Passwort-Guru Tobias Schrödel erklärt, warum das regelmäßige Wechseln der Zugangsdaten eine Menge Ärger ersparen kann.

Netzentdecker: Sichere Passwörter sind ja ein bisschen wie Darmspiegelung: Alle sagen, muss sein, dass man das immer mal wieder macht, aber in Wirklichkeit kommt man nicht dazu. Ich gestehe, ich bin froh, dass ich mir wenigstens dieses eine Passwort merken kann, was ich mir mal mühsam zusammengebaut habe.

 

Schrödel: Und deswegen verwendest du es überall?

 

Netzentdecker: Nun ja, ich glaube schon. Bin ich ein Idiot?

 

Schrödel: Nein, eher normal. Der Haken an der Sache ist, dass es leichtsinnig ist, wenn man beim Hunde- oder Katzen-Forum und beim Online-Banking dasselbe Passwort hat.

 

Netzentdecker: Das heißt, der klaut im Hunde- und Katzenforum mein Passwort und nutzt es überall anders?

 

Schrödel: Genau, oder, was viele unterschätzen: Es ist geklaut worden und zwar beim Anbieter. Man liest ja immer wieder, dass irgendwo 78 Millionen E-Mails und Passwörter geklaut wurden. Und die kann man im Darknet kaufen, diesem bösen Bereich des Internets. Da kaufe ich mir Passwörter und gucke, welche E-Mail-Adresse dazugehört. Ich probiere diese E-Mail-Adresse mit dem Passwort bei Amazon aus und werde reinkommen. Dann gehe ich zu PayPal, da kann ich Geld überweisen.

 

Netzentdecker: Jetzt höre ich, beim Hunde-Katzen-Forum sind Passwörter gehackt worden, dann ändere ich mein Passwort. Relativ einfach.

 

Schrödel: Wenn wir oder die betroffenen Firmen vom Klau wissen. Aber es gibt genügend Firmen, die merken das gar nicht oder erst nach sechs Monaten. Yahoo ist das beste Beispiel. Jahrelang wurden Daten abgezogen und der Klau erst Jahre später gemerkt. Auch das ist ein Grund, warum man wirklich regelmäßig sein Passwort einfach so ändern sollte.

 

Netzentdecker: Ich habe neulich eine Mail bekommen, die aussah wie Spam. Da stand aber: „Sehr geehrter Herr Schumacher, ihr Passwort lautet tralala. Wir haben das gehackt. Überweisen Sie ganz schnell Geld, sonst werden wir das gegen Sie verwenden.“

 

Schrödel: Diese Maschen gibt es in verschiedensten Varianten.

 

Netzentdecker: Das Passwort war fast richtig.

 

Schrödel: Dieser Mensch behauptet, das Passwort zu haben, aber auch, dass er die Webcam gehackt hätte und zugesehen hat, wie man Pornos guckt und einen dabei sogar fotografiert hat.

 

Netzentdecker: Pornos, was ist das? Nie gehört.

 

Schrödel: Alles klar. Und jetzt erschreckt man die Leute, weil die denken, sie seien tatsächlich erwischt worden.

 

Netzentdecker: Wenn das meine Mutti sieht …

 

Schrödel: Ich kriege Panik …

 

Netzentdecker: …weil ich einen unfassbar dümmlichen Gesichtsausdruck dabei gemacht habe.

 

Schrödel: Dieses Passwort hat jemand tatsächlich im Darknet gekauft und schreibt dich jetzt an. Es ist vielleicht ein altes Passwort, das bei dem Rauhaardackelforum geklaut wurde. Selbst wenn es das Passwort von deinem PC wäre, würde dich diese Person da nicht erreichen, weil sie deine IP-Adresse bräuchte. Die wollen Dir Angst machen, damit du bezahlst.

 

Netzentdecker: Da werden Hunderttausende solcher Mails rausgehauen in der Hoffnung, dass 0,1 Prozent panischer Menschen zahlen? Weiß man, ob bezahlt wird?

 

Schrödel: Ja natürlich zahlen welche.

 

Netzentdecker: Und niemand wird zur Polizei gehen, weil das ein peinlicher Bereich ist.

 

Schrödel: Das ist der Punkt. Das ist reine Angstmacherei, hinter diesen Mails steckt nichts. Einfach ignorieren.

 

Netzentdecker: 20 Passwörter regelmäßig ändern, wie soll das genau funktionieren? Ich kann mir gerade mal meine PIN merken.

