Sicher unterwegs im Web – mit starken Passwörtern und einem umsichtigen Umgang

Durchschnittlich besitzt eine Person rund 120 Online-Konten – eine immense Anzahl und eine riesige Angriffsfläche: Denn tagtäglich passieren Hacker-Angriffe, bei denen sensible Daten gestohlen werden könnten. Der Schutz von persönlichen Online-Konten ist aktueller denn je. Auch für uns hat dieses Thema hohe Priorität. Auf der Nutzerinnen- und Nutzer-Seite ist dabei ein sicheres Passwort zentral.

Immer wieder gibt es Medienberichte über gestohlene Passwörter und Datenklau. Erst im Dezember 2018 machte der grossangelegte Angriff eines 20-jährigen auf die Online-Konten von 1000 Politikern und Prominenten Schlagzeilen – ebenso der bekannt gewordene Hacker-Angriff auf das Reservationssystem der Hotelkette Marriott. Dabei wurden E-Mail-Adressen und Passwörter von 500 Millionen Gästen gestohlen. Um solche Vorgänge möglichst zu verhindern, kann auf zwei Arten vorgesorgt werden:

  • Umsichtiger Umgang mit den persönlichen Online-Konten
  • Aktiver Unterhalt der eigenen Website durch regelmässige Wartung (Sicherheitsupdates) und 2-Faktor-Authentifizierung

Als Teil einer Blog-Serie befassen wir uns in einem ersten Schritt um die Seite der Nutzerinnen und Nutzer.

Was beinhaltet ein umsichtiger Umgang mit persönlichen Online-Konten?

Die Antwort auf diese Frage ist mehrschichtig – konkret empfehlen wir:

  1. Nutzen Sie ein Passwort nur einmalig – für jedes Online-Konto ein eigenes.
  2. Nutzen Sie ein Passwort, das von einem Passwort-Generator erstellt wurde.
  3. Nutzen Sie einen Passwort-Manager – der alle Passwörter verschlüsselt abspeichert.
  4. Nutzen Sie eine Zwei-Faktor-Authentifizierung – eine zusätzliche Sicherheitsstufe.
  5. Schützen Sie Ihr E-Mail-Konto am stärksten – weil dies das Tor zu allen anderen Online-Konten ist (Stichwort Wiederherstellungsfunktion für vergessene Passwörter)

Nutzen Sie ein Passwort nur einmalig

Setzen Sie pro Online-Konto ein individuelles Passwort. Bei grossangelegten Hacker-Angriffen werden immer wieder Nutzerdaten veröffentlicht. Wenn Sie davon betroffen sind und überall das identische Passwort verwenden, können sich Hacker auf allen Ihren Online-Konten mit Ihren Angaben einloggen. Bei der Hotelkette Marriott wurden Ende 2018 die Zugangsdaten von 500 Millionen Gästen gehackt. Es liegt nahe, dass viele Gäste die gleiche Kombination von E-Mail und Passwort auch beispielsweise auf Amazon oder Gmail nutzen, wodurch nicht nur das Online-Konto bei Marriott, sondern eine ganze Reihe weiterer Konten gehackt werden könnte.

Nutzen Sie ein Passwort, das von einem Generator erstellt wurde

Unter den Top-20-Passwörtern, die Schweizerinnen und Schweizer nutzen, befinden sich «123456», «hallo» oder «blabla». Es ist wohl selbsterklärend, dass dies keine sicheren Passwörter sind. Theorien, wie ein sicheres Passwort zusammengesetzt werden kann, gibt es viele. Auf diese möchten wir hier auch gar nicht eingehen. Die beste Methode ist nämlich, sich ein langes Passwort mit einem Passwort-Generator generieren zu lassen. Ein Passwort wird dabei aus scheinbar zufällig aneinander gereihten Buchstaben, Sonderzeichen und Ziffern zusammensetzt. Dafür empfehlen wie die Nutzung eines Passwort-Managers, welcher immer auch einen Passwort-Generator mit dabei hat.

Nutzen Sie einen Passwort-Manager

Durchschnittlich hat eine Person ca. 120 Online-Konten. Dabei kann es schwierig werden, den Überblick zu behalten. Ein Passwort-Manager hilft: Er hat die Funktionsweise eines Tresors. Durch Eingabe eines einzigen Passworts gelangen Sie zu sämtlichen Zugangsdaten von Online-Konten. Für neue Konten generiert er sichere Passwörter und speichert sämtliche Einträge verschlüsselt ab.

