Ver­öf­fent­licht am 17.1.2018

Wann soll­ten Pass­wör­ter geän­dert wer­den?

Pass­wor­t­än­de­run­gen schüt­zen nicht vor Pass­wort­dieb­stahl, son­dern kön­nen ihn ledig­lich wert­los machen.

Aus die­sem Grund soll­ten Pass­wör­ter immer dann geän­dert wer­den, wenn es Hin­wei­se auf einen Pass­wort­dieb­stahl gibt.

Regel­mä­ßi­ge (z.B. jähr­li­che) Pass­wor­t­än­de­run­gen füh­ren in der Pra­xis nicht unbe­dingt zu mehr Sicher­heit.

Sind eige­ne Daten von einem Daten­leck betrof­fen?

Per­sön­li­che Daten und Pass­wör­ter wer­den auch von Drit­ten gespei­chert.

Dazu gehö­ren neben staat­li­chen Stel­len auch diver­se Anbie­ter und Dienst­leis­ter, bei­spiels­wei­se Flug­ge­sell­schaf­ten, ebay-Ver­käu­fer, Web­Shops, Sport­stu­di­os, Tele­fon­ge­sell­schaf­ten, Zah­lungs­diens­te u.v.m.

Um einen Daten­dieb­stahl schnellst­mög­lich zu bemer­ken, kann man sich regel­mä­ßig über bekannt­ge­wor­de­ne Daten­lecks infor­mie­ren.

Ist man Nut­zer betrof­fe­ner Diens­te, könn­ten eige­ne Daten in fal­sche Hän­de gera­ten sein.

Bekann­te Daten­lecks

Neben dem Pass­wort dient häu­fig eine E‑Mail-Adres­se als zwei­te Zugangs­kom­po­nen­te.

Ob die eige­ne E‑Mail-Adres­se von einem bekann­ten Daten­leck betrof­fen ist, kann z.B. hier über­prüft wer­den:

Has­so-Platt­ner-Insti­tut

Troy Hunt (Check: E‑Mail-Adres­se)

Die betrof­fe­nen Daten müs­sen dafür jedoch bereits in die Daten­ban­ken der o.g. Web­sites inte­griert wor­den sein.

Auf der Web­site von Troy Hunt wird sehr über­sicht­lich auf­ge­führt, wel­che Daten­lecks erfasst sind.

Schutz­maß­nah­men gegen den Pass­wort­dieb­stahl

Zwei-Fak­tor-Authen­ti­sie­rung (2FA)

Sofern Zwei-Fak­tor-Authen­ti­sie­rung (2FA) ange­bo­ten wird, soll­te die­ses Ver­fah­ren unbe­dingt genutzt wer­den.

Der Sicher­heits­ge­winn besteht dar­in, dass für einen erfolg­rei­chen Log­in die (gestoh­le­nen) Zugangs­da­ten nicht aus­rei­chen.

„Zwei-Fak­tor-Authen­ti­sie­rung für höhe­re Sicher­heit” (BSI)

Wer­den E‑Mail-Post­fä­cher durch 2FA gesi­chert, soll­ten die POP3- und IMAP-Zugän­ge deak­ti­viert wer­den, damit 2FA nicht per POP3/IMAP umgan­gen wer­den kann. 

Siche­re Pass­wör­ter ver­wen­den

Bis ein Daten­dieb­stahl bemerkt wird, kön­nen sich Pass­wör­ter über län­ge­re Zeit unbe­merkt in fal­schen Hän­den befin­den.

Des­halb soll­ten nie­mals für meh­re­re Accounts die sel­ben Zugangs­da­ten ver­wen­det wer­den!

Alle Pass­wör­ter soll­ten so gewählt wer­den, dass von einem (gestoh­le­nen) Pass­wort nicht auf ande­re Pass­wör­ter geschlos­sen wer­den kann.

Auch bei vie­len Ver­su­chen (Bru­te-For­ce-Metho­de) darf es nicht mög­lich sein, auf Grund­la­ge eines Pass­worts ande­re Pass­wör­ter auto­ma­ti­siert zu „erra­ten”.

Siche­re Pass­wör­ter erzeu­gen und ver­wen­den

Kom­pro­mit­tier­te Gerä­te

Sind eige­ne Gerä­te (PC, Lap­top, Smart­pho­ne) kom­pro­mit­tiert, kann es auch dadurch zu einem Daten­dieb­stahl kom­men.

Aus die­sem Grund soll­te die ver­wen­de­te Soft­ware (Brow­ser, Betriebs­sys­tem usw.) immer auf dem aktu­ells­ten Stand gehal­ten wer­den. Dies bezieht sich ins­be­son­de­re auf zwin­gend erfor­der­li­che Sicher­heits-Updates.

Viren­scan­ner und Fire­wall kön­nen das Sicher­heits­kon­zept ergän­zen, erset­zen aber kei­nes­falls not­wen­di­ge Sicher­heits-Updates.

Viren­scan­ner und Sicher­heits-Updates

Dies gilt auch für Android-Gerä­te, die häu­fig nach eini­ger Zeit kei­ne Sicher­heits-Updates mehr vom Her­stel­ler erhal­ten!

Android sicher nut­zen

Schad­soft­ware kann z.B. per E‑Mail, kom­pro­mit­tier­te Web­site und auf ande­ren Wegen auf ein Gerät gelan­gen.

Phis­hing

Im Rah­men von Phis­hing ver­su­chen Angrei­fer, durch gefälsch­te Web­sites oder E‑Mails an Zugangs­da­ten zu gelan­gen.

Gegen Phis­hing schützt am bes­ten der gesun­de Men­schen­ver­stand und das Wis­sen über die Exis­tenz der­ar­ti­ger Angrif­fe.

Sofern im Rah­men eines Log­in-Pro­zes­ses Unre­gel­mä­ßig­kei­ten auf­fal­len, soll­te das zuge­hö­ri­ge Pass­wort sicher­heits­hal­ber sofort geän­dert wer­den.