Ob nun beim Banking, beim Shopping, beim Mailing, beim Musik- oder TV-Streamen, in Foren oder in den sozialen Netzwerken – nahezu überall, wo man als Privatperson heutzutage im Internet eigene Accounts anlegen muss, sind Passwörter gefragt. Möglichst sichere natürlich. Und um eine möglichst hohe Confidentiality, also Vertraulichkeit seiner Daten zu gewährleisten, sollte man nicht nur ein möglichst sicheres, sondern auch für jeden einzelnen Account ein möglichst individuelles Passwort wählen. Doch Vorsicht! Eines sollte jedem klar sein, der sich im World Wide Web herumtreibt und seine Daten in den digitalen Tiefen ablegt: Eine hundertprozentige Sicherheit gibt es nicht. Man kann und sollte jedoch versuchen, die Security-Layer rund um die eigenen sensiblen Daten so undurchdringlich wie möglich zu machen um so nahe wie möglich an den optimalen Schutz heran zu kommen. Zu diesem Zweck gibt es die eine oder andere Möglichkeit.
Faustregel hilft bei Passworterstellung
In der Industrie, speziell im OT (Operational Technology)-Bereich, ist Plant-Security ein hoch komplexes Thema, welches entsprechend geschultes Personal und profundes Fachwissen benötigt. Auch wenn Availability (Verfügbarkeit), Integrity (Integrität) und Confidentiality (Vertraulichkeit) der Daten dort wesentlich wichtiger sind, kann und sollte man im privaten Bereich selbst präventiv einige Maßnahmen für einen besseren Security-Status ergreifen. So kann man zum Beispiel den Sicherheitsgrad eines Passwortes verhältnismäßig schnell nach oben schrauben. Nämlich genau dann, wenn man sich an folgende Faustregel hält: Es sollte aus einem Mix aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen bestehen und dabei mindestens acht Zeichen umfassen. “Wer sich mithilfe eines Merksatzes ein sicheres Passwort erschaffen hat, kann seine Daten damit sehr gut schützen”, erklärte Florian Glatzner, Referent im Team Digitales und Medien beim Verbraucherzentrale Bundesverband, unlängst im Gespräch mit der Süddeutschen Zeitung. Nicht umsonst gelten individuell formulierte Merksätze, von deren Worten man lediglich den jeweiligen Anfangsbuchstaben nutzt und die man mit mindestens einer Zahl und einem Sonderzeichen anreichert, als äußerst schwierig zu knacken. So wird beispielsweise der Satz „Mein Hund heißt Bello und wurde am 28. Januar in Passau geboren“ zum Passwort MHhBuwa28.J@Pg
Daneben kann man dazu natürlich auch mit eigens zu diesem Zweck programmierten Passwortgeneratoren behelfen.
Alle Passwörter merken? Schwierig bis unmöglich!
Während das Erstellen möglichst widerstandsfähiger Passwörter also nicht allzu kompliziert ist, sieht das mit einem sicheren Aufbewahrungsort für diese sensiblen Informationen schon ein wenig anders aus. Gerade bei diejenigen unter uns, die regelmäßig auf mehreren Plattformen im WWW unterwegs sind, kann sich die Anzahl der unterschiedlichen Passworte schnell im zweistelligen Bereich bewegen. Und sich diese alle zu merken, dürfte – trotz oben genannter Eselsbrücke – schwierig bis unmöglich sein.
Stellt sich also die Frage: Wie bzw. wo kann man die eigenen gesammelten Passworte als Privatperson möglichst sicher aufbewahren?
Glücklicherweise gibt es doch die eine oder andere Möglichkeit, so zum Beispiel…
…die Niederschrift auf Papier:
Grundsätzlich ist es sinnvoll, ein sicheres, schwierig zu merkendes Passwort zu nutzen und aufzuschreiben. Das bestätigte das Bundesamt für Sicherheit in der Informationstechnologie (BSI) auf NTV-Nachfrage. Nachvollziehbar. Denn Hacker und andere Cyberkriminelle dürften in den seltensten Fällen in die Räumlichkeiten von Privatpersonen einbrechen, um dort nach einer schriftlichen Passwortliste zu suchen und diese zu stehlen. Nicht umsonst empfiehlt das BSI: “Notieren Sie Ihre Passwörter auf Zetteln und bewahren Sie diese räumlich getrennt von Ihrem Rechner an einem sicheren Ort auf.”
Doch bei aller Sicherheit kann diese Art der „Speicherung“ im Alltag Komplikationen nach sich ziehen. So kann man bei dringendem Bedarf nicht spontan von überall auf seine Passwörter zugreifen. Und: Wird die Liste unleserlich oder geht gar verloren, gibt es ein großes Problem.
