Online-Konten besser schützen

Passwörter bieten nur bedingt Schutz

02.05.2019
Von 
Andreas Türk ist Produktmanager bei Google.
Vor rund 40 Jahren kamen die ersten PCs auf den Markt. Seitdem spielen Passwörter bei der IT-Sicherheit eine zentrale Rolle. Sie haben aber viele Nachteile, weshalb mittlerweile ein ganzes Bündel an alternativen Strategien existiert, um Nutzerdaten zu schützen.
Wirklich komplexe Passwörter scheitern häufig an der Usability - häufig werden sie deshalb für mehrer Konten benutzt oder gleich auf Zetteln notiert.
Wirklich komplexe Passwörter scheitern häufig an der Usability - häufig werden sie deshalb für mehrer Konten benutzt oder gleich auf Zetteln notiert.
Foto: designer491 - shutterstock.com

Wie sieht ein gutes Passwort aus? Je nach Anbieter fällt die Antwort auf diese Frage durchaus unterschiedlich aus. Die einen verlangen Passwörter mit acht, die anderen mit 15 Zeichen. Die meisten empfehlen, dass ein Passwort Groß- und Kleinbuchstaben sowie Zahlen enthalten solle. Einige raten außerdem zu Satz- und Sonderzeichen. Bei all diesen genauen Vorgaben gerät allerdings leicht aus dem Blickfeld, dass die Sicherheit eines Online-Kontos zwar auch von der Gestaltung des Passworts, viel mehr aber vom Verhalten des Nutzers und der Sicherheitsarchitektur des Anbieters abhängt.

Seit der PC vor rund 40 Jahren seinen Siegeszug durch die Arbeits- und Wohnzimmer antrat, sind Passwörter aus dem Alltag der Nutzerinnen und Nutzer nicht mehr wegzudenken. Dabei hadern Experten schon lange mit ihren Nachteilen: Passwörter sind leicht zu klauen, aber schwer zu merken. Für die User ist es umständlich und zeitraubend, sie bei jeder Gelegenheit einzutippen. Weil es lästig ist, sie sich zu merken, neigen viele Nutzer dazu, das gleiche Passwort für mehrere Konten oder Geräte zu verwenden - womit sie ihre Sicherheit erst recht gefährden. Denn wird eines dieser Konten gehackt, sind immer gleich mehrere Konten betroffen.

Deswegen arbeiten Online-Unternehmen schon lange daran, die Bedeutung des Passwortschutzes für die Datensicherheit zu verringern und ihn durch andere Ansätze zu ergänzen. Überspitzt formuliert könnte man sagen, dass sie Passwörter abschaffen wollen - auch deshalb, weil Cyberkriminelle immer neue Mittel und Wege finden, Nutzerinnen und Nutzer auszuspionieren.

Spear-Phishing und Password Dumps als Gefahrenquellen

Beim Spear-Phishing personalisieren Angreifer eine Spam-Nachricht so geschickt, dass der Empfänger Mühe hat, die betrügerische Absicht zu erkennen.
Beim Spear-Phishing personalisieren Angreifer eine Spam-Nachricht so geschickt, dass der Empfänger Mühe hat, die betrügerische Absicht zu erkennen.
Foto: Profit_Image - shutterstock.com

Sorgen bereitet den Sicherheitsexperten vor allem das Spear-Phishing. Dabei personalisieren Angreifer eine Spam-Nachricht so geschickt, dass der Empfänger Mühe hat, die betrügerische Absicht zu erkennen. Oft genug können sie sich dabei persönlicher Details bedienen, die die Opfer selbst in sozialen Netzwerken oder Blogs über sich verraten. Eine betrügerische E-Mail mit solchen Informationen zu individualisieren, dauert nur wenige Minuten, kann die Effektivität eines Angriffs aber signifikant erhöhen.

Ein weiterer Gefahrenherd sind Password Dumps, was übersetzt so viel wie Passwort-Deponien heißt. Sie bestehen aus riesigen Listen, in denen Datendiebe gehackte Nutzername-Passwort-Kombinationen sammeln und sich gegenseitig zur Verfügung stellen. Solche Listen können mehrere Millionen Einträge enthalten. Als Experten vor einigen Jahren sechs Wochen lang das World Wide Web durchforsteten, fanden sie 3,5 Milliarden unterschiedliche Nutzername-Passwort-Kombinationen.

Effektiver Schutz von Online-Konten ist gefragt

Natürlich gibt es Wege, sein Online-Konto besser zu schützen. Bekannt sind zum Beispiel Passwort-Manager, mit denen Nutzer ihre Kennwörter einfach und bequem verwalten können. Sie haben zwei Vorteile. Erstens müssen sich Anwender ihre Zugangsdaten nicht mehr merken und erliegen nicht mehr so leicht der Versuchung, ein Passwort mehrmals zu verwenden und dadurch ihre Sicherheit zu gefährden. Zweitens tragen Passwort-Manager ein Kennwort nur auf der dafür bestimmten Webseite ein, während Anwender leicht auf Phishing-Webseiten hereinfallen. Wichtig ist nur, dass die Nutzer auf Programme seriöser Anbieter vertrauen, die die gespeicherten Zugangsdaten sicher verschlüsseln. Bei vielen bekannten Browsern sind zuverlässige Passwort-Manager integriert.

