Themen
Tipp des Monats
Machen Sie in nur zehn Minuten den IT-Sicherheitscheck von Deutschland sicher im Netz. Der Test liefert Handlungsempfehlungen, mit denen Sie die eigene IT-Sicherheitslage verbessern können.
Newsletter
Um neue Beiträge regelmäßig zu erhalten, können Sie hier unseren Newsletter abonnieren:
Artikel-Serie “Sichere Identitäten sind erreichbar” — Teil 2
Digitale Identität schützen: Passwort und elektronischer Personalausweis
Der Klau von E‑Mail-Adressen, Passwörtern und PINs gehört heute zum Internet-Alltag. Laut Umfrage des Wirtschaftsauskunftsdiensts Schufa ist bereits jeder fünfte Deutsche einmal Opfer eines Identitätsdiebstahls geworden, die finanziellen Schäden gehen in die Millionen. Doch damit muss man sich nicht abfinden. Werden eine Reihe von einfachen Regeln befolgt und bewährte technische Hilfsmittel genutzt, lässt sich die digitale Identität im Internet schützen.
Ob beim Internet-Einkauf, auf Social-Media-Kanälen oder beim Online-Banking: Benutzername und Passwort sind die häufigsten Mittel zur Identitäts-Feststellung. Fällt ein Passwort in die falschen Hände, kann das schwerwiegende Folgen nach sich ziehen. So können Cyber-Kriminelle unter falscher Identität Waren einkaufen, Online-Konten plündern oder Chats für ihre persönlichen Zwecke missbrauchen. Angesichts der Bedeutung des Passworts ist ein sorgfältiger Umgang damit unumgänglich.
Sicheres Passwort – Gewusst wie
Die meist genutzten Passwörter in Deutschland sind ‚123456’ und ‚hallo’, wie Wissenschaftler des Hasso-Plattner-Instituts in einer aktuellen Untersuchung feststellten. Solche schwachen und unsicheren Passwörter sind für geübte Hacker kein Hindernis und einfach ausgespäht. Zudem verwenden viele Internet-Nutzer ein Passwort für mehrere Accounts. Ist erst mal ein Dienst kompromittiert, dann sind auch die anderen Accounts mit demselben Passwort in großer Gefahr.
Ein paar einfache Verhaltensregeln für starke und sichere Passwörter helfen hier weiter:
- Niemals dasselbe Passwort bei mehreren Diensten verwenden.
- Starke Passwörter bestehen aus Buchstaben, Ziffern und Sonderzeichen. Auch Groß-und Kleinschreibung sollte man einsetzen.
- Die angemessene Länge beträgt mindestens 8 Stellen. Generell gilt: Je länger ein Passwort ist, desto sicherer ist es.
- Es empfiehlt sich, die Passwörter regelmäßig (zum Beispiel alle 6 Monate) zu ändern; auf jeden Fall aber, wenn der Verdacht besteht, dass das Passwort ausgespäht wurde.
Mit der Zeit kommt eine Vielzahl von Passwörtern für die unterschiedlichsten Dienste zusammen und es kann sehr schnell unübersichtlich werden. Das Rechenzentrum in Konstanz rät dann zu einer Gedächtnisstütze, die aus einem einfachen, individuell aus-gesuchten Satz besteht. Zum Beispiel: Mein Opa (Heinrich) ist 79 Jahre alt geworden! Die ersten Buchstaben der Worte und die Sonderzeichen ergeben dann das Passwort: MO(H)i79Jag!
Eine komfortable Alternative sind so genannte Passwort-Manager, die sensible Daten wie Benutzername und Passwort verschlüsselt in einer Datenbank auf der Festplatte des Computers speichern. Nur nach Eingabe des Master-Kennworts geben die Software-Programme diese Informationen frei. Damit man die Übersicht behält, lassen sich die Einträge nach Kategorien (wie Dienste, Bankdaten, Lizenzschlüssel) sortiert ablegen. Und ist ein neues Passwort nötig, hilft der Passwort-Generator. Für viele Passwort-Manager gibt es mittlerweile spezielle Apps für Smartphone und Tablets, die den Zugriff auf die Passwort-Datenbank auch von unterwegs erlauben.
Sichere und starke Passwörter sind die Grundvoraussetzung für ‚Sichere Identitäten’. Geht es um sehr sensible und persönliche Daten, beispielsweise im Fall von Online-Banking, Bezahl-Services, Cloud-Speichern oder Social Media-Profilen, ist ein zusätzlicher Schutz ratsam.
Neuer Schwung für den elektronischen Personalausweis
Millionen Deutsche besitzen bereits eine der sichersten elektronischen Identitätskarten (eID-Karte) weltweit. So enthält der im Jahr 2010 eingeführte Personalausweis und der elektronische Aufenthaltstitel (eAT) eine Online-Ausweisfunktion (eID-Funktion): einen Chip mit den gleichen persönlichen Daten, die auch auf der Karte zu sehen sind. In Verbindung mit einem speziellen Lesegerät können sich Ausweisinhaber gegenüber Behörden und Unternehmen eindeutig und zweifelsfrei identifizieren. Dazu nutzt die Online-Ausweisfunktion eine Zwei-Faktor-Authentifizierung mit den Faktoren „Besitz“ (eID-Karte) und „Wissen“ (6‑stellige PIN). Weil die Daten immer verschlüsselt übertragen werden, besteht ein starker Schutz vor Datendiebstahl.
Die Nutzung des elektronischen Identitätsnachweises bleibt nach Angaben der Bundesregierung jedoch hinter den Erwartungen zurück. Nur bei einem Drittel der rund 51 Millionen ausgegebenen Ausweise ist die eID-Funktion auch tatsächlich freigeschaltet.
