Nie wieder merken: Eine Zukunft ohne Passwörter
Passwörter sind ein echtes Dauerthema in der IT-Sicherheit. Erst sollen sie immer länger und komplexer werden, dann immer anders und ständig aktualisiert. Zudem bitten jetzt viele Portale zusätzlich um Handynummern, Apps oder Geräte zur Authentifizierung. Wie soll das im Alltag zu managen sein? Neuere Ansätze verfolgen dabei eine ganz andere Richtung: Gar kein Passwort mehr.
Sind wir ehrlich: Passwörter sind ein Problem. Sie werden ständig und überall verwendet, aber niemand kann sie sich merken. Dazu werden sie immer komplexer, da sie aus immer mehr verschiedenen Zahlen, Buchstaben und Sonderzeichen bestehen sollen. Um es sich leicht zu machen, benutzen Menschen oftmals dieselben Passwörter immer wieder oder schreiben sie auf fliegenden Zetteln auf, die dann verloren gehen.
Doch das ist bei weitem nicht das größte Problem: Passwörter können auch geklaut werden. Ob vom Zettel abgelesen, im Browser kopiert oder durch Hard- und Softwaretricks gesammelt – Passwörter gelangen oft in die falschen Hände und können schwersten Schaden anrichten. Wie sieht die Zukunft der Passwörter aus? Und was können Sie in der Zwischenzeit tun, um Ihre Passwörter sicher zu machen?
⁎⁎⁎
⁎⁎⁎
1 Passwörter sind Identitätsschutz
Passwörter dienen im Kern dazu, die eigene Identität im Internet zu bestätigen und diese zu schützen. Unsere Identität beweisen wir auch andernorts: Das blaue Häkchen neben dem Instagram-Namen verifiziert unseren Account. Zur Identität gehört auch die Überprüfung des Personalausweises, wenn wir einen Vertrag unterschreiben. Letztlich dient auch die telefonische Abfrage der Postleitzahl bei diversen Hotlines dazu, die Identität zu klären, bevor wir wichtige Informationen weitergeben.
Bei dieser Form des Identitätsschutzes geht es vor allem darum, ein sicheres aber auch möglichst einfaches System zu etablieren, bei dem immer eindeutig erkennbar ist, wer am anderen Ende der Leitung sitzt. Passwörter waren dabei bisher der beste Weg in der IT, aber wie sich immer wieder zeigt, bergen sie mitunter erhebliche Schwachstellen. Mittlerweile gibt es jedoch gute, neue Ansätze, um die Identität von Benutzer:innen eindeutig und sicher festzustellen.
⁎⁎⁎
2 Schwachstellen für Passwörter
Passwörter sind vor allem in drei Bereichen besonders gefährdet bzw. werden hier zur Gefahr:
Schwachstelle Hardware:
In erster Linie macht es veraltete Hardware einfacher, an lokale Daten zu gelangen. Alte Computer und Systeme unterstützen oft nicht mehr die neuesten Updates, zu denen auch Sicherheitsupdates für Festplatten (Server), Prozessoren oder auch Router gehören. Solche veralteten Sicherheitsstrukturen machen Angriffe viel einfacher. Sie sind nicht "secure by design", also von Grund auf im Sinne neuester Standards konzipiert, sondern erfordern zusätzliche Sicherheit von außen, z.B. durch Passwörter.
Ein sehr häufiger aber folgenschwerer Fehler ist zudem das Anlegen von Profilen ohne Passwort auf Geräten wie Laptops oder Handys. Dies wird oft nicht gemacht, damit man sich zum Beispiel morgens im Büro schneller am Computer anmelden kann. Doch das Fehlen eines Kennworts kann bei Verlust oder Diebstahl des Geräts zu Passwortklau führen – und natürlich vielem mehr.
Schwachstelle Software:
Selbst wenn die Hardware auf dem neuesten Stand ist und alle Sicherheits-Updates erfolgt sind, ist es immer noch möglich, in das System einzudringen. Betriebssysteme und auch einzelne Programme stoßen auch immer wieder auf Sicherheitslücken, welche durch Updates geschlossen werden müssen.
Viele Programme sind zudem mitunter dauerhaft mit dem Internet verbunden. Das bedeutet, dass sie als „Hintertür“ genutzt werden können, um sich an anderweitigen Sicherheitsmaßnahmen „vorbeizuschleichen“: Statt grundsätzlich Zugriff auf ein System zu haben, wird dieser von innen heraus über ein Einzelprogramm hergestellt und anschließend etwa mit Schadsoftware gesichert. Ist dieses Programm nur durch ein schwaches Passwort (oder eben das eine Passwort, welches überall genutzt wird) geschützt, ist der Zugriff möglich.
