Sehen Sie dazu auch unsere aktuellen «Warnungen vor Internet-Gefahren».
Geklaute E-Mail-Passwörter
Ist Ihr E-Mail-Postfach noch sicher?
16 Millionen E-Mail-Konten sollen es sein, deren Passwörter geklaut wurden. Über BOT-Netze (unbemerkt ferngesteuerte PC‘s und Smartphones) haben Kriminelle über lange Zeit durch Schadsoftware Millionen von Passwörtern abgesaugt.
Seit Dienstag (21. Januar) macht das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einer grossen Kampagne auf die Gefahr aufmerksam und bietet gleichzeitig eine Möglichkeit an, zu prüfen, ob auch Ihre E-Mail-Adresse betroffen ist.
Wie können Sie Ihre Adresse testen?
Die Testseite des BSI finden Sie über die Kurzadresse bpaq.de/bsi
Dort finden Sie alle weiteren Schritte genau erklärt.
Was sagen die Schweizer Behörden zum Fall?
Zuständig (und auch kompetent) ist die Melde- und Analysestelle Informationssicherung MELANI. Auf deren Webseite findet man viele wichtige und auch nützliche Hinweise zur Internetsicherheit.
Nach Auskunft von Max Klaus, stellvertretender Leiter von MELANI, ist die Schweiz im Moment (22.1.2014) im Gespräch mit den deutschen Behörden zur Abklärung, welche Daten geliefert werden können, ohne die polizeilichen Abklärungen zu gefährden.
Für den Moment empfielt MELANI:
«Es lohnt sich auf jeden Fall, auf der vom BSI zur Verfügung gestellten Testseite seine E-Mail-Adresse(n) prüfen zu lassen. Handelt es sich um eine kompromittierte Adresse, erhält die entsprechende Person eine Rückmeldung per E-Mail. Ist eine Adresse kompromittiert, sollte das entsprechende Gerät gesäubert und allenfalls komplett neu aufgesetzt (installiert) werden. Ausserdem sind zwingend sämtliche auf diesem Gerät verwendeten Passwörter (E-Mail-Konto, E-Banking, Online-Shops, Ticketdienste usw.) unverzüglich zu ändern».
Veröffentlicht/zuletzt geändert: 22. Januar 2014
Brauche ich überhaupt ein (starkes) Passwort?
Viele Leute fragen sich – zu Recht! – ob es überhaupt für jeden Internetzugang ein Passwort braucht. Alarm! teilt diese Skepsis, wenn es z.B. bloss um das Abonnieren eines Newsletters geht. Aber: In den allermeisten Fällen geht es um den Schutz unserer Privatsphäre, darum, dass niemand unsere eigenen Bedürfnisse, Wünsche und Vorlieben manipulieren kann.
«Ich habe doch gar nichts zu verbergen»
Der grösste und folgenschwerste Irrtum, seit es Passwörter gibt!
Erstens: Der Schutz der Privatsphäre ist eine der wichtigsten Errungenschaften des modernen Rechtsstaates. Die Frage ist nicht, ob Sie etwas Verbotenes oder etwas Erlaubtes tun, sondern ob das Erlaubte andere etwas angeht oder nicht!
Zweitens: Was heute noch vertrauenswürdig erscheint, muss es nicht in alle Ewigkeit bleiben. Wir haben den USA vertraut, bis die NSA das Vertrauen zerstört hat. Wir vertrauen der EU, obschon wir nicht wissen, wer dort nach den nächsten Wahlen das Sagen haben wird. Und wir haben der Schweiz vertraut, bis schwache Behörden beim ersten Gegenwind aus den USA das vertraute Bankgeheimnis verraten und verkauft haben. Ohne uns Bürger zu fragen!
Drittens: Ohne starken Passwortschutz kann mit unseren Daten und unserem Geld sehr viel Unfug getrieben werden. Es kann für uns sehr teuer, allenfalls auch ruinös werden. Unsere Computer können aber auch für politische oder sonstige kriminelle Zwecke missbraucht werden, von denen wir meistens gar nichts ahnen.
Wie erhalte ich ein starkes Passwort?
Ein starkes Passwort ist möglichst lang (wobei mehr als zehn Zeichen in der Regel nicht nötig sind) und enthält möglichst viele unterschiedliche Zeichen (Gross- und Kleinbuchstaben, Zahlen, Satzzeichen, Umlaute etc.).
Das Problem sind vielfach die Betreiber von passwortgeschützten Systemen, die in Bezug auf die Länge und vor allem auf die Auswahl von Sonderzeichen unsinnige Einschränkungen haben. Umlaute gehen international gar nicht, Sonderzeichen sind je nach Tastatur kaum benutzbar. Protestieren Sie heftig bei solchen Firmen (denken Sie z.B. an die Banken, die auch heute noch Pins von lediglich sechs oder sogar nur vier Ziffern erlauben!)
Wie merke ich mir das Passwort?
Richtig gute Passwörter sind schwierig zu merken, sonst wären sie nicht gut.
Wer sich nicht Passwörter durch einen Passwortgenerator erstellen lässt, fährt am besten durch einen möglichst unsinnigen Merksatz: Meine 7 Grossmütter haben den Gartenzaun wegen der Affen grün gestrichen wird zu M7Ghd#wd@gg
Haben Sie sehr viele Passwörter und wollen Sie diese nicht durch einen Passwortmanager verwalten lassen, müssen Sie sie vermutlich irgendwo aufschreiben. Ein grosses Sicherheitsrisiko!
Aber auch hier gibt es für den Hausgebrauch einen brauchbaren Sicherheitstipp:
Legen Sie sich eine Liste der passwortgeschützten Seiten an, die Sie durchaus offen bezeichnen können (Bank A, Buchhändler B) und denen Sie einen einfachen Code zuordnen (BA, BB).
Diesen Code fügen Sie dann jeweils an einer bestimmten Stelle (z.B. nach dem zweiten Zeichen) in das «Master-Passwort» ein. Das sieht dann so aus: für die Bank: M7BAGhd#wd@gg für den Buchhändler: M7BBGhd#wd@gg
Wenn Sie das Passwort ändern – und das sollten Sie häufiger tun – brauchen Sie dann nur den unsinnigen Merksatz zu ändern.
Wie stark ist mein Passwort überhaupt?
Die Grundsätze für ein starkes Passwort haben wir eingangs erklärt – um es realitätsnah zu testen, empfehlen wir die zwei folgenden Seiten:
http://review.datenschutz.ch/passwortcheck/check.php
http://www.password-meter.com/
Und zum Schluss ganz wichtig: Unsere Tipps taugen «zum Hausgebrauch», also für Private und kleine Firmen ohne besondere Sicherheitsanforderungen. In diesem Bereich sind sie gut – aber natürlich mit entsprechendem Aufwand und krimineller Energie zu knacken. Wer höhere Ansprüche an die Sicherheit hat, muss sich unbedingt professionelle Beratung holen.
Veröffentlicht/zuletzt geändert: 22. Januar 2014
