Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Passwortdiebstahl
Ein sicheres Passwort ist das eine, ein vertraulicher Umgang damit ein weiterer wichtiger Aspekt. Deshalb beschäftigt sich der vierte Teil der Artikelserie „Verhaltensregeln für Mitarbeiter“ damit, einem Passwortdiebstahl vorzubeugen.
Die Arbeit am PC beginnt im Idealfall mit der Eingabe eines Passworts, denn dieses soll den PC vor unbefugtem Zugriff schützen. Dennoch sind viele im Umgang mit einem Passwort nach meiner eigenen Erfahrung meist weniger vorsichtig als mit ihrem Haustürschlüssel, obwohl beide doch einem ähnlichen Zweck dienen. Dies haben wir zum Anlass genommen im vierten Teil der Artikelserie das Thema Passwortdiebstahl näher zu beleuchten.
Ausspionieren von Passwörtern
Ein weit verbreitetes Passwort ist laut einen Heise Security-Artikel die Zahlenfolge „123456“. Würden Sie mit dieser Kombination Ihre Wohnung sichern? Mit Sicherheit nicht. Also warum sollten Sie Ihre Daten so sichern? Gerät ein Passwort in falsche Hände, kann das nicht nur für Sie einen großen Schaden zur Folge haben (z. B. Datendiebstahl, Interneteinkäufe im fremden Namen).
Oftmals bieten wir schon durch die Wahl unseres Passworts eine Angriffsfläche für Missbrauch. Besteht eine direkte Verbindung zum Benutzer, zum Beispiel indem das eigene Geburtsdatum, die Namen der Kinder, der Name des Ehepartners oder des Haustiers verwendet wird, haben Personen, die sich in Ihrem näheren Umfeld befinden oder sich anderweitig Zugriff zu diesen Informationen beschaffen können, dadurch ein leichtes Spiel.
Es gibt unzählige Möglichkeiten für einen Angreifer Passwörter auszuspionieren. Hin und wieder wird es ihm durch das unbedachte „Verstecken“ von Passwortzetteln unter der Tastatur oder am Bildschirmrand sogar besonders leicht gemacht. Auch das über die Schulter schauen, sog. „Shoulder Surfing“ oder das Verwenden eines „Keyloggers“ um ihre Tastatureingabe zu dokumentieren sind gängige Methoden von Angreifern.
Brute-Force-Angriff
Bei einem Brute-Force-Angriff werden durch einen leistungsstarken PC automatisiert alle möglichen Zeichenkombinationen probiert. Heutzutage prüft ein durchschnittlicher PC gut mehrere Millionen Passwörter pro Sekunde. Mit einem Passwort, das aus einer reinen Zahlen- oder Buchstabenkombination besteht, ist die Suche schnell erfolgreich. Sie sollten deshalb immer eine Kombination aus Buchstaben, Sonderzeichen und Ziffern für Ihr Passwort verwenden sowie auf eine angemessene Länge achten.
Wörterbuchangriff
Allein durch die Verwendung eines Wörterbuchs kann Ihr Passwort in der Regel nicht geknackt werden, jedoch stehen Angreifern diverse Programme als Helfer zur Verfügung. Es werden mithilfe einer sogenannten Wordlist typische Wörter und Wortkombinationen aus (auch Fremdsprachen) Wörterbüchern vom PC automatisch getestet. Das Benutzen bestimmter Schemata und typischer Passwörter vereinfacht es den Angreifern zudem.
So verhalten Sie sich richtig:
- Verwenden Sie zur Absicherung ihrer Daten nur komplexe Passworte, die aus Buchstaben, Ziffern und Sonderzeichen bestehen. Ändern Sie ihr Passwort regelmäßig.
- Geben Sie Ihr Passwort niemals an fremde Personen heraus – schon gar nicht via E‑Mail oder Telefon.
- Behalten Sie Ihre Passwörter am besten im Kopf, benötigen Sie dennoch eine Gedächtnisstütze, achten Sie auf ausreichende Sicherheit. Ihre Passwörter gehören nicht unter die Schreibtischunterlage oder unverschlüsselt auf Ihr Smartphone oder Ihren PC.
- Achten Sie bei der Passworteingabe darauf, dass niemand Sie beobachtet.
Bisher erschienen in der Reihe “Informationssicherheit: Verhaltensregeln für Mitarbeiter”:
Teil 1: Allgemeine Informationssicherheit
Teil 2: Social Engineering
Teil 3: Passwortsicherheit
Teil 5: Virenschutz
Teil 6: E‑Mail-Sicherheit
Teil 7: Mobile Endgeräte und Datenträger
Teil 8: Verwendung von Software
Teil 9: Datenverluste
Teil 10: Schutz sensibler Daten durch Verschlüsselung
Bild: © Rike / pixelio.de
Dipl. Kfm. Reinhard Muth, DATEV eG

Reinhard Muth ist TÜVIT-geprüfter ISMS-Auditor und Security-Awareness-Koordinator. 1988 begann er, bei der DATEV eG zu arbeiten. Seit 1994 in der IT-Sicherheit, beschäftigt er sich schwerpunktmäßig mit den Themen ISMS und Awareness.

Neueste Kommentare