Dabei spielt auch Phishing eine größere Rolle. Dazu werden E-Mails oder bösartige Websites genutzt, um entweder personenbezogene Daten abzufragen oder die Anwendenden zum Herunterladen von Schadsoftware zu verleiten. In beiden Fällen wird dabei oftmals entweder ein Virus oder eine bösartige Software auf dem Computer oder Gerät installiert. Und wenn das bspw. am Arbeitsplatz passiert, dann ist durch den Virus oder die bösartige Software die gesamte Organisation gefährdet.
Jede installierte Software, jede heruntergeladene Datei, jede E-Mail im E-Mail-Programm wird so zu einer Schwachstelle. Auch Passwörter, die lokal gespeichert sind, zum Beispiel in einer ungesicherten Datei, sind eine enorme (aber oft vorkommende) Sicherheitslücke. Deshalb gilt grundsätzlich: Es ist es generell besser, Anwendungen, Dateien oder Mails in einem aktuellen Browser zu öffnen, als lokal auf dem Endgerät in einem Programm - selbst mit installiertem Virenschutz.
Schwachstelle Mensch:
Passwörter haben ihre Tücken. Sie können zu schwach sein, auf mehreren Systemen wiederverwendet, absichtlich an andere Benutzende weitergegeben oder auch technisch manipuliert werden. Aber das ist nicht die Schuld des Passworts. Auslösende sind zumeist eher wir selbst.
Der häufigste Angriffspunkt für Hackerattacken und Datendiebstahl ist nicht mehr die Maschine, sondern der Mensch. Kriminelle verwenden alle möglichen psychologischen Tricks, um Menschen dazu zu bringen, ihre Passwörter offenzulegen. Das hat vor allem auch ökonomische Gründe: Aufgrund der hohen Sicherheitsstandards moderner Hard- und Software ist das Eindringen mittels Hacking mittlerweile enorm teuer. Es braucht hohe Kenntnisse, viele Arbeitsstunden und sorgfältige Planungen. Dem gegenüber ist das Manipulieren von Menschen erheblich günstiger.
Gerade in der Politik wird oft der Mangel an Zeit und Aufmerksamkeit ausgenutzt. So kann es passieren, dass man in der Eile zwischen Sitzungen oder bei einer extremen Vielzahl von E-Mails auf einen Phishing-Link klickt, ohne es zu merken. Im turbulenten Arbeitsalltag neigen viel Beschäftigte zudem dazu, Passwörter zu wählen, die viel zu einfach und leicht zu knacken sind.
Eine weitere Ursache für den Passwortklau ist die Vermischung mit privaten Geräten, wenn etwa kein separates Diensthandy zur Verfügung steht. Das bedeutet, dass auch private E-Mail-Konten oder Social-Media-Accounts genutzt werden könnten, um von demselben Gerät aus auf dienstliche Daten zuzugreifen.
Dennoch liegt die Fehlerquelle nicht immer bei den Nutzenden, sondern oft an der mangelnden Unterstützung, zum Beispiel in Form von Notfallplänen oder einer guten Fehlerkultur. Angreifende wissen, dass innerhalb von vielen Organisationen durchaus ein Umgang vorherrscht, in dem sich Einzelne nicht trauen, Probleme zu melden oder Hilfe in Anspruch zu nehmen – da es etwa als Schwäche ausgelegt werden könnte. Mit gezielten Schulungen kann viel über Sicherheit erlernt und kleine, aber häufige Anwendungsfehler vermieden werden.
⁎⁎⁎
3 Umdenken in der Sicherheit
Heute wird anders über Sicherheit gedacht - nicht als Zusatz, sondern eben "by design". Systeme sind dementsprechend so konzipiert, dass sie von vornherein Sicherheit bieten und bspw. nicht auf Passwörter angewiesen sind. Ein gutes Beispiel dafür ist die biometrische Anmeldung, über die viele Smartphones heute verfügen. Nutzende am Handy sind oft bereit, ihr Gesicht, einen Fingerabdruck oder einen Scan ihrer Iris zu hinterlegen, um das Gerät schnell zu entsperren oder sich bei Apps anzumelden.
Die Hinterlassung solcher Zugangsdaten gilt grundsätzlich als sehr sicher, da die biometrischen Informationen (z. B. der Fingerabdruck) verschlüsselt auf dem Gerät selbst und nicht im Internet gespeichert werden. Das bedeutet, dass bspw. das Smartphone etwa durch eine Banking-App eine Anfrage bekommt, ob der Zugriff auf ein Konto sicher ist. Das Smartphone prüft den Fingerabdruck im Gerät und bestätigt die Echtheit. Die Banking-App erhält lediglich das OK des Smartphones – ohne, dass die biometrischen Daten ins Netz oder in die App gelangen.
