Ein Dauerbrenner in der IT Sicherheit ist das „Password“. Beinahe jede Woche kann man etwas zum Thema lesen.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Mal sind es Empfehlungen für Password-Manager, dann wieder Hinweise, wie man clevere und merkbare Passworte und Passphrasen erfindet oder Berichte über ein Unternehmen, welches mit einem Passwortdiebstahl größeren Umfangs konfrontiert ist.

Aktuell ist wieder mal eine Sammlung von Passworten im Gespräch, die als „Collection #1“ bezeichnet wird. Mehr als 700 Millionen E-Mail-Adressen und über 20 Millionen Passworte sind darin enthalten.
In der Presse liefern sich Panik-Mache-Berichte und konstruktive Informationen ein Kopf-an-Kopf-Rennen. Mal liegt der eine Typ vor, mal der andere. Aber vielen ist eins gemeinsam, die Unsicherheit, was diese Datenmenge für den Anwender bedeutet.

Experten raten dazu, alle Passwörter für die Online-Accounts zu verändern. Ein toller Tipp – denn manche Anwender sind dann mehrere Stunden damit beschäftigt, ihre Passworte zu modifizieren. Denn alle Accounts, welches möglicherweise kompromittiert wurde, müssen mit einem neuen Passwort abgesichert werden. Und da man ja nicht „MeinPW-$-istSicher.001“ verwenden kann und dann einfach die Nummer am Ende hochzählt (oft gesehene Praxis, aber unsicher), ist Kreativität gefragt.

Klar, 40 Passwortphrasen, die merkbar sind und sich alle gut unterscheiden denkt man sich mal eben so aus. Das Argument, dass potentiell jeder Passwortwechsel ein schwächeres Passwort erzeugt wir nicht weiter beachtet – wie denn auch, solange obskure Regeln (Passwort muss Groß- und Kleinbuchstaben enthalten, mindestens 8 Zeichen lang sein, …) auf eine Einhaltung der Regeln achten, und so einen „Compliance-Check“ vorgeben, ohne tieferen Sinn und Verstand (Wobei im täglichen Leben nicht wenig IT-Nutzer „Compliant“ mit „Sicher“ übersetzten!).

Wieviel Accounts hat der Nutzer? Nun 20 bis 40 ist durchaus üblich.  Aber seien wir ehrlich, ob der Newsletter des Schuh-Anbieters, den man abonniert hat, der Online-Account des Auto-Konfigurators oder der Zugriff auf die wöchentlichen Sonderangebote des Pizzadienstes um die Ecke sind nun keine Accounts, die elementar wichtig sind. Wenn ein Hacker nun über unseren Account sein Traum Auto konfigurieren kann – viel Spaß damit.

Um es auf den Punkt zu bringen – rund 10% der Online-Accounts, die wir nutzen sind wirklich für uns wichtig, der Rest ist angesammeltes Beiwerk.
Wenn nun aber die Pauschalaufforderung ergeht, ALLE Passworte zu ändern, ist dass einfach unsinnig und nicht zweckdienlich.

Zumal über den Zeitpunkt, da Zugangsdaten gestohlen, abgegriffen oder kopiert wurden üblicherweise keine Informationen vorliegen, kann es durchaus sein, dass Passwörter zwischenzeitlich schon längst verändert wurden und nicht mehr funktionieren.

Also wenn man Passwörter ändert, dann für die TOP-Accounts, die man wirklich täglich oder minimal wöchentlich nutzt – bzw. die, welche mit Finanzdienstleistungen bzw. eigenen Kontodaten verbunden sind. Wobei gerade letzter Gruppe sehr restriktiv gehandhabt werden muss!

Wobei man sich aber bei einem Vorfall im Vorfeld auch um Detailinformationen bemühen sollte. Denn wenn die Passwörter verschlüsselt gespeichert wurden, ist die Gefährdung für des Missbrauchs den Enduser weitaus geringer. Denn wurden die Passwörter durch den Anbieter verschlüsselt gespeichert, ist ein Gebrauch für den Datendieb deutlich erschwert bzw. sogar ganz unmöglich oder steht in keinem Verhältnis des Aufwands zum Nutzen.

Anwender sollte aber sich selbst fragen, ob Sie weiterhin auf die Zusammenarbeit mit einem Unternehmen Wert legen, welches sich a) Daten stehlen lässt und b) Zugangsdaten auch noch im Klartext abspeichert und c) dies nicht zeitnah, vollumfänglich kommuniziert.

Wer IT Sicherheit nur konsumiert, ohne Basics zu hinterfragen, darf sich nicht wundern, wenn es an einer Basis-Sicherheit fehlt.

Daher fünf Empfehlungen:

1. Prüfen Sie, wem Sie Ihre Online-Daten anvertrauen und was damit geschieht (soweit machbar)
2. Beschränken Sie Finanzinformationen im Online-Bereich auf ein Minimum
3. Wenn Vorfälle bekannt werden und Sie davon betroffen sind, verifizieren Ihre TOP-Accounts und ändern Sie Ihre Zugangsdaten
4. Nutzen Sie, wenn angeboten, erweiterte Sicherungsmechanismen einer Online-Kennung aus (z.B. 2-Faktor-Authentifizierung)
5. Überarbeiten Sie 2x im Jahr Ihre Online-Accounts und löschen Sie alle, die Sie nicht verwenden