 

Schrödel: Ich mache das alle zwölf Monate, zum Beispiel zwischen Weihnachten und Neujahr. Da ist sitzt man so rum und weiß gar nicht, was man tun soll. Da gehe ich die Passwörter durch und ändere vor allem die kritischen, alles, was eine Geldanwendung hat, wo eine Kreditkarte dahinter liegt. Wie merke ich mir sowas? Grundsätzlich kann ich mir ein einziges sicheres Passwort merken, indem ich mir zum Beispiel einen Satz nehme oder ein Lied mitsinge, den Refrain kenne ich auswendig oder ein Gedicht, oder ich denke mir einen Satz aus, den ich mir gut merken kann.

 

Netzentdecker: Veronika, der Lenz ist da.

 

Schrödel: Wunderbar. Dann könnten wir zum Beispiel hier immer die Anfangsbuchstaben nehmen.

 

Netzentdecker: Vdlid.

 

Schrödel: Genau, das ist noch ein bisschen kurz: Zehn bis zwölf Stellen sollten es sein. Schön wäre es, wenn ich in diesen Satz noch irgendwie eine Zahl reinkriege: „Schneewittchen lebt hinter den sieben Bergen bei den sieben Zwergen“…

…über sieben Brücken musst Du gehen…1000mal berührt…99 Luftballons…

…und dann brauchen wir noch ein Sonderzeichen. Das kann ein Schrägstrich sein, die Raute, ein Punkt, völlig egal. Hauptsache, ich habe da noch was drin. Warum muss das so? Weil eine Angriffsmethode heißt: Ich probiere alle Passwörter durch, die es gibt. So, und das mache ich strukturiert. Ein Laptop schafft etwa 30 Millionen Passwörter pro Sekunde durchzuprobieren. Wenn ich ein Rechenzentrum habe, potenziert sich diese Zahl. 300 Millionen, das sind alle Buchstabenkombinationen, die es nur gibt. 1,2,3,4,5,6. Das heißt, jedes Passwort bis sechs Stellen ist bei so einer Angriffsmethode in unter zehn Sekunden gefunden.

 

Netzentdecker: Ich sollte mein Passwort ändern …

 

Schrödel: Wir haben ja schon einen schönen Satz, eine Ziffer drin und ein Sonderzeichen. Das ist schon mal gut. Jetzt kann ich mir aber nicht 36 Sätze merken, wenn ich 36 Passwörter brauche. Deswegen suchst du dir irgendeine Stelle aus, sagen wir mal nach der dritten, und da schreibst du bei Amazon ein a rein, bei Ebay ein e, bei Outlook nimmst du ein O.

 

Netzentdecker: Diese Systematik verstehe sogar ich. Und ich muss mir nur jedes Jahr ein neues Lied ausdenken?

 

Schrödel: Genau.

 

Netzentdecker: Ich streite mit meinen Söhnen über unser heimisches WLAN von einem großen Anbieter mit der Erkennungsfarbe Magenta. Ist das Ding sicher oder nicht? Meine Jungs sagen, da kommt jeder Amateur rein. Ich sage, nein, das ist bestimmt wertarbeitsmäßig gesichert.

 

Schrödel: Die Telekom und auch Vodafone, die liefern keinen Schrott aus. Jetzt ist die Frage: Wie alt ist der Router, und wann habt ihr den aufgesetzt und konfiguriert?

 

Netzentdecker: Es war nach dem Krieg.

 

Schrödel: Wenn ihr ein WLAN habt, das eine WPA2-Verschlüsselung hat …

 

Netzentdecker: Ich glaube, hat es …

 

Schrödel: … dann komme ich da nicht rein. Außer ihr verwendet ein Passwort wie „Haus“ oder „Stuhl“.

 

Netzentdecker: Ne, wir haben da so eine Geheimtechnik mit Lieblingslied und Sonderzeichen.

 

Netzentdecker: Okay. Was sind noch klassische Fehler oder Einfallstore, die ich unterschätze?

 

Schrödel: Das Smartphone. Weil das ein Computer ist mit Telefonie-Funktion.

 

Netzentdecker: Meins …

 

Schrödel: … hat schon ein paar Jahre auf dem Buckel. Macht aber nichts. Funktioniert ja noch … Ich müsste mich jetzt täuschen, aber für das Galaxy S4 gibt es seit Jahren keine Updates mehr. Warum? Weil Samsung und natürlich die anderen auch immer neue Geräte verkaufen wollen.

 

Netzentdecker: Das heißt, ein altes Smartphone ist unsicherer?

 

Schrödel: Absolut.

 

Netzentdecker: Oh Gott, da habe ich gerade ein neues Smartphone, und jetzt ist es schon wieder unsicher.

 

Schrödel: Völlig egal ob Handy oder PC, die meisten Updates, die wir heute kriegen, schließen Sicherheitslücken. Die wenigsten Updates bringen neue Funktionen.