Diese Trennung von Abläufen und Speicherungen sind ein weiterer Teil von „secure by design“. Im Wissen darum, dass Gefahren vor allem darin liegen, wenn alles an einem Ort liegt, werden Informationen und sensible (Teil-) Daten mittlerweile getrennt voneinander geschützt, etwa auch in Cloud-Infrastrukturen oder Passwort-Managern.
⁎⁎⁎
4 Der zweite Faktor
Die sogenannte „Zwei-Faktor-Authentifizierung“ (2FA) bietet eine weitere Schutzebene. Sie erfordert zwei Dinge von den Nutzenden - etwas, das sie wissen (Ihr Passwort) und etwas, das sie haben (z. B. ihr Smartphone). Das zweite kann der Fingerabdruck sein oder ein Einmalpasswort. Nur dann wird der Anmeldeversuch erfolgreich sein.
Der zweite Faktor ist zudem gar nichts Neues - tatsächlich funktioniert das gleiche Prinzip schon seit über 40 Jahren bei EC-Karten. In diesem Fall besteht das Sicherheitsprinzip aus einem Gegenstand (Bankkarte) und einer PIN-Nummer. Nur mit diesen beiden Faktoren zusammen können wir Geld abheben oder an der Kasse bezahlen.
Im IT-Bereich erspart der zweite Faktor den Nutzenden nun zunehmend die Vergabe von Passwörtern. Es ist nämlich nicht mehr so wichtig, ein extrem sicheres und einzigartiges Passwort zu wählen. Heutzutage funktioniert die Kombination aus einem einfachen Passwort und einem zweiten Faktor hervorragend.
Beispiele für den zweiten Faktor sind:
- Authenticator App:
Mit dieser App generieren Sie einen zufälligen, zeitbasierten numerischen Code, den Sie bei jeder Anmeldung zusätzlich zu Ihrem Passwort eingeben müssen. Weit verbreitet sind der "Google Authenticator" und der Microsoft Authenticator. Die App muss auf jedem Gerät separat eingerichtet werden, was bedeutet, dass ein Fremdgerät den entsprechenden Anmeldecode nicht generieren kann. Eine Herausforderung dabei ist, dass bei Verlust, Diebstahl oder Bruch des Smartphones ein Login erneut eingerichtet und verifiziert werden muss. Viele Anbietende haben hier aber entsprechend vorbereitete Möglichkeiten.
Ebenso ist hier auch eine besondere Form des Phishings möglich: Wenn mehrere generierte Einmal-Codes abgefangen werden, kann daraus ein Muster erkannt werden, sodass angreifende selbst Codes erzeugen können. Wenn bspw. eine gefälschte Seite vorgibt, einen weiteren Code zu brauchen, weil es einen technischen Fehler vortäuscht und jemand in der Eile mehrere Codes eingibt, "füttert" er ungewollt die Datenlage von Kriminellen. Daher: Lieber nochmal die URL prüfen. - Backup Codes:
Einige Websites generieren Backup-Codes, die für angemeldete Nutzende im Sicherheitsbereich einsehbar sind. Tatsächlich müssen solche Codes abspeichert, ausgedruckt oder aufgeschrieben werden. Sollte also mal kein Zugriff auf eine Authenticator-App bestehen, können in bestimmten Fällen auch diese Codes verwendet werden.
- Code per SMS/Anruf/E-Mail:
Weiterhin bieten viele Plattformen an, im Kundenkonto eine Telefonnummer und eine E-Mail-Adresse einzutragen, an die beim Einloggen immer vorab ein Code gesendet wird. Ähnlich funktioniert die TAN-Eingabe für das Online-Banking oder den Notzugang im Falle eines vergessenen Passworts. Hier besteht natürlich das grundsätzliche Risiko, sollten diese Geräte und Dienstleistungen nicht an sich schon schwach geschützt sein. - Neuer Ansatz: Der haptische zweite Faktor:
Neben der TAN gibt es etwa beim Online-Banking oder beim elektronischen Personalausweis auch kleine Geräte, mit denen man Kartendaten ablesen und sicher übermitteln kann. Für Passwörter gibt es zudem USB-Schlüsselanhänger als zweiter Faktor wie bspw. den YubiKey. Dieser wird entweder in den USB-Eingang gesteckt oder mittels NFC ans Smartphone gehalten und es wird ein komplexer Code als zweiter Faktor eingegeben. Mittlerweile unterstützen sehr viele Plattformen diese Möglichkeit.
