Sichere Passwörter
Passwortschutz fängt bei Ihnen zu Hause an. Sie selbst können dazu beitragen, Ihr System und Ihre privaten Daten vor Unbefugten zu schützen.Verhindern Sie den Diebstahl, die Veränderung und den Missbrauch Ihrer Daten.
Nachfolgend ein paar Regeln, die Ihnen die Erstellung von sicheren Passwörtern und deren Umgang erleichtern sollen. 100% Sicherheit wird es nicht geben. Sie können es den Täter jedoch deutlich erschweren, indem Sie verschiede Möglichkeiten zum Absichern Ihrer Accounts parallel nutzen.
Geheime Passwörter
Geben Sie Ihre Passwörter nicht an Freunde, Bekannte oder Fremde weiter. Bewahren Sie Passwörter verdeckt auf und nicht an Orten wie der Pinnwand, am Monitor oder unter der Tastatur.
Speichern Sie auch nicht die Passwörter im Computer (z. B. im Browser, in Textdateien oder Tabellen).
Haben Sie trotzdem mal ein Passwort weitergegeben, dann ändern Sie dieses im Anschluss wieder in ein Neues.
Zeichenmix und Länge
Verwenden Sie keine bekannten Wörter, Namen und Zahlenkombinationen. Tier- und Spitznamen, Geburtsdaten und Vergleichbares sind tabu!
Solche Daten sind leicht herauszufinden (z.B. Soziale Medien) oder im Lebensumkreis sogar bekannt.
Nutzen Sie scheinbar unvorhersehbare Kombinationen aus Buchstaben, Zeichen, Sonderzeichen, Zahlen.
Verwenden Sie z. B. die Anfangsbuchstaben einer Liedzeile mit Satzzeichen und ergänzen diese um weitere Sonderzeichen und Zahlen. Ersetzen Sie auch Buchstaben durch Zahlen (z. B. „3“ für „E“). Aus der Liedzeile „Ein Männlein steht im Walde ganz still und stumm, Es hat von lauter Purpur ein Mäntlein um.“ wird z. B. das Passwort „EMsiWgsus,3hvlPeMu.“
Alternativ zu einem Liedtext können Sie auch Ihr Lieblingsbuch nehmen und beispielsweise aus dem jeweiligen Buchstaben und Zeichen aus jeder Textzeile plus der Seitenzahl ein Passwort kreieren.
Verwenden Sie diese Methode auch bei der Beantwortung von Sicherheitsfragen, die diverse Dienste als zweiten Schutz vorgeben. Ehrliche Antworten wie „Hauptstraße“ auf die Frage „In welcher Straße haben Sie als Kind gewohnt?“ sind eher abzulehnen. Solche Angaben können ggf. leicht über Social Media und andere Quellen im Netz herausgefunden werden.
Verändern Sie solche Antworten, dass diese nicht zu erraten sind: Werden Sie in einer Sicherheitsfrage zum Beispiel gefragt „Wo sind Sie geboren?“, können Sie als Sicherheitsantwort „H4nn0v3r“ oder „In H4nn0v3r in Ni3derS4chsen!“ hinterlegen.
(Die gezeigten Beispiele bitte so nicht mehr verwenden.)
Seien Sie also kreativ! Wer nicht kreativ sein kann oder möchte, ist bei Passwort-Managern gut aufgehoben (siehe weiter unten).
Beschränken Sie sich nicht auf die vom Anbieter vorgegebene minimale Länge eines Passwortes. Nutzen Sie die volle mögliche Länge bei einer Passwortwahl aus. Kurze Passwörter sind leichter, auch mittels Software, zu knacken. Ein gutes Passwort sollte über mindestens 10-15 Stellen verfügen. Noch mehr Stellen bieten noch mehr Sicherheit.
Leider bieten nicht alle Internetdienste an, einen solchen langen und bunten Mix aus Buchstaben, Zahlen und Sonderzeichen zu benutzen. In einem solchen Fall sollten Sie Ihr Passwort dort kurzfristiger ändern. Hier wäre es wünschenswert, wenn die Anbieter ihre Dienste im Sinne der Kundensicherheit nachbessern würden.
Unterschiedliche Passwörter / kein Passwortrecycling
Verwenden Sie für jeden Zugang ein neues sicheres Passwort und niemals das selbe Passwort. Benutzen Sie keine alten Passwörter erneut. Bedenken Sie auch Verbindungen von z. B. E-Mail-Account zu Shoppingaccount, wobei oft die E-Mail-Adresse bereits der Nutzername ist.
