Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Ist mein Passwort noch sicher?

Unsere Passwörter schützen heutzutage mehr sensible und persönliche Daten als je zuvor. Der Leak-Checker der Uni Bonn hilft die digitale Identität zu schützen. (Quelle: hiz)

 

Digitaler Identitätsdiebstahl hat viele Gesichter und verursacht nicht nur finanzielle, sondern auch psychische und soziale Schäden bei den Betroffenen. Zugrunde liegt häufig ein Leak, also eine Veröffentlichung der geklauten Daten. Gleich zwei weltweite Aktionstage machen in Kürze auf das Problem aufmerksam: der „Check your Password Day“ am 1. Februar und der „Safer Internet Day“ am 9. Februar. Informatiker der Universität Bonn haben einen „Leak-Checker“ entwickelt, mit dem Nutzer sich schützen und einfach prüfen können, ob persönliche Daten in einem gestohlenen Datensatz enthalten sind.

 

Jemand anderes bestellt teure Dinge im Internet auf einen fremden Namen – und fremde Kosten. Ein Unbekannter hat Zugriff auf private Fotos in einer Cloud. Digitaler Identitätsdiebstahl hat viele Gesichter und verursacht nicht nur finanzielle, sondern auch psychische und soziale Schäden bei den Betroffenen. Zugrunde liegt häufig ein Leak, also eine Veröffentlichung der geklauten Daten. Gleich zwei weltweite Aktionstage machen in Kürze auf das Problem aufmerksam: der „Check your Password Day“ am 1. Februar und der „Safer Internet Day“ am 9. Februar. Auch Forscher an der Universität Bonn befassen sich intensiv mit dem Thema: Ein Team aus der Informatik hat einen „Leak-Checker“ entwickelt, mit dem Nutzer sich schützen und einfach prüfen können, ob persönliche Daten in einem gestohlenen Datensatz enthalten sind.

 

Tipps für starke Passwörter

 

Für den möglichst sicheren Umgang mit Online-Konten und die Wahl sicherer Passwörter gibt es leicht umsetzbare Tipps. Wir fassen die wichtigsten Hinweise zusammen:

 

* Passwörter sollten möglichst lang sein

 

* Es sollten eigene Zeichenkombinationen statt Wörtern aus dem Wörterbuch verwendet werden

 

* Kennwörter sollten niemals mehrfach für unterschiedliche Dienste genutzt werden

 

* Zwei-Faktor-Authentifizierung sollte bei allen Diensten genutzt werden, die dies ermöglichen

 

Wenn Sie sich an diese Regeln halten, ist eine Passwortänderung höchstens dann wirklich erforderlich, wenn es bei einem verwendeten Dienst zu einem Datendiebstahl kam. Allerdings stellt sich natürlich die berechtigte Frage, wie man sich derartige Kennwörter ausdenken und merken soll. Ein Tipp für dieses Problem ist, sich zu Anwendungen passende Sätze auszudenken und das jeweilige Passwort aus den Anfangsbuchstaben abzuleiten. So könnte das Kennwort für die Smart-Home-Zentrale beispielsweise lauten „Das Smart Home für unsere 4-köpfige Familie steuert die Lampen in allen 6 Zimmern!“ – daraus wird dann „DSHfu4kFsdLia6Z!“.

 

Passwort Manager erleichtern das Leben

Noch komfortabler wird die Verwaltung von sicheren Kennwörtern durch Passwort-Manager. Diese Tools speichern auf Wunsch ausgewählte oder sämtliche Passwörter ab, vergessen nichts und übernehmen auch die Erstellung garantiert zufälliger Passwörter. Durch die passenden Apps für Mobilgeräte oder Erweiterungen für Internetbrowser wird dann sogar die Kennworteingabe noch komfortabler. Es gibt inzwischen eine riesige Auswahl derartiger Tools mit unterschiedlichsten Methoden zum Datenabgleich und für vielfältige Einsatzzwecke.

 

Der Türsteher für das WLAN

Besonders wichtig ist bei solchen Überlegungen auch das Kennwort für das private WLAN. Schließlich verbirgt sich hinter diesem kabellosen Zugang das Heimnetzwerk mit allen angeschlossenen Geräten. Neben einem sicheren Passwort ist deshalb auch auf moderne Sicherheitsfunktionen zu achten. Dazu gehört beispielsweise eine Verschlüsselung nach aktuellen Standards (mindestens WPA2). Diesen Anforderungen müssen neben dem Router natürlich auch alle anderen Geräte standhalten, die das Internet durch die heimischen vier Wände leiten – wie zum Beispiel Powerline-Adapter mit WLAN-Funktion. Die deutschen Netzwerk-Spezialisten von devolo aus Aachen liefern mit der Produktreihe devolo Magic solch eine sichere Heimnetzwerklösung. Die flexibel einsetzbaren Adapter verwandeln jede Steckdose in einen pfeilschnellen Zugang für kabelgebundenes oder kabelloses Internet und erfüllen modernste Sicherheitsstandards: WPA3 sowie WPA2 sichern das Heimnetzwerk gegen Eindringlinge. Und durch clevere Extras wie zum Beispiel den Gästezugang per QR-Code können Nutzer ebenso komplexe wie sichere Passwörter vergeben und ihren Gästen trotzdem bequem Zugriff gewähren.

