von Alexander Koch, VP Sales EMEA bei Yubico
Das Bayerische Staatsministerium für Digitales hat einen Passwort-Check als neue Funktion eingerichtet. Das Angebot verspricht eine Prüfung von Passwörtern hinsichtlich ihrer Sicherheit und gibt eine Einschätzung darüber, wie lange ein Hacker benötigen würde, das Passwort zu knacken. Dazu gibt man sein Passwort auf der Website des Ministeriums ein und erhält danach eine Beurteilung. Was sich wie eine gut gemeinte Fortbildungsmaßnahme zur Passwortsicherheit anfühlt, offenbart dabei sofort den ersten Fehlschritt: Ein Passwort auf einer Website einzugeben und prüfen zu lassen. Auch wenn dies unter dem Schutzmantel eines Ministeriums geschieht, vermittelt es ein Gefühl von Normalität gegenüber Phishingmethoden, mit deren Hilfe Nutzer trickreich ihrer Zugangsdaten entlockt werden sollen. Merke: Teile niemals dein Passwort im Internet, auch nicht bei einer vermeintlich sicheren offiziellen Stelle.
Das Hauptproblem des Passwort-Checks liegt aber in seiner veralteten Herangehensweise und den Anforderungen, welche der Prüfung zugrunde liegen – Passwortrichtlinien. Also der Zeichenfolge, Wörterbuch-Wörter, Zahlenreihen etc. Diese Richtlinien gelten bereits seit Jahren als unzureichend und bieten allein keinen angemessenen Schutz. Interessant ist in diesem Zusammenhang eine Bitkom Studie vom 18. Februar dieses Jahres in der 75 Prozent der Befragten angaben, auf den vermeintlich sicheren Zeichenmix zu achten und starke Passwörter zu verwenden. Auffällig ist aber auch der generelle Umgang mit Passwörtern – eine immer noch viel zu große Anzahl von 29 Prozent der Befragten nutzt das gleiche oder ähnliche Passwort für unterschiedliche Dienste. Dass Cyberkriminalität auch für Privatpersonen eine ernstzunehmende Gefahr darstellt, scheint dabei oftmals vergessen zu werden.
Die Zukunft liegt hier also nicht in Passwort-Checks oder ausgefallenen Kombinationen aus Anschrift und Geburtsdatum, sondern weg von den Passwörtern hin zur Multi-Faktor-Authentifizierung und phishing-sicheren Hardware-Sicherheitsschlüsseln. Durch die Verwendung dieser Schlüssel ist die Anwesenheit und der Besitznachweis des Nutzers erforderlich. Diese Sicherheitsschlüssel verwenden aktuelle Sicherheitsstandards, sind flexibel einsetzbar und unabhängig von einer Gerätebatterie. So kann ein Angriff durch Cyberkriminelle verhindert werden. Der Bayerische Passwort-Check führt uns daher wieder vor Augen, dass die Cybersicherheit in Zukunft nicht mit besonders sicheren Passwörtern, sondern ganz ohne sie auskommen werden muss. Denn wirkliche Sicherheit bietet nur ein durch Multi-Faktor-Authentifizierung und Hardware-Sicherheitsschlüssel geschützter Login.
