Darmstadt/Hannover - Die Methoden der Passwort-Hacker werden immer perfider. Online-Surfer sollten deshalb auf jeden Fall schwer zu knackende Kennwörter auswählen. Und wer mehrere Internet-Angebote nutzt, braucht auch mehrere Passwörter. Damit er dabei nicht den Überblick verliert, kann er spezielle Programme nutzen.
«Es gibt grundsätzlich zwei Möglichkeiten, an die Passwörter von Nutzern zu kommen», erklärt Ruben Wolf vom Fraunhofer-Institut für Sichere Informationstechnologie (SIT) in Darmstadt: «Entweder die Hacker bewegen den Nutzer dazu, das Passwort herauszugeben, oder sie probieren so lange verschiedene Möglichkeiten aus, bis das Richtige gefunden ist.» Laut Daniel Bachfeld von der in Hannover erscheinenden Zeitschrift «c't» liegt derzeit vor allem Ersteres im Trend.
Diese auch als Phishing bekannte Methode gibt es in verschiedenen Varianten. Fingierte E-Mails etwa sollen beim Nutzer den Eindruck erwecken, sie kämen von seiner Bank oder einem Online-Auktionshaus.
Der Empfänger wird aufgefordert, einen Link anzuklicken - vom dem er zu einer meist täuschend echt aussehenden Betrugs-Webseite geleitet. Dort wird der Nutzer unter einem Vorwand gebeten, seine persönlichen Daten einzutragen - darunter eben auch Passwörter. «Gegen solche Betrugsversuche hilft es, das Gehirn einzuschalten», sagt Bachfeld.
Oft reiche etwa ein Blick in die Adresszeile des Webbrowsers, um zu erkennen, dass es sich gar nicht um die richtige Website handelt. Außerdem würden Seiten, auf denen man sensible Nutzerdaten eingeben muss, in der Regel SSL-verschlüsselt, was an einem Schlüssel-Symbol im Browser zu erkennen ist. «
Banken fordern zudem nie per E-Mail auf, persönliche Daten preiszugeben.»
Noch öfter kommt derzeit aber eine andere Phishing-Variante vor, wie Günther Ennen vom Beratungsteam beim Bundesamt für Sicherheit in der Informationstechnik (BSI) in Bonn erläutert. Dabei handelt es sich um Trojaner - kleine Programme, die sich auf dem PC einnisten, Passwörter bei der Eingabe aufzeichnen und über das Internet an die Hacker senden. «Einen Trojaner kann man sich einfangen, wenn man den Anhang einer E-Mail anklickt. Es reicht aber sogar schon aus, wenn der Nutzer lediglich eine bestimmte Website besucht», warnt Ennen.
«Um sich vor solchen Trojanern zu schützen, sollte man einen Virenscanner installieren und immer mit aktueller Software unterwegs sein», sagt «c't»-Experte Bachfeld. Das gelte nicht nur für den Internet-Browser, sondern auch für Programme wie beispielsweise den Flash-Player.
Neben dem Phishing versuchen Hacker, mit Software Passwörter so lange automatisiert durchzuprobieren, bis das Richtige getroffen wurde. Brute-Force-Method, Methode der rohen Gewalt, nennen Experten das. Ergänzt wird die Software dabei um Datenbanken, die Wörterbücher mit möglichen Passwörtern enthalten. Es seien längst keine teuren Großrechner mehr nötig, um solche Attacken zu fahren, erklärt Ruben Wolf: «Mit einem handelsüblichen Laptop sind heute acht Millionen Anfragen pro Sekunde möglich.»
Wer sich solchen Angriffen nicht wehrlos aussetzen will, sollte vor allem darauf achten, dass seine Passwörter möglichst kompliziert sind: «Einfache Wörter wie der Name des Dackels oder der Ehefrau oder auch die eigene Telefonnummer kommen nicht infrage», warnt Wolf.
Vielmehr sollte das Passwort eine Kombination aus verschiedenen Zeichenklassen sein - also aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen, rät Wolf. Doch bei vielen Online-Diensten sind nicht alle Sonderzeichen für Kennwörter erlaubt, schränkt BSI-Experte Ennen ein. «Außerdem sollte man für ein Passwort keine Umlaute verwenden, weil man sie auf einer ausländischen Tastatur - etwa im Urlaub - nicht verwenden kann.»
Auch die Länge des Kennworts spiele eine wichtige Rolle, so Ruben Wolf: «Ein Passwort mittlerer Sicherheit hat mindestens acht Zeichen. Für hohe Sicherheit sollten es mindestens zwölf Zeichen sein.» Auf keinen Fall sollte ein und dasselbe Passwort für verschiedene Dienste benutzt werden. «Wenn ich das gleiche bei eBay und in einem Forum verwende, weiß ich nicht, ob der Foren-Administrator nicht ausprobiert, ob das Passwort nicht auch bei eBay funktioniert.»
Wer diesen Ratschlag beherzigt, muss sich heutzutage mitunter ein Dutzend oder noch mehr unterschiedliche Kennwörter merken - und hat unter Umständen schnell den Überblick verloren. Hilfe bieten Soft- und Hardware-Lösungen. Sie verwalten die verschiedenen Passwörter.
Fraunhofer etwa bietet den, allerdings kostenpflichtigen, «Password-Sitter» an (passwordsitter.com). Der Nutzer identifiziert sich bei den Lösungen über einen Fingerabdruck-Sensor oder ein einziges Master-Passwort. «Das Master-Passwort kann dann ruhig besonders lang und kompliziert sein. Man muss sich dann ja nur noch dieses eine merken.»