Sind bereits Lücken (z.B. durch einen Hack) bekannt, sollten Sie Ihr Passwort auf jeden Fall ändern! Prüfen Sie doch mal Ihre Daten bei den Diensten, die wir Ihnen unter Datencheck vorstellen. Inzwischen schlagen auch einige Passwortmanager Alarm, wenn ein Datenleck öffentlich bekannt gegeben wurde und Sie ggf. davon betroffen sein könnten. Entsprechend sollten Sie dann auch handeln.
Voreingestellte Passwörter ändern
Voreingestellte Passwörter dienen lediglich zum ersten Schutz. Diese stehen jedoch oft in Handbüchern, auf Klebeetiketten am Gerät oder Sie haben diese per E-Mail erhalten. Fremde können diese Daten ablesen oder abgefangen haben, möglicherweise sind diese sogar noch im E-Mail-Postfach unter den E-Mails abgelegt. Handbücher sind auch leicht über die Herstellerhomepage erhältlich, somit sind werksmäßig allgemein vergebene Passwörter kein Geheimnis.
Denken Sie auch daran, sämtliche Hardware (Internetrouter/DSL-Modem/Repeater/Powerline), sowie die Ihre Datenübertragung (z. B. WLAN) mit sicheren Passwörtern zu versehen.
Kontaktdaten aktuell halten
Falls Sie mal Ihr Passwort vergessen haben, können Sie es in der Regel beim Anbieter neu anfordern. Bedenken Sie, dass Sie dafür die beim Dienst hinterlegten Kontaktdaten, wie Ihre Mailadresse, aktuell halten sollten.
Vom Anbieter bekommen Sie dann entweder ihre Zugangsdaten, neu generierte Zugangsdaten oder einen zeitlich beschränkten Link zugeschickt. Über diesen Link können Sie nach Aufrufen der Seite Ihr Passwort selbst neu vergeben. Bedenken Sie aber auch, dass andere Personen, die unerlaubt Zugriff auf Ihr Mailkonto erlangt haben, diese Mails ebenfalls lesen können oder beim Anbieter durch die „Passwort vergessen“-Funktion anfordern können. Aus diesem Grund ist der Schutz Ihres Mailkontos besonders wichtig!
Achtung: Immer wieder bekommen wir Hilfegesuche von Personen, deren Mailaccounts gehackt wurden. Diese werden durch den Anbieter auch nicht mehr auf ihren alten Account gelassen, da sie selber keine persönlichen Kontaktdaten zuvor hinterlegt hatten. Das können fehlende oder fehlerhafte Namen, Adressen, alternative Mailadressen, Geburtsdaten usw. sein. Besonders bei Mailanbietern, die den Nutzer nicht verifizieren, kann dies recht schnell passieren. Hier wirkt sich die eigene vorherige Datensparsamkeit oder Anonymität negativ aus. Auch wir können dann als Polizei nicht weiterhelfen. Der Zugriff auf den gehackten Mailaccount bleibt dem Nutzer weiterhin verwehrt.
Passwörter regelmäßig ändern?
Passwörter können leider auch schnell in falsche Hände geraten. Dies kann durch eine persönliche Weitergabe, durch das Ausprobieren von bekannten oder persönlich vermuteten Kombinationen, Diebstahl von Hardware (z.B. geklautes Smartphone) oder auch durch das Hacken eines Systems passieren. Letzteres muss nicht zwangsläufig bei Ihnen selber passiert sein. Onlineanbieter sind ständig den Angriffen von Cyberkriminellen ausgesetzt. Dort schaffen es die Täter dann leider auch immer wieder, Zugriff auf Passwörter und andere sensible Daten zu bekommen. Diese werden gern für weitere Angriffe, Missbräuche, Spam, Betrug usw. eingesetzt. Wenn solche Hacks dann öffentlich bekannt werden, kann man diese auch bei zwei Diensten im Netz abfragen: Datencheck
So macht es Sinn, seine Passwörter bei Bedarf und auch regelmäßig zu ändern. Einen konkreten Zeitraum dafür gibt nicht. Dies obliegt Ihrer eigenen Verantwortung. Sollten Sie ein Passwort selber weitergegeben haben, so sollten Sie es zügig ändern. Sollten Sie Kenntnis erhalten, dass Ihr Account durch einen Hack betroffen ist (z.B. durch eine Nachricht des betroffenen Dienstes), so sollten Sie auch zügig das Passwort ändern. Es kann auch sein, dass Sie Teil einer Firma sind, wo regelmäßige Änderungen vorgegeben sind.