 

Uni-Bonn Leak-Checker informiert über gestohlene Kontodaten

Der Leak-Checker ist aus dem Forschungsprojekt EIDI ("Effektive Information nach digitalem Identitätsdiebstahl) entstanden und wird vom Start-up-Vorhaben „Identity Guard“ betrieben. Dahinter stehen drei Informatiker der Universität Bonn – Timo Malderle, Pascua Theus und Prof. Michael Meier. Sie werden die Forschungsergebnisse dahingehend weiterentwickeln, dass Online-Diensten und Unternehmen fertige Produkte zum Schutz vor Identitätsdiebstahl angeboten werden können. Beispielsweise können Onlineshops vor Betrügern, die mit gestohlenen Identitätsdaten einkaufen, geschützt werden. Der „Uni-Bonn Leak-Checker“ nutzt ein neu entwickeltes Verfahren, mit dem Identitätsdaten-Leaks aufgespürt, automatisiert ausgewertet und datenschutzkonform zur Warnung weitergegeben werden können. Besonders der Datenschutz und der Informationsgehalt sind im Vergleich zu anderen Leak- Checkern verbessert: So kann man bei anderen Anbietern zum Beispiel beliebige, auch fremde, Mailadressen eingeben und bekommt die Informationen über gestohlene Kontodaten direkt angezeigt. Somit kann jeder erfahren, wessen Daten geleakt wurden und bei welchen Diensten diese Person angemeldet ist. Um das auszuschließen, kommuniziert der Leak- Checker der Uni Bonn direkt mit den Betroffenen, indem das Ergebnis per E-Mail an die überprüfte E-Mail-Adresse versendet wird. „Der Nutzer bekommt dann aber nicht nur einen Hinweis auf den Anbieter, bei dem er einen Account hat (zum Beispiel Twitter oder Myspace), sondern auch Bruchstücke des eigenen geleakten Passworts angezeigt“, erklärt Timo Malderle, Wissenschaftler am Institut für Informatik der Universität Bonn und Mitgründer von Identity Guard. So könne der Nutzer sich erinnern, wie das Passwort in Gänze lautet, wo er es verwendet hat und dann gegebenenfalls direkt ändern, sollte es noch aktuell sein.

 

Daten werden pseudonymisiert und verschlüsselt

Doch nicht nur der Weg der Meldung an den Nutzer birgt Tücken beim Leak- Check. Auch das Verfahren, mit dem die Wissenschaftler die Datensätze analysieren, muss dem Datenschutz genügen und die Schwierigkeiten der Auswertung meistern: In Bonn werden deswegen die Daten schon beim Einlesen in einem speziellen Verfahren pseudonymisiert und verschlüsselt. Bei der Auswertung müssen die relevanten Merkmale, wie zum Beispiel das Passwort, die E-Mail-Adresse, der Benutzername oder das Geburtsdatum, erkannt und voneinander unterschieden werden. In den geleakten Daten sind aber sowohl diese Identitätsmerkmale wie auch die Zeichen, um diese in einer Datenzeile zu trennen, nicht einheitlich. Die Bonner Forscher entwickelten für dieses Problem eine Software für die automatisierte Auswertung. „Persönlich bekommen wir gar nicht mit, welcher Nutzer eine Anfrage an den Leak-Checker stellt“, sagt Malderle dazu. Von der Eingabe der Mailadresse, der Pseudonymisierung, dem Abgleich mit dem geleakten Datensatz und der Antwort an den Nutzer läuft alles automatisch ab.

 

In dem Projekt der Universität Bonn werden nur öffentlich zugängliche Identitätsdaten-Leaks aus dem Internet oder dem sogenannten Darknet genutzt, also keine Leaks von Kriminellen gekauft. Etwa 25 Milliarden Datensätze, also Zeilen mit zueinander passenden Identitätsmerkmalen, konnten bislang mit der neuen Software analysiert werden – automatisiert und datenschutzkonform. Diese Ergebnisse präsentiert das Team der Uni Bonn auch auf dem renommierten BSI Sicherheitskongress, auf dem sich Politik und IT- Sicherheitsexperten in Bonn am 2. und 3. Februar virtuell treffen.

 

Wie kann man sich vor dem Diebstahl persönlicher Daten im Internet schützen?

Wichtigste Maßnahme aus Sicht von Malderle ist, sein E-Mail-Konto zu schützen. Denn durch Zurücksetzen des Passwortes bei anderen Anbietern kann man über die E-Mail-Adresse fast alle anderen Konten knacken. Bei der Absicherung gilt: „Umso länger und komplexer das Passwort ist, desto besser ist ein Benutzerkonto geschützt.“ 12 Stellen sollte ein Passwort mindestens haben. Optimal wären aber 16 oder mehr. Außerdem bietet eine sogenannte Zweifaktor-Absicherung noch einen deutlich höheren Schutz, zum Beispiel neben dem Passwort noch die zusätzliche Anmeldung mit einem Einmalpasswort oder einer SMS.

 

Darüber hinaus ist es deutlich sicherer, für jeden Account ein anderes Passwort zu benutzen. Wird das Passwort bei einem Dienst gestohlen, dann sind sofort die anderen Dienste auch ungeschützt, bei denen dasselbe Passwort verwendet wird. Also besser zweimal überlegen, ob man wirklich für verschiedene Konten das gleiche Passwort nimmt. Ein Passwortmanager, die auch über den Browser angeboten werden, können hier auch helfen, um nicht den Überblick zu verlieren. „Man sollte seine Passwörter aber auf keinen Fall unverschlüsselt digital speichern, also auf dem Rechner oder dem Handy“, sagt Malderle.

 

Siehe auch:

https://leakchecker.uni-bonn.de/

https://itsec.cs.uni-bonn.de/identity-guard/

https://www.devolo.de/

 

Zurück