Das wird sich in Zukunft ändern: Drei Entwicklungen werden den Einsatz und die Verbreitung der eID-Karten entscheidend fördern: Eine neue Gesetzesinitiative, die mobile Verwendungsmöglichkeit mit Smartphone und Tablett sowie die europaweite Nutzbarkeit.
Anfang Dezember 2016 stellte die Bundesregierung einen Gesetzentwurf zur „Förderung des elektronischen Identitätsnachweises vor.“ Wichtigste Neuerung: Die eID-Funktion soll in Zukunft bei jedem Ausweis automatisch und dauerhaft eingeschaltet sein. Bisher muss die Online-Ausweisfunktion vom Ausweisinhaber extra aktiviert werden: Das ist beim Abholen des Ausweises oder später möglich. Gleichzeitig sieht der Entwurf vor, das Verfahren zu vereinfachen, mit dem Unternehmen und Behörden eine Berechtigung zum Auslesen der eID-Daten erhalten.
Zudem hat die Bundesrepublik Deutschland bei der Europäischen Kommission ein Verfahren zur Notifizierung gemäß eIDAS eingeleitet, nach dessen Abschluss es für deutsche Bürger ab dem 29. September 2018 möglich sein wird, die Online-Ausweisfunktion auch in anderen Ländern des Europäischen Wirtschaftsraums (EU sowie Norwegen, Island und Liechtenstein) einzusetzen. Der rechtliche Rahmen dafür bietet die eIDAS-Verordnung für die gegenseitige Anerkennung von elektronischen Identifizierungsmitteln und Vertrauensdiensten in der EU. Ziel im Bereich der elektronischen Identifizierung ist es, die grenzüberschreitende Abwicklung von Verwaltungsdienstleistungen auf europäischer Ebene erheblich zu vereinfachen. Ein entsprechendes Pilotprojekt wurde Ende Januar 2017 erfolgreich abgeschlossen. So lässt sich die Online-Ausweisfunktion des deutschen Personalausweises zum grenzüberschreitenden Identitätsnachweis bereits jetzt bei der niederländischen nationalen eID-Infrastruktur einzusetzen.
Mobile Ausweis-Apps bringen den elektronischen Identitätsnachweis in die mobile Welt. Die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte AusweisApp2 von Governikus ermöglicht es dem Anwender, mit geeigneten Smartphones und Tablets die Online-Ausweisfunktion unter Verwendung der integrierten NFC-Schnittstelle (Near Field Communication) zu nutzen. Ein separater Kartenleser ist dann nicht mehr nötig. Geplant ist, mit der mobilen AusweisApp2 und dem Smartphone als Lesegerät auch den Einsatz der Online-Ausweisfunktion über einen stationären PC zu ermöglichen.
Fazit: Sichere Identitäten sind für den Internet-Nutzer schon heute erreichbar. Bereits die Einhaltung einfacher Verhaltensregeln erhöht den Schutz vor einem Missbrauch der eigenen digitalen Identität erheblich. Weiterhin ist das Potenzial des elektronischen Personalausweises noch lange nicht ausgeschöpft. Die sich in der Praxis bewährte Online-Ausweisfunktion wird zukünftig eine stärkere Rolle spielen und die Identität von Millionen deutscher Bürger schützen. Lesen Sie im dritten Teil über die „Königsdisziplin“ des elektronischen Identitätsnachweises, die kaum bekannt, doch für die sichere Internet-Kommunikation und vertrauenswürdige Online-Transaktionen unerlässlich ist.
********************************************************************
Der Beitrag ist Teil der SIDBB-Artikelserie “Sichere Identitäten sind erreichbar” erschienen. Bisher erschienen: Teil 1 “Sichere Identität als Schlüsselelement für Vertrauen im Netz”.
2 Kommentare zu Digitale Identität schützen: Passwort und elektronischer Personalausweis
Schreiben Sie einen Kommentar
Ulrich Hamann, Sichere Identität Berlin-Brandenburg e.V. (SIDBB)
Ulrich Hamann ist Vorsitzender der Geschäftsführung der Bundesdruckerei. Hier schreibt er in seiner Funktion als Vorsitzender des Vereins Sichere Identität Berlin-Brandenburg e.V. (SIDBB).
Für DATEV sind Datenschutz und Datensicherheit seit Gründung des Unternehmens zentrale Elemente in der Geschäftspolitik. Daher engagiert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.
Noch einigermaßen sicher. Nachteil für den Verbraucher:
Ist der Ausweis weg, ist der Zugang weg. Ist das Handy weg, ist der Zugang weg. .….…… !
Ich habe die DsiN-Muster-Passwortkarte, das ist die richtige Richtung, für den Verbraucher nachvollziehbaren und transparent. Ich selber bin bei der One-Pad-Vergabe von Kennwörtern angekommen. Das läßt sich recht einfach in die Praxis umsetzen.
Sie sind gut unterwegs: Die meisten Fachleute
reden seit 20 Jahren den gleiche Schmarrn.
Da braucht es mal eine Diskussion auf Augenhöhe mit dem User
MFG Haldo Ulmann
[…] Teil 2 „Digitale Identität schützen: Passwort und elektronischer Personalausweis„ […]
Der elektronisch auslesbare nPA ist der absolute Quatsch. Prüft doch mal bei wieviel Unternehmen, bzw. staatlichen Stellen man diesen Ausweis anwenden kann. Ich hab mir alles was dazu benötigt wird angeschafft, funktioniert auch, bloss habe ich keinen Partner bei dem ich das anwenden kann. In unserem Bürgeamt wird gross dieser Pass angeboten, nur im gesamten Umfeld — Landratsamt, Bürgeramt, Landesregierung, Krankenkassen etc. nutzen das alles garnicht. — Alles rausgeschmissenes Geld.