Währenddessen arbeiten Konzerne wie Microsoft, Google und Apple mittlerweile gemeinsam an immer höheren Sicherheitsstandards. Deshalb gibt es schon bald einen Key, basierend auf der sogenannten FIDO-Sicherheitsarchitektur, eingebaut im Handy, sowohl auf Android als auch auf iOS. Das ganze Projekt findet unter dem Begriff "Passkeys" statt.
⁎⁎⁎
5 Tipp für noch mehr Sicherheit: Passwort-Manager
Einige System basieren aber weiterhin auf Passwörtern, insbesondere bei kleinen Anbietenden (z. B. Webshops). In diesem Fall ist die Unterstützung durch einen Passwortmanager eine gute Idee. Passwortmanager sind Cloud-basierte Anwendungen, auf die per Software, App oder Browser-Plugin zugreifen wird, um gespeicherte Passwörter einzusehen. Zusätzliche Sicherheit bieten Passwortmanager, die auf eigenen Servern gehostet werden.
Der Clou ist, dass hier zwei Sicherheitselemente miteinander verknüpft werden können: Zum einen wird ein „Masterpasswort“ genutzt, dass möglichst nirgends sonst verwendet wird und auch nirgends notiert wird – es kann also bspw. nicht durch Phishing abgefangen werden. Zum anderen wird bei der Ersteinrichtung, etwa auf einem Laptop, Smartphone oder im Browser, ein zweiter Faktor ergänzt.
Die sicherste Reihenfolge, die wir empfehlen, sieht folgendermaßen aus:
- Sie speichern alle Passwörter in den Passwortmanager.
Diese können immer anders sein und hochkomplex, Sie müssen sich diese nicht mehr merken.
Tipp: Nutzen sie auch individuelle E-Mail-Adressen, etwa "google-konto@meinewebseite.de"; sollte hier mal eine Kombination ins Phishing-Netz geraten, sind die anderen Konten weiterhin geschützt. - Sie generieren ein Masterpasswort, dass Sie nirgends sonst verwenden (sonst besteht wieder eine Phishing-Gefahr), am besten über die
DsiN-Passwortkarte.
- Sie verwenden als zweiten Faktor einen USB-Key wie von YubiKey.
- Sie melden sich mit dem MasterPasswort und dem Key in den Passwortmanager erstmalig auf dem entsprechenden Gerät an.
- Zusätzlich können Sie nun einen biometrischen Faktor einbauen, wenn Ihr Gerät das unterstützt, um fortan ohne Masterpasswort direkt auf die Passwörter zugreifen zu können. Das macht das Arbeiten im Alltag angenehm und dennoch sicher.
⁎⁎⁎
6 Jetzt gilt es, den nächsten Schritt zu machen
Es wird immer deutlicher, dass Passwörter offensichtlich nicht die Zukunft sind. Eine Zeit lang waren sie eine gute Lösung für den Schutz von Daten und Identität, durchaus nach dem Prinzip „besser als nichts“, aber mittlerweile orientiert sich generell die IT-Sicherheit eher an dem Verhalten von Nutzenden – und die haben nun genug gezeigt, dass sie von Passwörtern nicht ausreichend geschützt sind. Immerhin ist das beliebteste Passwort in Deutschland „123456“, gefolgt vom Passwort „Passwort“ – was zeigt, dass viele Menschen entweder überfordert sind oder zumindest ein falsches Sicherheitsgefühl in Bezug auf Passwortsicherheit haben.
Die zahlreichen Möglichkeiten müssen jetzt aber auch genutzt werden. Kontensicherheit ist der Hebel, es Cyberkriminalität aktuell so schwer wie möglich zu machen, da ein Hacking von Soft- und Hardware um ein Vielfaches teurer und aufwendiger ist. Das bedeutet auch: Wessen Konten sicher(er) sind, ist gleichzeitig weniger attraktiv und wird erheblich weniger angegriffen.
⁎⁎⁎
7 Interesse, mehr darüber zu lernen?
Alle wichtigen Informationen dazu erhalten Politiker:innen auf kommunaler, Landes-, sowie Bundesebene in unseren Schulungen. Sie lernen den sicheren Umgang mit Passwörtern, der Authenticator-App und Passwortmanagern, was ein gutes Passwort ausmacht und wie sie ein solches generieren.
Für alle Teilnehmenden haben wir die DsiN-Passwortkarte sowie YubiKeys kostenfrei dabei, sodass sie sofort den ersten Schritt in Richtung sichere Daten machen können!
KOMMEN WIR INS GESPRÄCH