Schutz von Onlinekonten: Starkes Passwort reicht nicht aus

Von Von Carla Benkö, dpa

Berlin - Cyberkriminelle verschicken betrügerische Nachrichten per E-Mail oder Messenger. Sie geben sich zum Beispiel als Behörde aus, um vertrauliche Daten wie Passwörter oder Kreditkartendetails abzugreifen. Das nennt man im Fachjargon Phishing. Dieses Beispiel ist nur eine von unzähligen Varianten, wie Kriminelle im Netz versuchen, Daten abzugreifen und so auch Geld zu machen.

Viele beim Umgang mit Passwörtern nachlässig

"Die Bedrohungslage ist recht groß und die Gefahr ist da, in Fallen zu tappen", sagt Maximilian Berndt, Experte für digitalen Verbraucherschutz beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Das Abfischen von Daten ist dem Bundeslagebild Cyberkriminalität von 2023 zufolge eines der häufigsten Mittel, um im Internet Straftaten zu begehen.

Dennoch sind viele Menschen in Deutschland beim Umgang mit Passwörtern nachlässig. Das ergibt eine Umfrage des Digitalverbands Bitkom. So nutzen rund ein Viertel der Befragten (23 Prozent) bewusst einfache Passwörter, um sie sich einfacher merken zu können. Ein Drittel (33 Prozent) nutzt dasselbe Passwort für verschiedene Dienste. Befragt wurden 1.021 Internetnutzerinnen und -nutzer in Deutschland ab 16 Jahren.

Selbst sicheres Passwort reicht nicht aus

Allerdings bieten selbst starke Passwörter allein mittlerweile nicht mehr genügend Schutz und können bei einem Phishing-Angriff in falsche Hände geraten. Auch regelmäßige Passwortänderungen, zu denen zum Beispiel am 1. Februar am sogenannten Ändere-dein-Passwort-Tag geraten wird, seien überholt, teilt das Bundesamt mit.

"Es sei denn, ich weiß, dass mein Passwort sehr schwach ist. Das wäre die einzige Ausnahme, die ich noch gelten lassen würde. Neben dem Fall, dass mein Konto kompromittiert wurde", sagt Berndt.

Regelmäßige, anlassunabhängige Passwortwechsel führen nach Einschätzung des Bundesamts erfahrungsgemäß eher dazu, dass zunehmend schwächere Passwörter genutzt würden. Besser sei es, auf eine Technologie namens Passkeys umzusteigen.

Passkeys - Sicher ohne Passwort einloggen

Passkeys sind zufällig generierte Zeichenketten, die zum Einloggen in Webseiten genutzt werden. Sie nutzen biometrische Merkmale wie Fingerabdruck oder Gesichtsscan - etwa FaceID beim iPhone. "Es gibt keinen Faktor mehr, den ich vergessen kann, den ich verlieren kann oder den man mir stehlen kann. Und damit ist Passkeys gegen die bisher bekannten Phishingmethoden geschützt. Das ist ein eklatanter Sicherheitsgewinn", betont Berndt.

Wer nicht auf Passkeys umsteigen will, dem wird geraten, zusätzlich zu starken Passwörtern die Zwei-Faktor-Authentisierung zu nutzen, um eine weitere Sicherheitsschranke einzubauen. Viele übliche Zwei-Faktor-Log-ins greifen nach der Passworteingabe zum Beispiel auf externe Systeme zurück, um eine zweistufige Überprüfung der Nutzerin oder des Nutzers durchzuführen.

Datenlecks bei großen Unternehmen

Auch durch Datenlecks bei großen Unternehmen und Institutionen zum Beispiel durch Cyberangriffe oder Sicherheitslücken können Daten von Nutzerinnen und Nutzern in die Hände von Kriminellen gelangen. Im Jahr 2021 zum Beispiel griffen Unbekannte bei Facebook Daten von rund 533 Millionen Nutzerinnen und Nutzern aus 106 Ländern ab und verbreiteten diese öffentlich im Internet. 

Im vergangenen Jahr deckte der Chaos Computer Club (CCC) ein massives Datenleck bei der Kreditvermittlung von Check24 und Verivox auf. Bei beiden Vergleichsportalen konnten demnach zeitweilig Darlehensverträge heruntergeladen werden, samt Einkommensauskunft und Kontonummer. Verivox teilte mit, das Datenleck sei nach dem Hinweis des CCC sofort geschlossen worden. Auch Check24 behob laut dem Medienhaus Correctiv den Fehler.

Was tun, wenn Daten abgeflossen sind?

Ist man von Phishing oder Datenlecks betroffen, kann es in vielen Fällen ausreichen, das Passwort zurückzusetzen und bestenfalls die Sicherheit durch Zwei-Faktor-Log-ins oder Passkeys zu erhöhen.

Bei wichtigen Konten, zum Beispiel dem E-Mail-Account oder Online-Banking lohnt es sich laut Berndt zu schauen: "Sind seltsame Abbuchungen getätigt worden? Passiert irgendetwas in diesem Konto, das ich so nicht erwartet habe? Wurden etwa bei Handyverträgen Zusatzdienste gebucht?"

Auf ungewöhnliche Aktivitäten achten

Aber wie bemerkt man überhaupt, dass Daten abgegriffen wurden? "Da gibt es leider nicht die goldene Regel", sagt Berndt. Ungewöhnliche Aktivitäten auf Accounts sind ein Anzeichen. Manche Dienste versenden auch selbst Hinweise, zum Beispiel bei neuen Log-ins.