Wann soll­ten Pass­wör­ter geän­dert wer­den?

Pass­wor­t­än­de­run­gen schüt­zen nicht vor Pass­wort­dieb­stahl, son­dern kön­nen ihn ledig­lich wert­los machen.

Aus die­sem Grund soll­ten Pass­wör­ter immer dann geän­dert wer­den, wenn es Hin­wei­se auf einen Pass­wort­dieb­stahl gibt.

Regel­mä­ßi­ge (z.B. jähr­li­che) Pass­wor­t­än­de­run­gen füh­ren nicht unbe­dingt zu mehr Sicher­heit.

Sind Daten von einem Daten­leck betrof­fen?

Um einen Daten­dieb­stahl schnellst­mög­lich zu bemer­ken, kann man sich regel­mä­ßig über bekannt­ge­wor­de­ne Daten­lecks infor­mie­ren.

Ist man Nut­zer betrof­fe­ner Diens­te, könn­ten eige­ne Daten in fal­sche Hän­de gera­ten sein.

Bekann­te Daten­lecks

Ob kon­kre­te E‑Mail-Adres­sen von einem bekann­ten Daten­leck betrof­fen sind, kann man hier über­prü­fen:

Has­so-Platt­ner-Insti­tut

Troy Hunt (Check: E‑Mail-Adres­se)

Dafür müs­sen die von dem Daten­leck betrof­fe­nen Daten aller­dings bereits in die Daten­ban­ken der o.g. Web­sites inte­griert wor­den sein.

Auf der Web­site von Troy Hunt wird sehr über­sicht­lich auf­ge­führt, wel­che Daten­lecks erfasst sind.

Wel­che Schutz­maß­nah­men kön­nen ergrif­fen wer­den?

Zwei-Fak­tor-Authen­ti­sie­rung (2FA)

Sofern Zwei-Fak­tor-Authen­ti­sie­rung (2FA) ange­bo­ten wird, soll­te die­ses Ver­fah­ren genutzt wer­den.

Der Sicher­heits­ge­winn besteht dar­in, dass für einen erfolg­rei­chen Log­in die (gestoh­le­nen) Zugangs­da­ten nicht aus­rei­chen.

„Zwei-Fak­tor-Authen­ti­sie­rung für höhe­re Sicher­heit” (BSI)

Wer­den E‑Mail-Post­fä­cher durch 2FA gesi­chert, soll­ten die POP3- und IMAP-Zugän­ge deak­ti­viert wer­den, damit 2FA nicht per POP3/IMAP umgan­gen wer­den kann. 

Pass­wort­si­cher­heit

Bis ein Daten­dieb­stahl bemerkt wird, kön­nen sich Pass­wör­ter über län­ge­re Zeit unbe­merkt in fal­schen Hän­den befin­den.

Des­halb soll­ten nie­mals für meh­re­re Accounts die sel­ben Zugangs­da­ten ver­wen­det wer­den!

Alle Pass­wör­ter soll­ten so gewählt wer­den, dass von einem (gestoh­le­nen) Pass­wort nicht auf ande­re Pass­wör­ter geschlos­sen wer­den kann.

Auch bei vie­len Ver­su­chen (Bru­te-Force-Metho­de) darf es nicht mög­lich sein, auf Grund­la­ge eines Pass­worts ande­re Pass­wör­ter zu „erra­ten”.

Siche­re Pass­wör­ter erzeu­gen und ver­wen­den

Kom­pro­mit­tier­te Gerä­te

Sind eige­ne Gerä­te (PC, Lap­top, Smart­pho­ne) kom­pro­mit­tiert, kann es auch dadurch zu einem Daten­dieb­stahl kom­men.

Aus die­sem Grund soll­te die ver­wen­de­te Soft­ware (Brow­ser, Betriebs­sys­tem usw.) immer auf dem aktu­ells­ten Stand gehal­ten wer­den. Dies bezieht sich ins­be­son­de­re auf zwin­gend erfor­der­li­che Sicher­heits-Updates.

Viren­scan­ner und Fire­wall kön­nen das Sicher­heits­kon­zept ergän­zen, erset­zen aber kei­nes­falls not­wen­di­ge Sicher­heits-Updates.

Viren­scan­ner und Sicher­heits-Updates

Dies gilt auch für Andro­id-Gerä­te, die häu­fig nach eini­ger Zeit kei­ne Sicher­heits-Updates mehr vom Her­stel­ler erhal­ten!

Andro­id sicher nut­zen

Schad­soft­ware kann z.B. per E‑Mail, kom­pro­mit­tier­te Web­sites und auf vie­len ande­ren Wegen auf ein Gerät gelan­gen.

Details über die­ses The­ma wür­den den Rah­men die­ses Arti­kels spren­gen.

Phis­hing

Im Rah­men von Phis­hing ver­su­chen Angrei­fer, durch gefälsch­te Web­sites oder E‑Mails an Zugangs­da­ten zu gelan­gen.

Gegen Phis­hing schützt am bes­ten der gesun­de Men­schen­ver­stand und das Wis­sen über die Exis­tenz der­ar­ti­ger Angrif­fe.

Sofern im Rah­men eines Log­in-Pro­zes­ses Unre­gel­mä­ßig­kei­ten auf­fal­len, soll­te das zuge­hö­ri­ge Pass­wort sicher­heits­hal­ber sofort geän­dert wer­den.