Zwei-Faktor Authentifizierung

Die Zwei-Faktor-Authentifizierung setzt neben dem Passwort auf eine zusätzliche Komponente, die bei der Anmeldung abgefragt wird. Dabei kann es sich um einen SMS-Code, ein biometrisches Merkmal wie den Fingerabdruck oder ein besonderes Endgerät handeln.
Die Zwei-Faktor-Authentifizierung setzt neben dem Passwort auf eine zusätzliche Komponente, die bei der Anmeldung abgefragt wird. Dabei kann es sich um einen SMS-Code, ein biometrisches Merkmal wie den Fingerabdruck oder ein besonderes Endgerät handeln.
Foto: VectorKnight - shutterstock.com

Noch nicht so geläufig ist die Möglichkeit, Online-Konten mithilfe einer Zwei-Faktor-Authentifizierung zu sichern. Hierzu registriert man neben dem Passwort eine zusätzliche Komponente, die bei der Anmeldung abgefragt wird. Dabei kann es sich um einen SMS-Code, ein biometrisches Merkmal wie den Fingerabdruck oder ein besonderes Endgerät handeln. Vor allem auf die Zwei-Faktor-Authentifizierung mit Sicherheitsschlüsseln setzen Online-Unternehmen große Hoffnungen. Darunter versteht man einen USB-, Bluetooth- oder NFC-Schlüssel, den der Anwender mit dem Endgerät verbinden muss, um sich dann mit seinem Passwort anzumelden. Ein geläufiger Standard für solche Schlüssel wurde 2014 von der FIDO-Allianz festgelegt (FIDO steht für "Fast Identity Online"). Sie wurde 2012 gegründet, um offene, lizenzfreie IT-Sicherheitsstandards zu entwickeln. Der Standard für Sicherheitsschlüssel heißt "U2F", was für "Universal Second Factor" steht. Die Registrierung eines solchen "FIDO U2F"-Sicherheitsschlüssels verändert das Bedrohungsszenario fundamental, da die Anzahl der möglichen Angreifer auf Personen beschränkt ist, die in den Besitz des Sicherheitsschlüssels gelangen. Ein Online-Konto, das nur durch ein Passwort gesichert ist, kann dagegen jederzeit von Kriminellen gehackt werden, die online aktiv sind.

Die Zwei-Faktor-Authentifizierung ist ein effektiver Weg, die Abhängigkeit vom Passwortschutz zu verringern. Es gibt jedoch genug Nutzergruppen, die den Mehraufwand scheuen oder denen das technische Verständnis fehlt, um sie im Alltag zu verwenden. Deswegen ist es wichtig, auch die unternehmensseitigen Kontrollmechanismen zu verbessern. So messen Online-Unternehmen schon heute eine Vielzahl von Variablen, um verdächtige Aktivitäten von Cyberkriminellen zu entdecken. Meldet sich ein Nutzer zum Beispiel mit einem Endgerät an, das er noch nie verwendet hat oder loggt sich aus einem Land ein, das er noch nie bereist hat, ist dies ein Warnhinweis, der darauf hindeutet, dass ein Konto gehackt worden sein könnte. Werden von einem Konto plötzlich Tausende E-Mails pro Tag verschickt, ist dies ein Indiz dafür, dass das E-Mail-Konto von einem Botnet-Betreiber gekapert wurde und dazu verwendet wird, Spam-E-Mails zu verschicken.

Künstliche Intelligenz erkennt verdächtige Aktivitäten

Vor allem der Einsatz künstlicher Intelligenz hat die Fähigkeit, verdächtige Aktivitäten automatisiert zu erkennen, signifikant gesteigert. Sicherheitsabteilungen arbeiten dabei mit selbstlernenden Algorithmen auf der Grundlage künstlicher neuronaler Netzwerke, die die Intelligenz des menschlichen Gehirns nachahmen. Füttert man diese Systeme mit Daten aus bekannten Online-Betrugsfällen, können sie eigenständig Muster erkennen und neue Betrugsmethoden identifizieren, bevor sie große Schäden anrichten. Die Anzahl der Spam-E-Mails, die in den Posteingang der Nutzer gelangen, wurde dadurch bei einigen E-Mail-Providern um 99 Prozent gesenkt.

Bei allen Sicherheitsmaßnahmen ist es wichtig, die richtige Balance zwischen Datensicherheit und Nutzerfreundlichkeit zu finden. Setzt ein Unternehmen zum Beispiel zu viele Warnhinweise ein, um Nutzer vor betrügerischen E-Mails oder Webseiten zu warnen, besteht die Gefahr, dass sie abstumpfen und die Warnungen nicht mehr ernst nehmen. Loggt sich ein Nutzer mit einem Endgerät ein, das er noch nicht benutzt hat, liegt das möglicherweise nicht an einem Cyber-Angriff, sondern nur daran, dass er sich ein neues Smartphone gekauft hat. Statt das Konto zu sperren, empfiehlt es sich deshalb, die Nutzer bei verdächtigen Aktivitäten erst einmal zu kontaktieren. Idealerweise hat der Nutzer hierzu eine Telefonnummer oder eine E-Mail-Adresse hinterlegt, durch die es möglich ist, ihn unabhängig vom möglicherweise gehackten Konto zu kontaktieren.

Diese Beispiele verdeutlichen, dass Unternehmen eine ganze Palette an Möglichkeiten zur Verfügung steht, um die Sicherheit der Nutzer zu erhöhen. Der Passwortschutz ist nach wie vor ein Teil dieser Sicherheitsarchitektur, doch seine Bedeutung nimmt ab - zum Glück.