Sicher sein vor Hackerangriffen

05.05.2022 09:22

123456 – Viele wären überrascht, wo man sich mit dieser Zahlenfolge überall einloggen kann. Denn so lautet das weltweit am häufigsten genutzte Passwort. Das macht es Hackern einfach, in Systeme, Konten und Geräte einzudringen. Auch wer ein kreativeres Passwort wählt, sollte regelmässig das Passwort zu ändern – oder besser gesagt die Passwörter. Denn, ja, es sollten viele verschiedene sein. Sonst haben Hacker nicht nur auf ein Konto, sondern auf mehrere Zugriff.

Ein gutes Passwort sollte möglichst lang sein und mindestens eine Zahl und ein Sonderzeichen enthalten. Je mehr Zeichen es sind, desto länger dauert die Entschlüsselung: Bei einem sechsstelligen Passwort, das aus allen möglichen Buchstaben und Zahlen bestehen kann, sind es höchstens 26 Sekunden. Bei sieben Zeichen dauert die Berechnung bereits 27 Minuten, bei acht Zeichen sogar 28 Stunden. Bei 15 Zeichen sind die Kombinationen schier unendlich: Sie alle zu berechnen würde 11 Milliarden Jahre dauern.
Am besten sind daher sehr komplexe, lange Passwörter mit zufälligen Zahlen- und Buchstabenfolgen – oder lange Wörter oder Sätze, bei denen Buchstaben durch Zahlen ersetzt werden, zum Beispiel «Z!tr0nen5aft». Um den Überblick zu behalten können dabei sogenannte Passwortmanager helfen.

Auch das Smartphone schützen

Auf mobilen Geräten gelten Fingerabdruck-Sensoren und Gesichtserkennungsprogramme als besonders sicher, da sie einzigartige biometrische Daten nutzen. Trotzdem konnten auch schon die Fingerabdrucksensoren gehackt werden und Gesichtserkennungsprogramme haben ebenfalls Sicherheitslücken. Zwar gilt es als sehr aufwändig, diese Optionen zu hacken. Aber sie können dann im Fall eines Missbrauchs auch nicht so einfach geändert werden wie ein Passwort – schliesslich hat man nur ein Gesicht und einen Fingerabdruck. Ansonsten bleiben zur Sicherung des Smartphones noch Pin-Codes oder Entsperrmuster. Bei Pin-Codes hängt die Sicherheit wie bei anderen Passwörtern wieder von der Länge ab: Vierstellige Pin-Codes haben «nur» 10 000 verschiedene Kombinationsmöglichkeiten, bei sechsstelligen Codes sind es eine Million Optionen.

Das gängige Entsperrgitter hat theoretisch 400 000 unterschiedliche Möglichkeiten, darauf ein Muster zu zeichnen. Diese Möglichkeiten werden allerdings in der Regel nicht ausgenutzt, wie in verschiedenen Studien herausgefunden wurde: Buchstaben wie L, Z und U sind die gängigsten Entsperrmuster – fast die Hälfte aller Muster startet oben links. Auch hier gilt: Lieber kompliziert, als eines, das sich anhand der Daumenbewegungen einfach erkennen lässt. Es können nämlich immer andere Menschen beim Entsperren des Handys zuschauen, zum Beispiel in öffentlichen Verkehrsmitteln.

Vorsicht ist auch im öffentlichen WLAN geboten: Sogenannte Evil Twin Networks sehen aus wie echte WLAN-Netzwerke – beim Einloggen wird allerdings eine Schadsoftware installiert. Öffentliches WLAN sollte daher vermieden werden, besser sind mobile Daten. Für einen guten Schutz ist es allerdings auch wichtig, Geräte regelmässig zu aktualisieren. Denn Hacker nutzen die Schwachstellen von Geräten, die noch alte Betriebssysteme nutzen.

Kein Passwort schützt vor Phishing

Doch das komplizierteste Passwort nützt wenig, wenn die Tür für Hacker geöffnet wird. Das geschieht beispielsweise durch die sogenannten Phishingmails: Das sind getarnte E-Mails, die dazu verleiten sollen, auf Links zu klicken oder Dokumente herunterzuladen – und so entweder versteckte Schadsoftware zu installieren oder Hackern unbemerkt die eigenen Anmeldedaten zur Verfügung zu stellen. Das können Mails sein, die aussehen, als wären sie von einer Mitarbeiterin oder einem Freund verfasst worden. Oder aber welche, die Autorisierungsmails von Microsoft, Google oder Amazon imitieren sollen. Viele davon sortieren die gängigen Mailprogramme sowieso schon aus – allerdings nicht immer.

Um nicht in die Phishingfalle zu tappen, ist es wichtig, sich Mails genauer anzuschauen, bevor du auf Links klickst oder Dokumente runterlädst – insbesondere dann, wenn dringliche Forderungen platziert wurden: «Ihr Paket wird zurückgeschickt, wenn Sie nicht innerhalb der nächsten 24 Stunden mit diesem Link bestätigen» – damit wollen Hacker hektische Reaktionen erzwingen. Anzeichen für Phishing-Mails sind oft Rechtschreibfehler in der Nachricht oder eine andere Absenderadresse. Lieber stillsitzen als mit einem falschen Klick die eigenen Daten aufs Spiel zu setzen.

David Rutschmann