Passwörter im Alltag oft unsicher – was schützt wirklich?
Die Menschen in Deutschland, die sich im Internet bewegen, haben großes Vertrauen in ihre Passwörter, verhalten sich im Alltag aber oft leichtsinnig. (Symbolbild) Foto: Fabian Sommer/dpa
Viele halten ihre Passwörter für sicher, doch nutzen kaum moderne Schutzmethoden. Warum das ein echtes Risiko ist – und wie Experten zur Passwort-Zukunft stehen.
Frankfurt/Main. Die Menschen in Deutschland, die sich im Internet bewegen, haben großes Vertrauen in ihre Passwörter, verhalten sich im Alltag aber oft leichtsinnig. Das ist das Ergebnis einer aktuellen YouGov-Umfrage im Auftrag des eco – Verband der Internetwirtschaft zum Welt-Passwort-Tag. Rund drei Viertel der Befragten (74 Prozent) halten ihre eigenen Online-Passwörter für eher oder sogar sehr sicher. Lediglich 19 Prozent bewerten ihren Schutz als unsicher.
Diese gefühlte Sicherheit scheint jedoch eine Fehleinschätzung zu sein. Denn trotz der steigenden Gefahr durch Cyberkriminalität setzen die Verbraucherinnen und Verbraucher in der Mehrheit auf veraltete und unsichere Verhaltensweisen. In der repräsentativen Umfrage unter 2.134 Befragten sagten nur 32 Prozent, dass sie das moderne Verfahren Passkeys verwenden, um sich biometrisch anzumelden. Und nur ein Viertel der Befragten schützt sich mit einer Zwei-Faktor-Authentifizierung.
Passkeys deutlich sicherer
Passkeys gelten als besonders sicher, weil es kein Passwort gibt, das man erraten oder ausspähen kann. Ein Passkey ist ein digitaler Schlüssel, der automatisch auf dem Gerät (etwa Smartphone oder Laptop) gespeichert wird. Statt ein Passwort einzugeben, bestätigt man seine Identität mit einem Fingerabdruck, der Gesichtserkennung (Face ID) oder einer Geräte-PIN – so wie man ein Handy entsperren kann – nur eben für Logins.
Die Freischaltung mit Face ID oder Fingerabdruck funktioniert nur auf der echten Website. Daher ist das Risiko ausgeschlossen, dass man auf einer Fake-Website sensible Daten eingibt. Mit Passkeys bekommt man auch das Problem von wiederverwendeten Passwörtern in Griff, weil die biometrische Bestätigung das Passwort ersetzt.
Norbert Pohlmann, Vorstand für IT-Sicherheit im eco Verband, hält es bei der wachsenden Zahl an Online-Accounts für unrealistisch, sich alle Passwörter im Kopf zu merken. Das führe unweigerlich zu gefährlichen Notizen am Schreibtisch oder zur Mehrfachnutzung von Passwörtern. Er warnt: „Das reine Passwort-Verfahren ist die unsicherste Möglichkeit der Authentifizierung und ein massives Einfallstor für Ransomware-Angriffe.“
Bei Ransomware-Angriffen verschlüsseln Cyberkriminelle Daten auf Servern und Computern ihrer Opfer mit hochkomplexer Schadsoftware. Eine Entschlüsselung wird nur gegen Zahlung eines Lösegelds (englisch: ransom) in Aussicht gestellt.
Betrüger versuchen an Daten zu kommen und nutzen dafür unterschiedliche Methoden. (Symbolbild) Foto: Philip Dulian/dpa
Pohlmann geht aber davon aus, dass im Laufe der Zeit sich die modernen Authentifizierungsverfahren durchsetzen werden. Laut der YouGov-Umfrage loggen sich in der sogenannten Generation Z (18 bis 29 Jahre) bereits 41 Prozent passwortlos ein. Die Gesellschaft befindet sich laut Pohlmann in einer Übergangsphase, in der das Passwort zunehmend ergänzt oder ganz ersetzt wird.
Passkeys für etliche Verbraucher nicht alltagstauglich
Die Einrichtung eines Passkeys ist aber manchem Anwender zu kompliziert. Daher sieht Cybersicherheitsexperte Christian Dörr vom Hasso-Plattner-Institut (HPI) in Potsdam im Passwort auch kein Auslaufmodell. „Trotz aller Fortschritte bei biometrischen Verfahren und passwortlosen Technologien bleibt das Passwort ein zentraler Baustein digitaler Sicherheit“ Cybersicherheit dürfe nicht nur für Expertinnen und Experten funktionieren. „Wenn Sicherheitsverfahren für die breite Bevölkerung zu kompliziert, zu technisch oder im Alltag zu umständlich sind, werden sie schlicht nicht konsequent genutzt“, sagte der HPI-Professor der dpa.
Passwörter durch Zusatzmaßnahmen schützen
Die gute Nachricht für Verbraucher: Auch mit dem Passwort kann man seine Online-Zugänge sicher schützen, wenn man zusätzliche Sicherheitsmaßnahmen unternimmt. So empfehlen die Sicherheitsexperten beim Verzicht auf Passkeys zumindest die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren. Dabei muss nach der Passworteingabe ein zusätzlicher Code eingegeben werden, der beispielsweise per App oder SMS verschickt wird. Der große Vorteil: Selbst wenn Kriminelle ein Passwort erbeutet haben, schützt dieser zusätzliche Faktor das Konto vor unbefugtem Zugriff. Bereits 39 Prozent der Menschen in Deutschland nutzen laut eco-Umfrage diesen wirksamen Schutz.
Jüngere Nutzer schützen ihre Daten oft schon anders. (Symboldbild) Foto: Elisa Schu/dpa
Auf einen Passwort-Manager umsteigen
Um der Zettelwirtschaft ein Ende zu bereiten, empfiehlt sich die Nutzung eines Passwort-Managers. Dieses Programm generiert für jeden Dienst ein sicheres Passwort und stellt diese auf unterschiedlichen Geräten verschlüsselt zur Verfügung. Nutzerinnen und Nutzer müssen sich damit nur ein einziges Kennwort merken. Aktuell greifen darauf erst 24 Prozent der Deutschen zurück.
Vorsicht vor Phishing – misstrauisch bleiben
Die besten Passwörter nützen nichts, wenn auf Betrüger hereingefallen wird. Oft werden Zugangsdaten über täuschend echt aussehende Webseiten oder E-Mails durch sogenanntes Phishing abgefischt. Daher sollten bei jeder E-Mail verdächtige Inhalte, Absender und Webadressen (URLs) sorgfältig geprüft werden. Die Eingabe von Zugangsdaten sollte ausschließlich auf vertrauenswürdigen Plattformen erfolgen.
