario vor: Sie haben bei einem Online-Shop, bei Paypal und für Ihr E-Mail-Konto das gleiche Passwort. Dieses ist aufgrund des Heartbleed bugs vielleicht einem Hacker in die Hände gefallen. Kennt er Ihre E-Mail-Adresse (diese ist ja leicht herauszufinden), so kann jetzt folgendes passieren:

  1. Der Hacker logged sich in Ihr E-Mail-Konto ein und ändert das Passwort.
  2. Das gleiche beim Online-Shop und bei Paypal, damit haben Sie erst mal keinen Zugriff mehr auf diese drei Konten.
  3. Nun geht er hemmungslos auf Einkaufstour bei dem Online-Shop und bezahlt immer fleißig per Paypal.
  4. Sie haben keine Chance mehr, sich beim Online-Shop einzuloggen, da Sie das (neue) Passwort nicht kennen. Die “Passwort zurücksetzen”-Funktion können Sie auch nicht nutzen, denn Sie haben ja auch auf Ihr E-Mail-Postfach keinen Zuzgriff mehr. Das gleiche gilt für Paypal. Sie können jetzt also nur noch zusehen, wie sich Ihr Konto leert und versuchen, per Brief an den Online-Shop, Ihren E-Mail-Provider und Paypal etwas zu retten. Eine absolute Horrorvorstellung.

Passwort Manager

Zum Verwalten der vielen unterschiedlichen langen und schlecht merkbaren Passworte bieten sich übrigens sog. Passwort Manager an, die Ihnen teilweise auch das Ausfüllen der Anmeldemasken im Browser abnehmen. Dort werden die Passworte hochgradig verschlüsselt abgespeichert und mit einem zentralen Master-Passwort gesichert. Dieses Passwort ist dann das einzige, welches Sie sich noch merken müssen. Wenn Sie eine Epfehlung für einen solchen Passwort Manager benötigen: Ich möchte hier keine geben, aber Sie werden mit der Suchmaschine Ihres Vertrauens sicher den passenden finden. Es gibt sowohl gute kostenpflichtige, als auch gute kostenlose mit unterschiedlichem Funktionsumfang und für unterschiedliche Betriebssysteme.


Diesen Beitrag teilen

Das könnte Dich auch interessieren
direktmarketing orientierungshilfe dskDSK veröffentlicht neue Orientierungshilfe für Direktmarketing
einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoInformationspflichten – Teil 2
test echtdaten datenschutz datenübertragbarkeit portabilität bcr binding corporate rules datenschutzerklärung homepageTest mit Echtdaten und der Datenschutz
betriebsrat personal vortrag schulung seminar beschäftigungsverhältnis beschäftigte standortbestimmung dsgvo fachkunde fortbildungDie vielseitigen Anforderungen an einen Datenschutzbeauftragten
datenpanne meldepflicht passwörter bsi tom fidoIT-Sicherheit – muss es immer ein Passwort sein?
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehrenWeitere Urteile zur Reichweite des Aufkunftsanspruchs