 

Netzentdecker: Ich kenne Menschen, die drücken diese Updates immer weg und sagen: „Ne, jetzt nicht …, hau ab …“

 

Schrödel: Das sind Leute, die für mich interessant sind.

 

Netzentdecker: Das heißt, man sollte immer updaten?

 

Schrödel: Unbedingt.

 

Netzentdecker: Mal eine persönliche Frage: Du verstehst viel von IT-Sicherheit und Hackerei … Warum bist du nicht ein anständiger Hacker geworden und Millionär in kurzer Zeit?

 

Schrödel: Ich kann gut leben. Und bin halt ein Schisser.

 

Netzentdecker: Warst du früher semilegal unterwegs?

 

Schrödel: Ich habe natürlich raubkopiert. Also die Spiele, die wir damals auf dem C64 oder dem Sinclair hatten, die haben wir natürlich kopiert und weitergegeben.

 

Netzentdecker: Siehst du für die nahe Zukunft ein Ende der Passwörter und neue Methoden wie Finger, Iris, Stimme, Gesichtserkennung?

 

Schrödel: Ja, ich sehe– nicht wirklich zeitnahe aber ich sage mal mittelfristig – ein Ende dieser extremen Passwortorgie, weil es mittlerweile auch verabschiedete Standards gibt, also seit ein paar Tagen erst, die mir helfen und sagen: Wenn ich erkenne, dass mein Handy neben dem Rechner liegt, wo ich mich jetzt mit meiner User-ID einlogge, dann brauche ich kein Passwort mehr eingeben. Weil die sagen einfach „passt“, das ist das Handy vom Schrödel, das kennen wir von früher. Dann brauchen wir kein Passwort. Wir glauben jetzt erstmal, dass er das ist. So und das heißt trotzdem, dass du alle fünf Tage vielleicht doch mal ein Passwort eingeben musst. Andere Frage: Wie oft kannst du dein Passwort ändern?

 

Netzentdecker: Im Leben?

 

Schrödel: Ja.

 

Netzentdecker: So oft ich will.

 

Schrödel: Genau. Und wie oft kannst du deinen Finger ändern beim Fingerprint-Server?

 

Netzentdecker: Zehnmal … je nachdem, welcher Finger. Ich kann noch die Zehen dazu nehmen, dann habe ich 20. Iris-Scan? Zweimal. Gesichtserkennung? Einmal.

 

Schrödel: Der Chaos Computer Club hat schon 2014 Fingerabdrücke gehackt, ein Mensch, der heißt Starbug, der ist grandios. Der ist Biometrie-Spezialist. Der kann Fingerabdrücke aus Holzleim nachmachen. Der ist mittlerweile soweit, dass die mit einem normalen großen Teleobjektiv auf einer Pressekonferenz von Politikern beim Winken die Fingerabdrücke nehmen und nachmachen. Die Gesichtserkennung wurde auch schon geknackt. Ich glaube, das hat vier bis sechs Wochen gedauert. Aber der Aufwand war sehr hoch. Die haben einen professionellen Maskenbildner vom Film gebraucht, der mit Latex wirklich alles nachgebaut hat. Und Apple gibt ja auch zu, mit Zwillingen Probleme zu haben.

 

Netzentdecker: So ein Passwort ist ganz schön gut als Schutz, aber fordert mein Gedächtnis. Deshalb: Wie sicher sind eigentlich Passwort-Manager, diese kleinen Programme, die meine Passwörter verwalten und mir das Erinnern sparen?

 

Schrödel: Das ist ein Safe, ein Tresor, in den ich alle meine Passwörter reinlege, und dann sperre ich den zu und zwar hoffentlich mit einem wirklich guten Passwort. Und immer, wenn ich eins brauche, mach ich den auf, hole das Passwort raus und muss es mir gar nicht merken. Das heißt, ich kann für jedes System ein total komplexes Passwort nehmen, dass ich mir null merken muss. Super Sache und wirklich zu empfehlen. In den guten Computerzeitschriften wie CHIP, C`t, Computerbild wurden viele Systeme getestet.

 

Netzentdecker: Bei manchen Browsern wie Chrome wird angeboten: „Passwort speichern“, und dann loggt der mich immer automatisch ein. Gute Idee?

 

Schrödel: Nein. Die kann man aufrufen. Da geht man in die Einstellungen und sagt: „Zeig mir alle Passwörter.“ Das Speichern eines Passworts im Browser ist ungefähr, als ob du dir zu Hause eine super tolle teure Sicherheitstür mit drei Schlössern einbaust und immer alle Schlüssel steckenlässt.