Ein sicheres Passwort? Darauf kommt es an

Das 1x1 der Passwortsicherheit

Ein sicheres Passwort besteht aus mindestens acht Zeichen in Groß- und Kleinschreibung, Sonderzeichen und Zahlen in beliebiger Reihenfolge. Das ist den meisten bekannt. Trotzdem beachten nur Wenige diese Kriterien tatsächlich bei ihrer Passwortvergabe. IT-Experte Tobias Heintz von  der Universität Potsdam verrät, warum das Thema Sicherheit bei der Nutzung des Internets so wichtig ist – auch für Sie.

So erstellen Sie ein sicheres Passwort

  • Generieren Sie eine zufällige Kombination aus Buchstaben und Ziffern.
  • Wählen Sie insgesamt mindestens acht Zeichen als Länge.
  • Wechseln Sie ab zwischen Klein- und Großschreibung.
  • Nicht als Passwörter geeignet sind Namen, Geburtsdaten, gängige Wörter oder Tastaturmuster.
  • Ändern Sie wichtige Passwörter regelmäßig.
  • Speichern Sie Ihr Passwort nie unverschlüsselt digital.
  • Halten Sie Ihr Passwort stets geheim.

Warum Ihr Passwort sicher sein muss

Jeder kennt die Sprüche derer, die wenig Bedenken im Umgang mit Ihrer Online-Identität haben: „Bei mir ist sowieso nichts zu holen.“ Oder: „Meine Daten sind doch für niemanden interessant.“

Genau diese Art der Sorglosigkeit kann bei persönlichen Passwörtern ein folgenschwerer Irrtum sein. Denn ebenso wie beim Wohnungseinbruch ist auch für Internetkriminelle nicht nur die Aussicht auf die lukrative Beute reizvoll, sondern die günstige Gelegenheit.

Jedes unsichere Passwort ist so eine günstige Gelegenheit. Mit geklauten Daten betreiben ungebetene Gäste dann mitunter Identitätsdiebstahl – eröffnen zum Beispiel in Ihrem Namen Benutzerkonten und tätigen Bestellungen.

Illustration: ein Fingerabdruck

Ein sicheres Passwort für jeden Online-Service ist unverzichtbar, auch wenn Ihr E-Mail-, Amazon- oder Facebook-Account auf den ersten Blick keine allzu sensiblen Daten enthalten sollte.

Einzigartige Passwörter und Single Sign-On

Nur wenige Nutzer beherzigen die grundlegenden Regeln der Passwortsicherheit: lange, komplexe Zeichenkombinationen in wahlloser Reihenfolge. Schließlich kann man sich diese dann auch selbst nur noch schwer merken.

Auf der Negativ-Hitliste der am meisten verbreiteten Passwörter findet man daher katastrophale Sicherheitsphrasen wie „hallo“, „123456“ oder schlicht „passwort“. Allesamt kaum geeignet, um Hackern das Leben besonders schwer zu machen.  Vermieden werden sollten auch PINs und Passwörter, die beispielsweise aus vollständigen Wörtern, Teilen Ihres Namens oder Geburtsdatums, Telefonnummer oder Postleitzahl bestehen.

Tipp: Verwenden Sie Anfangsbuchstaben von Wortfolgen wie beispielsweise „Schokolade zum Frühstück“ = SzF.  Außerdem sollten Sie Ihre PIN in regelmäßigen Abständen ändern.

Vorsicht bei automatischer Vervollständigung

Viele Onlineshops und Plattformen bieten heute die Möglichkeit, sich ohne spezifische Registrierung beispielsweise mit dem Facebook-, Google- oder Twitter-Account oder anderen schon genutzten Daten einzuloggen – das sogenannte Single Sign-On (SSO). Das ist komfortabel, denn das bereits existierende Benutzerkonto dient als Generalschlüssel für weitere Angebote.

Ein Login-Screen online

Doch Vorsicht: Der SSO-Anbieter – zum Beispiel Facebook – erhält damit auch eine Vielzahl an Informationen über Sie. Theoretisch hat er Zugriff auf alle Ihre Aktivitäten auf den Seiten, die Sie durch Ihr Benutzerkonto verbundenen haben, zum Beispiel zu Sucheinträgen oder getätigten Einkäufen. Mit diesen Erkenntnissen vervollständigt der Anbieter dann Ihr Onlineprofil, um Sie zukünftig zum Beispiel vermehrt mit passender Produktwerbung zu erreichen.

Wie Sie mit yes® die Kontrolle über Ihre Daten behalten

Die sichere Lösung der Sparkassen ist der Identitätsdienst yes®: Mit nur wenigen Klicks können Sie sich auf den Portalen aller Sparkassen-Partnerhändler registrieren. Soweit kennen Sie das bereits vom Single Sign-On anderer Anbieter.

Ihr Vorteil bei yes®: Sie brauchen als Sparkassenkunde keine zusätzliche Anmeldung, um yes® zu nutzen, sondern verwenden das Login Ihres Online-Bankings. Das erhöht Ihre Sicherheit. Denn die Gesetzgebung hat für Online-Banking die höchsten Sicherheitsstandards festgelegt, beispielsweise dank der Zwei-Faktor-Authentifizierung.

Ein Mann bezahlt online mit Kreditkarte

Eine Übersicht in Ihrem Online-Banking zeigt Ihnen außerdem jederzeit, wann Sie sich bei welchem Händler angemeldet haben. Das erleichtert Ihnen das aktive Management Ihrer Anmeldungen. Wenn Sie eine der verbundenen Seiten nicht mehr benötigen, können Sie das Unternehmen zum Beispiel zum Löschen Ihrer Daten auffordern und den verbundenen Account entfernen. Sie behalten immer den Überblick und die Kontrolle.

