Immer wieder gibt es Medienberichte über gestohlene Passwörter und Datenklau. Erst im Dezember 2018 machte der grossangelegte Angriff eines 20-jährigen auf die Online-Konten von 1000 Politikern und Prominenten Schlagzeilen – ebenso der bekannt gewordene Hacker-Angriff auf das Reservationssystem der Hotelkette Marriott. Dabei wurden E-Mail-Adressen und Passwörter von 500 Millionen Gästen gestohlen. Um solche Vorgänge möglichst zu verhindern, kann auf zwei Arten vorgesorgt werden:

• Umsichtiger Umgang mit den persönlichen Online-Konten
• Aktiver Unterhalt der eigenen Website durch regelmässige Wartung (Sicherheitsupdates) und 2-Faktor-Authentifizierung

Als Teil einer Blog-Serie befassen wir uns in einem ersten Schritt um die Seite der Nutzerinnen und Nutzer.

Setzen Sie pro Online-Konto ein individuelles Passwort. Bei grossangelegten Hacker-Angriffen werden immer wieder Nutzerdaten veröffentlicht. Wenn Sie davon betroffen sind und überall das identische Passwort verwenden, können sich Hacker auf allen Ihren Online-Konten mit Ihren Angaben einloggen. Bei der Hotelkette Marriott wurden Ende 2018 die Zugangsdaten von 500 Millionen Gästen gehackt. Es liegt nahe, dass viele Gäste die gleiche Kombination von E-Mail und Passwort auch beispielsweise auf Amazon oder Gmail nutzen, wodurch nicht nur das Online-Konto bei Marriott, sondern eine ganze Reihe weiterer Konten gehackt werden könnte.

Unter den Top-20-Passwörtern, die Schweizerinnen und Schweizer nutzen, befinden sich «123456», «hallo» oder «blabla». Es ist wohl selbsterklärend, dass dies keine sicheren Passwörter sind. Theorien, wie ein sicheres Passwort zusammengesetzt werden kann, gibt es viele. Auf diese möchten wir hier auch gar nicht eingehen. Die beste Methode ist nämlich, sich ein langes Passwort mit einem Passwort-Generator generieren zu lassen. Ein Passwort wird dabei aus scheinbar zufällig aneinander gereihten Buchstaben, Sonderzeichen und Ziffern zusammensetzt. Dafür empfehlen wie die Nutzung eines Passwort-Managers, welcher immer auch einen Passwort-Generator mit dabei hat.

Die im Rahmen unseres Unterhaltsangebots betreuten Website unterliegen strikten Passwort-Richtlinien. Damit erzwingen wir eine gewisse Passwort-Sicherheit – zu Ihren Gunsten. Sobald Sie Ihr Passwort ändern, wird Ihnen automatisch ein starkes Passwort vorgeschlagen und wir erzwingen folgende Massnahmen:

• Das Passwort muss mindestens 12 Zeichen enthalten
• Das Passwort muss neben Buchstaben auch Ziffern enthalten

Durchschnittlich hat eine Person ca. 120 Online-Konten. Dabei kann es schwierig werden, den Überblick zu behalten. Ein Passwort-Manager hilft: Er hat die Funktionsweise eines Tresors. Durch Eingabe eines einzigen Passworts gelangen Sie zu sämtlichen Zugangsdaten von Online-Konten. Für neue Konten generiert er sichere Passwörter und speichert sämtliche Einträge verschlüsselt ab.

Es existieren verschiedene Anbieter:

• Betriebssystemeigene: Apple bietet den «Schlüsselbund», der über die iCloud auch über alle Geräte hinweg verwendet werden kann. Auch Windows hat einen entsprechenden Dienst, der jedoch nicht sehr nutzerfreundlich ist. Diese vom Betriebssystem zur Verfügung gestellten Applikationen sind sehr nützlich – einziger Nachteil: Passwörter können nicht mit anderen geteilt werden (z.B. mit dem Partner oder der Familie).
• Für Apple, Windows und Smartphones ist 1Password eine etablierte Lösung, die allerdings kostenpflichtig ist (3$ pro Monat). Dafür können Passwörter geteilt und auch auf verschiedenen Geräten eingesetzt werden.
• Ähnlich wie 1Password funktioniert Bitwarden – dieser Dienst ist kostenlos verfügbar, allerdings mit der Einschränkung, dass Informationen nur mit einer zweiten Person geteilt werden können. Erst mit einem Premium-Account lassen sich weitere Funktionen freischalten.

Bei einer Zwei-Faktor-Authentifizierung (auch 2-Factor-Authentification oder 2FA) wird bei jedem Login-Vorgang zusätzlich zum Passwort eine weitere Authentifikation verlangt. Das kann beispielsweise ein Code per SMS sein oder ein Code, der über eine spezielle App bezogen werden kann. All diese Codes sind zeitlich beschränkt. Dadurch ist eine viel höhere Sicherheit garantiert. Eine solche Authentifizierung kennen Sie wahrscheinlich schon länger von ihrem E-Banking – doch auch bei Facebook, ihrem E-Mail-Konto oder Onlineshops wie Digitec können Sie eine Zwei-Faktor-Authenfizierung aktivieren.

Lesen Sie mehr zur Zwei-Wege-Authentifizierung in unserem Wissens-Beitrag.

Das sensibelste Online-Konto ist das Ihrer E-Mail-Adresse. Hat jemand dieses Passwort geknackt, ist der Zugriff auf alle anderen Konten möglich. Bei der Passwort-Wiederherstellen-Funktion, die jeder Online-Dienst zur Verfügung stellt, wird eine E-Mail zum Zurücksetzen des Passworts an Ihre E-Mail-Adresse geschickt. Wenn Hacker Zugriff darauf haben, können sie für jedes Ihrer Konten ein neues Passwort generieren.

Unternehmen haben in fast allen Ländern die Pflicht, einen Hacker-Angriff mit anschliessendem Datenleck (einen sogenannten Data-Breach) bei der entsprechenden Stelle zu melden. Ob Ihre E-Mail-Adresse und Ihr Passwort im Rahmen eines Datenlecks veröffentlicht wurde, können Sie auf einer der folgenden Websites überprüfen (am besten auf allen drei, weil keiner der Dienste über eine vollständige Meldeliste verfügt):

• Mit dem Tool von experte.de. Hier kann übrigens auch geprüft werden, wie sicher ein Passwort ist!
• Im Online-Tool des Hasso Plattner-Instituts
• Auf der Website Have I Been Pwned

Die Funktionalität der Zwei-Faktor-Authentifizierung ist Teil des Unterhaltsangebotes von MIND. Dieses Angebot stellt die aktive Überwachung und Aktualisierung der Website sicher und sorgt damit für eine grösstmögliche Sicherheit.