Kennnummern, TANs und PINs sind Schlüsselbegriffe der elektronischen Welt. Geldautomat und Online-Banking müssen ebenso vor unberechtigtem Zugriff geschützt werden wie PCs, Tablets und Mobiltelefone, privat und beruflich. Aber vielfach sind die gewählten Passwörter nicht sicher.
Hitliste der simplen Codes
Das Hasso-Plattner-Institut für Systemtechnik (HPI) in Potsdam befasst sich u.a. mit Fragen der Sicherheit von IT. In einer Ende Dezember 2015 veröffentlichten Studie wurden beliebte Passwörter ermittelt. „Unangefochten weltweit auf Platz 1 liegt leider nach wie vor die Zahlenreihe 123456, obwohl automatische Cracker solche simplen Passwörter als erstes und blitzschnell ermitteln“, sagt HPI-Direktor Christoph Meinel. Weitere Favoriten seien Zahlenreihen wie „111111“ (Platz 8), die Liebeserklärung „iloveyou“ (Platz 12), „Zeichenfolgen auf der Tastatur (z.B. qwerty)“ sowie „Vornamen oder andere Begriffe aus dem Wörterbuch, etwa das Wort `password´.“ Grundlage der Analyse waren fast 35 Millionen Datensätze, die von Cyberkriminellen geraubt und in speziellen Internetforen für mögliche weitere kriminelle Handlungen zugänglich gemacht wurden. „In Fällen von geraubten Identitätsdaten stehen laut den Statistiken der HPI-Sicherheitsforscher Passwörter mit weitem Abstand an der Spitze der entdeckten sensiblen Informationen: In 62 Millionen von 233 Millionen Fällen liegen sie sogar im Klartext vor. Nach Häufigkeit sortiert folgen dann Vor- und Zunamen (37 Mio.), Telefonnummern (32 Mio.) und – mit weitem Abstand – Kreditkartendaten (10.200).“ (Anm. 1)
Sichere Passwörter auch in Kulturbetrieben
Museen, Archive und Bibliotheken bewahren sensible Informationen auf. Dazu gehören zunächst die personenbezogenen Daten der Mitarbeiter, Einladungsverteiler oder Verzeichnisse von Mitgliedern und Nutzern, aus denen Hacker z.B. die Daten von Kreditkarteninhabern abschöpfen können. Ferner ist an die Datensätze für Leihgeber und Versicherer zu denken sowie an Informationen über Speditionen, Sicherheitsunternehmen u.a. Partner. (Anm. 2) Auch Kultureinrichtungen unterliegen den gesetzlichen Bestimmungen zum Datenschutz des Bundes und der Länder, deren Ziel es u.a. ist, die Persönlichkeitsrechte zu schützen. Kulturbetriebe sollten ihre Mitarbeiterinnen und Mitarbeiter mehr über Risiken der IT informieren, nicht zuletzt weil sie im Rahmen ihrer professionellen Tätigkeit zur Vertraulichkeit verpflichtet sind. (Anm. 3)
Was man tun kann
Um zu wissen, ob die eigenen Daten zu den gehackten zählen, „kann jedermann mit dem `Identity Leak Checker´ des Instituts überprüfen, ob seine persönlichen Identitätsdaten betroffen sind. Wer auf sec.hpi.de/ilc seine E-Mailadresse eingibt, erfährt nach einem Abgleich sofort, ob diese in Verbindung mit anderen persönlichen Daten (z.B. Passwörtern oder Kontonummern) offengelegt wurde und so missbraucht werden könnte.“ (Anm. 4) Bislang haben rund 1,7 Mio Besucher den seit Mai 2014 kostenlos angebotenen Dienst beansprucht, wobei bislang 160.000 Warnmeldungen wegen unrechtmäßig veröffentlichter Identitätsdaten versandt wurden. Tipps vom Bundesamt für Sicherheit in der Informationstechnik für ein gutes Passwort:
• Es sollte mindestens zwölf Zeichen lang sein.
• Es sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+ …) bestehen.
• Tabu sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten und so weiter.
• Wenn möglich, sollte es nicht in Wörterbüchern vorkommen.
• Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht asdfgh oder 1234abcd und so weiter.
• Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? #, am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist auch nicht empfehlenswert. (Anm. 5)
Ansprechpartner und Informationen
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Bietet Web-Angebote mit aktuellen Informationen über Chancen, Risiken und Bedrohungen beim Einsatz von IT. Das BSI stellt Lösungsansätze und Handlungsempfehlungen zur Verfügung, darunter die „IT-Grundschutz-Kataloge“.
www.bsi.bund.de
Deutschland sicher im Netz e.V. (DsiN e.V.)
Informiert produktneutral und herstellerübergreifend sowohl kleine und mittelständische Unternehmen, als auch Bürgerinnen und Bürger aller Altersgruppen einschließlich Kindern und Jugendlichen zu Fragen der IT-Sicherheit.
www.sicher-im-netz.de
Dr. Berthold Schmitt, Herausgeber der Fachzeitschrift KulturBetrieb
Anm. 1: HPI-Pressemeldung: Allein 2015 spürte HPI im Internet 35 Millionen geraubte Identitätsdaten auf (31.12.2015), in: hpi.de/pressemitteilungen/2015/allein-2015-spuerte-hpi-im-internet-35-millionen-geraubte-identitaetsdaten-auf.html; Abfrage: 04.01.2016
Anm. 2: Vgl. dazu Berthold Schmitt, IT-Sicherheit für Museen, Bibliotheken und Archive. Cyberkriminelle können wertvolle Informationen abschöpfen, in: KulturBetrieb, vier 2014, S. 56 f.
Anm. 3: Vgl. Ethische Richtlinien von ICOM; hrsg. von ICOM – Internationaler Museumsrat: ICOM Schweiz, ICOM Deutschland, ICOM Österreich, zweite überarbeitete Auflage, 2006, S. 26.
Anm. 4: HPI-Pressemeldung vom 31.12.2015
Anm. 5: https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Passwoerter/passwoerter_node.html; Abfrage: 04.01.2016
Dieser Beitrag wurde erstmals publiziert in "KulturBetrieb. Magazin für innovative und wirtschaftliche Lösungen in Museen, Bibliotheken und Archiven", eins 2016, S. 56-57.