Ein Master-Passwort für viele Passwörter
Hier kann die Niederschrift in einem digitalen Dokument zumindest etwas Abhilfe schaffen: Die etwas modernere, da zumindest digitale Variante ist, am Computer ein Dokument anzulegen und dieses gut verschlüsselt offline oder auf einem nicht mit dem Internet verbundenen Speichermedium zu sichern. Für die Verschlüsselung gibt es einige Programme, auch kostenlose. So muss sich der Nutzer lediglich ein besonders starkes „Master-Passwort“ merken, um Zugriff auf die eigens erstellte Passwort-Liste zu bekommen.
Möchte man auch von unterwegs aus auf seine Passwortliste zugreifen können, kann man die entsprechende Liste natürlich auch auf einem mit dem Internet verbundenen Speichermedium wie in einer einfachen Notiz-App eines Smartphones bzw. in einer Cloud-Lösung ablegen. Doch auch hier ist Vorsicht geboten: Ein unerwünschter Fremdzugriff ist nicht vollends ausschließen. Aus diesem Grund sollten die Daten hier ebenfalls ausschließlich verschlüsselt abgelegt werden.
Eine zweite Ablage-Möglichkeit für die eigenen Passwörter ist der Passwortmanager:
Derlei Programme bieten die komfortabelste Möglichkeit zur PIN- und Passwort-Verwaltung und es gibt sie sowohl als Online- als auch als Offline-Lösung.
Die einschlägigen Tests von Passwort-Managern enden in der Regel stets mit der Empfehlung eines Offline-Passwort-Managers.
Warum?
Die Antwort ist recht simpel, denn: Bei Online-Passwort-Managern wird dem Nutzer immer ein Teil der Absicherung durch Third-Party-Server ‚abgenommen‘ und somit undurchschaubar gemacht. Man muss dem betreffenden Third-Party-Anbieter also vertrauen (können). Und auch dieser ist nicht zu 100 Prozent vor Cyber-Angriffen und unerwünschten Fremdzugriffen gefeit. Den Offline-Passwort-Manager kann man – ebenso wie das zuvor angeführte digitale Dokument – übrigens auch via Cloud verteilen und zudem vor dem Hochladen in die Cloud auch noch einmal verschlüsseln.
Fingerabdruckscanner als Zusatzhilfe
Zudem gibt es bei den Passwortmanagern ein weiteres Plus: Denn hier können die Daten nicht nur verschlüsselt gespeichert, sondern auch Kennwörter können in den meisten Fällen per Zufallsgenerator erstellt werden. Auch hier muss man sich lediglich ein (möglichst starkes) Master-Passwort für den Zugang merken bzw. speichern. Derlei Programme sind zudem als Applikationen für das Smartphone verfügbar. Einige dieser Apps unterstützen zur Entsperrung außerdem Fingerabdruckscanner am eigenen mobilen Endgerät, was nicht nur den Komfort, sondern auch die Security zusätzlich erhöht. Ist der Passwortmanager mit einem Cloud-Server verknüpft, sind die Daten auch im Falle eines Smartphone-Verlustes nicht auf Nimmerwiedersehen verschwunden. Zudem wird eine Synchronisierung auf all den (ausgewählten) Geräten ermöglicht.
Zwei-Faktor-Authentifizierung als weitere Zusatzhilfe
Abschließend noch ein Zusatztipp: Egal, an welchem Ort Sie Ihre Zugangsdaten letztlich speichern: Falls möglich, sollten Sie immer eine Zwei-Faktor-Authentifizierung verwenden. Dabei wird ein Konto zusätzlich abgesichert. Bei einer Art dieser Authentifizierung wird beispielsweise beim ersten Login zusätzlich ein Code ans Smartphone geschickt wird, ohne den eine Anmeldung unmöglich ist. Nicht umsonst betont Glatzner im SZ-Gespräch: “Eine 100-prozentige Sicherheit kann es nicht geben. Aber dennoch können Passwort-Manager sehr sinnvoll sein“. Gleichwohl gilt dies ebenso wie die vorangegangenen Tipps zur Passworterstellung und -ablage – wie eingangs bereits erwähnt – lediglich für den alltäglichen Gebrauch, nicht aber für OT (Operational Technology)-Bereich in der Industrie.
Erstmals als Video: Neue Kolumne von Dr. Andreas Helget ist online
Happy Birthday, IoT: Das Internet of Things feiert seinen 20. Geburtstag