Wie soll ich mir das alles merken? Passwort-Manager als Hilfe!
„Für jeden Dienst ein eigenes kompliziertes und langes Passwort? Das kann ich mir nicht merken!“ So geht es eigentlich vielen Internetnutzern und deshalb machen viele den Fehler, ein Passwort für mehrere Dienste zu benutzen. Ist dieses einmal bekannt, so haben die Täter leichtes Spiel. Und dabei kann das Passwort auch bei jemand anderen entwendet worden sein. Mit Hilfe von entsprechenden Listen und Sammlungen können die Täter versuchen, automatisiert an Zugänge zu gelangen. Vereinzelte Anbieter (z.B. Apple im aktuellen iOS unter der App „Passwörter“, dann Bereich „Sicherheit“ auswählen) zeigen sogar bekannte Sicherheitsrisiken an. Ist z.B. ein Passwort zu einfach oder durch ein Datenleck irgendwo bei irgendwem bekannt geworden, so gibt es eine enstprechende Warnmeldung.
Nutzen Sie gute Passwort-Manager. Vereinzelt werden die als eigeneständige(s) App/Programm angeboten, im Betriebssystem mitgeliefert oder bei Herstellern von Antivirenprodukten mit angeboten. Hier sollten Sie sich vor einer Nutzug jedoch gut informieren, welche tatsächlich gut geeignet und sicher sind. Es gibt Produkte, die die Passwörter lokal auf dem Endgerät speichern. Andere Anbieter setzen auf Cloud-Lösungen, so dass sämtliche verknüpfte Geräte auch synchron auf dei Passwörter zugreifen können. Hier ist es dann ganz wichtig, dass Sie durch ein starkes Passwort diesen Zugang besonders schützen.
Ein Notizzettel an der Pinnwand oder unter der Schreibtischunterlage kann in einem frei zugänglichem Büro schon eine Gefahr darstellen. Eine ausgedruckte Liste, gut im heimischen Tresor aufbewahrt, kann da ein bessere Lösung (u.a. für selten genutzte Passwörter) sein. Besonders in Hinblick auf eine Nachlassregelung im Todesfall kann eine solche Liste den Angehörigen helfen, die Angelegenheiten im Internet zu klären.
Nutzen Sie die 2-Faktor-Authentifizierung oder Passkeys!
Bei der Zwei-Faktor-Authentifizierung (2FA) wird für die Passworteingabe eine zusätzliche Hürde eingebaut. Mittels einer zuvor hinterlegten Rufnummer (z.B. Mobilfunknummer) oder einer 2FA App auf dem Smartphone wird ein Code als weitere Bestätigung auf eine zusätzliches Gerät geschickt bzw. in der 2FA App angezeigt/abgefragt. Hier müssten die Täter dann schon Zugang zu dem entsprechenden Gerät oder zu der App bekommen, um sich dann einloggen zu können. Vereinzelt kann z.B. auch die heimische Festnetzrufnummer für die 2FA genutzt werden. Möchte man sich irgendwo anmelden, bekommt man einen Anruf, wo eine automatische Ansage den Code nennt.
Auch die Verwendung von biometrischen Daten wie Fingerprints oder Gesichtserkennung für z.B. Apps und Accounts kann hier hilfreich sein. Ebenso sind Chipkarten, spezielle USB-Sticks, TAN-Generatoren usw. für den Einsatz denkbar.
Eine sehr übersichtliche und gute Erklärung zu Passkeys finden Sie hier beim BSI.
Wichtig ist, dass diese 2FA oder Passkeys genutzt werden, wenn Sie angeboten werden. Vermehrt wird dieses auch von den Betreibern/Anbietern umgesetzt, so dass die 2FA bzw. Passkeys zwingend sind. Sicherheit geht vor Bequemlichkeit!
Ich wurde gehackt, was soll ich nun tun?
Sollten Sie dennoch von einem Hack betroffen sein, so finden Sie hier schnelle erste Hilfe.
Ist nur Ihr Account betroffen, weil Sie direkt angegangen wurden, dann erstatten Sie auch Anzeige bei Ihrer örtlichen Polizei. Wurden Ihr Passwort und/oder Ihre Daten bei einem Anbieter, bei dem Sie Kunde sind, durch einen Hack entwendet, so erstattet dieser Anbieter in der Regel die Anzeige.