Es existieren verschiedene Anbieter:

  • Betriebssystemeigene: Apple bietet den «Schlüsselbund», der über die iCloud auch über alle Geräte hinweg verwendet werden kann. Auch Windows hat einen entsprechenden Dienst, der jedoch nicht sehr nutzerfreundlich ist. Diese vom Betriebssystem zur Verfügung gestellten Applikationen sind sehr nützlich – einziger Nachteil: Passwörter können nicht mit anderen geteilt werden (z.B. mit dem Partner oder der Familie).
  • Für Apple, Windows und Smartphones ist 1Password eine etablierte Lösung, die allerdings kostenpflichtig ist (3$ pro Monat). Dafür können Passwörter geteilt und auch auf verschiedenen Geräten eingesetzt werden.
  • Ähnlich wie 1Password funktioniert Bitwarden – dieser Dienst ist kostenlos verfügbar, allerdings mit der Einschränkung, dass Informationen nur mit einer zweiten Person geteilt werden können. Erst mit einem Premium-Account lassen sich weitere Funktionen freischalten.

Natürlich gibt es auch weitere Anbieter – der Datenschutzbeauftragte des Kantons Zürich hat eine hilfreiche Zusammenstellung inkl. einer Bewertung veröffentlicht.

Nutzen Sie eine Zwei-Faktor-Authentifizierung

Bei einer Zwei-Faktor-Authentifizierung (auch 2-Factor-Authentification oder 2FA) wird bei jedem Login-Vorgang zusätzlich zum Passwort eine weitere Authentifikation verlangt. Das kann beispielsweise ein Code per SMS sein oder ein Code, der über eine spezielle App bezogen werden kann. All diese Codes sind zeitlich beschränkt. Dadurch ist eine viel höhere Sicherheit garantiert. Eine solche Authentifizierung kennen Sie wahrscheinlich schon länger von ihrem E-Banking – doch auch bei Facebook, ihrem E-Mail-Konto oder Onlineshops wie Digitec können Sie eine Zwei-Faktor-Authenfizierung aktivieren.

Für den Abruf der entsprechenden Codes benötigen Sie eine App. Dafür gibt es verschiedene Varianten, wie z.B. Google Authenticator oder Microsoft Authenticator. Auch die App Authy ist empfehlenswert. Schlussendlich können alle Apps dasselbe. Auch wenn Ihnen beim Einrichten der Authentifizierung eine bestimmte App empfohlen wird: wählen Sie anhand Ihrer persönlichen Präferenz.

Schützen Sie Ihr E-Mail-Konto am stärksten

Das sensibelste Online-Konto ist das Ihrer E-Mail-Adresse. Hat jemand dieses Passwort geknackt, ist der Zugriff auf alle anderen Konten möglich. Bei der Passwort-Wiederherstellen-Funktion, die jeder Online-Dienst zur Verfügung stellt, wird eine E-Mail zum Zurücksetzen des Passworts an Ihre E-Mail-Adresse geschickt. Wenn Hacker Zugriff darauf haben, können sie für jedes Ihrer Konten ein neues Passwort generieren.

Bin ich bereits gehackt worden?

Unternehmen haben in fast allen Ländern die Pflicht, einen Hacker-Angriff mit anschliessendem Datenleck (einen sogenannten Data-Breach) bei der entsprechenden Stelle zu melden. Ob Ihre E-Mail-Adresse und Ihr Passwort im Rahmen eines Datenlecks veröffentlicht wurde, können Sie auf einer der folgenden Websites überprüfen (am besten auf allen drei, weil keiner der Dienste über eine vollständige Meldeliste verfügt):

  • Checktool von MELANI – der Melde- und Analysestelle Informationssicherung des Bundes
  • Mit dem Tool von experte.de. Hier kann übrigens auch geprüft werden, wie sicher ein Passwort ist!
  • Im Online-Tool des Hasso Plattner-Instituts
  • Auf der Website Have I Been Pwned

Gerne beraten wir Sie

Möchten Sie als Website-Betreiberin oder -Betreiber gerne mehr Informationen für einen umfassenden Schutz? Kontaktieren Sie uns. Gerne beraten wir Sie bezüglich der Sensibilisierung Ihrer Nutzerinnen und Nutzer.