Da­ten­schutz­tag 2022: Mit Pass­wort­ma­na­gern zu mehr Cy­ber­si­cher­heit

Das Nationale Zentrum für Cybersicherheit (NCSC) beschreibt die Bedrohungslage folgendermassen: Sowohl Rechner und Mobiltelefon als auch unterschiedliche Online-Dienste verlangen die Vergabe eines Passwortes. Schlecht gewählte oder zu kurze Passwörter stellen ein erhebliches Sicherheitsrisiko dar. Daher ist es bei vielen Internetnutzern noch heute Usus, sich der Einfachheit halber ein starkes Passwort zu merken und dieses für verschiedenste Dienste zu verwenden.

Allerdings zirkulieren im Internet unzählige Listen mit Login/Passwortkombinationen, die irgendwo abgeflossen sind. Meist handelt es sich dabei um Datenabflüsse bei Internetdiensten. Die Daten können auch aus Phishingversuchen stammen. Angreifer sammeln solche Listen, stellen diese neu zusammen und starten mit diesen Passwörtern automatisierte Angriffe auf andere Dienste in der Hoffnung, dass eine Person ein Passwort für mehrere Dienste verwendet.

Wenn Angreifer beispielsweise im Besitz der Zugangsdaten für Ihren E-Mail-Dienst sind, starten sie mit den gleichen Login-Daten automatisierte Anfragen auf Web-Shops, Onlinebanken oder sogar Firmenkonten.

Aufgrund dieser Arbeitsweise des Untergrundmarktes kann das immer gleiche Passwort bei einem Abfluss bei einem Internetdienst dazu führen, dass de facto alle Zugänge in die Hände von Kriminellen fallen. Daher ist eine der vorgeschlagenen Massnahmen der Einsatz eines Passwortmanagers. Er erlaubt es individuell, für jeden genutzten Online-Dienst starke Kennwörter zu generieren und zu verwalten. Der Aufwand im Falle eines Datenabflusses, bei allen Diensten neue Passwörter zu setzen, wenn diese einem überhaupt noch alle präsent sind, kann sich somit schnell zu einer zeitintensiven Aufgabe auswachsen.

Die Informatikabteilungen von Gemeinden, Schulen, Verwaltung und privaten Organisationen sind angesichts der zunehmenden Cyberrisiken gefordert. Doch Homeoffice, Fernunterricht und die Nutzung privater Geräte für geschäftliche Angelegenheiten verlangen von jeder einzelnen Person ein immer stärkeres Verständnis und Engagement für die Sicherheit von Personendaten aber auch anderen Daten. Sie sind bei immer mehr Online-Plattformen registriert und müssen für jeden dieser Dienste ein Passwort erstellen. Dabei sollte immer ein anderes Passwort eingesetzt werden. Diese Anforderungen können ohne Hilfsmittel nicht erfüllt werden. Stattdessen oder gerade deswegen wählen viele immer noch einfachste Passwörter und verwenden sie mehrfach.

Zum Datenschutztag veröffentlicht die Datenschutzbeauftragte ein Video von Laura Weber, Studentin Cast der Zürcher Hochschule der Künste (ZHdK). Es zeigt eine Situation, die alle betrifft. Alle möchten die Logins mit starken Passwörtern schützen, sind aber überfordert und nahe am Aufgeben. «Es ist unfair, wie einzelnen Personen eine Verantwortung übertragen wird, die sie realistischerweise nicht wahrnehmen können», sagt die Datenschutzbeauftragte Dominika Blonski. Sie will den Datenschutztag nutzen. Deshalb bietet das Video konkrete Hilfestellung: Passwortmanager sind ein Ausweg aus dieser Lage. Diese Programme mögen zuerst etwas Mehraufwand bedeuten. Doch früher oder später werden irgendwo Logins gehackt und dann können gehackte Passwörter einfach gewechselt werden.

Passwortmanager führen in den meisten Fällen zu einem bedeutenden Sicherheitsgewinn, da sind sich die Datenschutzbeauftragte und das Nationale Zentrum für Cybersicherheit einig. Sind sie einmal installiert, übernehmen sie die Verwaltung der Passwörter. Diese können so kompliziert sein wie nur möglich, die oder der Einzelne muss sich nicht mehr darum kümmern.

Die Datenschutzbeauftragte stellt auf ihrer Website ein Merkblatt zur Verfügung, in dem verschiedene Passwortmanager technisch verglichen werden. Kostenlose Opensource-Programme haben sich bewährt. Kostenpflichtige Produkte sind hingegen etwas einfacher in der Handhabung.

Alles steht und fällt mit dem Masterpasswort. Die Passwörter der Vielzahl von Logins können so komplex sein, dass wir uns keine Sekunde daran erinnern. Das Passwort für die Datenbank des Passwortmanagers muss jedoch stark sein und im Gedächtnis bleiben.

Der neugestaltete Passwortcheck der Datenschutzbeauftragten hilft. Passwortcheck.ch enthält Tipps, wie ein gutes Passwort erstellt werden kann. Der Passwortcheck selbst dient auch dem Ausprobieren von Möglichkeiten. Die Berechnung der Stärke Passworts verändert sich während der Eingabe. Die Benutzerinnen und Benutzer sehen also laufend, welche Veränderungen das Passwort stärker macht.

Passwörter sollen ihre Logins auf Computern schützen. Ihre Stärke kann entsprechend mathematisch berechnet werden. Oliver Hirschi, Dozent der Hochschule Luzern, erklärt in seinem Webinar welche Faktoren ein Passwort sicher oder eben unsicher machen.