Ein weiterer Vorteil für Sie: Händler mit dem yes®-Siegel sind ausschließlich Anbieter, denen die Sparkassen vertrauen.

Das Wichtigste über Passwortsicherheit

  • Grundsätzlich sind lange Passwörter sicherer als kurze. Ihr Passwort sollte nicht nur eine einfache Wortkombination, logische Zahlenabfolge, Buchstabenreihe oder ein Tastaturmuster sein.
  • Namen, Geburtsdaten und weitere von Dritten einfach nachvollziehbare Informationen sind bei der Passwortvergabe tabu. Notieren Sie Passwörter nicht digital auf dem PC oder anderen elektronischen Geräten.
  • Schützen Sie sich vor fremden Blicken, wenn Sie Ihre Passwörter eingeben. So können Sie ausschließen, dass Anwesende mitlesen und Ihre Daten missbrauchen.
  • Passwörter für Single Sign-On (SSO) – also Login-Daten, die den zentralisierten Zugriff auf mehrere Anwendungen erlauben – sollten besonders sicher sein. Achten Sie außerdem darauf, welcher Plattform Sie erlauben, diese Art von Generalsschlüssel zu sein.  Mit yes® bieten die Sparkassen einen eigenen Identitätsdienst an, der eine schnelle und sichere online Datenübermittlung ermöglicht.

Sicherheit im gesamten Umfeld beachten

Wie bei vielen anderen Online-Banking-Anbietern besitzt die PIN bei der Sparkasse in der Regel fünf Stellen. Weitere Sicherheitsmaßnahmen sind die Beschränkung der Fehlversuche bei der PIN-Eingabe sowie die Verwendung von TANs für die Ausführung von Banking-Aufträgen. Weiterhin verfügt die Sparkassen-Finanzgruppe über eine Infrastruktur, die höchsten Sicherheitsstandards entspricht.

Um Sie und Ihre Daten noch stärker abzusichern, arbeiten die  Sparkassen  mit einer Technologie, die sich Zwei-Faktor-Authentisierung, beziehungsweise Zwei-Faktor-Authentifizierung nennt.  Hierbei wird Ihre Identität als Nutzer  erst einwandfrei bestätigt, wenn Sie zwei voneinander unabhängige Merkmale bereitstellen.

Unabhängig von der PIN sollten Sie auch die Sicherheit des Gerätes gewährleisten, das Sie für Ihr Online-Banking verwenden. Dazu gehören aktuelle Software- und Browserversionen sowie ggf. Virenschutzprogramme.


So sicher ist Ihr Passwort
Tipps von
Tobias Heintz
IT-Experte der Universität Potsdam

Herr Heintz, muss ich mich als Privatperson mit dem Thema Internetsicherheit auseinandersetzen?

Ja, auf jeden Fall. Das Gefühl „Bei mir ist nichts zu holen“, das viele haben, ist falsch. Nicht nur große Firmen oder sehr vermögende Menschen sind für Internetkriminelle interessant.

Betrügern geht es bei ihren Angriffsversuchen nicht nur darum, Firmengeheimnisse auszuspionieren oder riesige Beträge von irgendwelchen Bankkonten abzubuchen. 

Inwiefern bietet ein gutes Passwort Schutz davor?

Passwörter zu hacken, kann unter Umständen sehr viel Zeit in Anspruch nehmen. Wenn Sie ein extrem sicheres Passwort gewählt haben, brauchen dafür selbst ausgefeilte Programme Jahre. Diesen Aufwand betreiben viele Hacker nicht. Oder sie geben irgendwann auf. 

Das heißt aber auch, dass theoretisch jedes Passwort knackbar ist?

Ja. Wird ein Angriff nicht abgebrochen, probieren die Programme der Hacker so lange verschiedene Zeichenkombinationen aus, bis sie ein Passwort gefunden haben. Wie gesagt: So sieht das in der Theorie aus. In der Praxis macht sich niemand diese Arbeit, denn das braucht extrem viel Rechenleistung.

Bei einfachen Passwörtern ist das anders. Mit einfachen Passwörtern meine ich zum Beispiel Wörter aus dem alltäglichen Sprachgebrauch wie „Blume“, „Sommer“ oder Ähnliches.

In diesem Fall haben Hacker leichtes Spiel. Sie arbeiten dann mit einer sogenannten Dictionary-Attacke. Dabei geht ein Rechner alle Wörter aus einem Wörterbuch (englisch: dictionary) durch und probiert eins nach dem anderen aus. Das geht ziemlich schnell, denn so viele Wörter gibt es nicht. 

Was wäre eine bessere Variante für ein Passwort?

Am besten sichern Sie sich ab, indem Sie eine wahllose Abfolge von Buchstaben und Zahlen als Passwort wählen. Damit Hacker mit der Dictionary-Attacke nicht weiterkommen und eventuell schon deshalb aufgeben, darf da wirklich kein Zusammenhang bestehen. Der Name Ihrer Tochter oder Ihres Lieblingsfußballvereins fallen also raus.

Nehmen wir an, Ihr Passwort wäre „Br87jUhvg”. In dem Fall kann die Dictionary-Attacke nicht funktionieren, denn diese Zeichen bilden kein bekanntes Wort. Um es herauszufinden, gibt es jedoch auch eine Möglichkeit – die sogenannte Brute-Force-Attacke („rohe Gewalt”). Dabei probiert ein Rechner alle möglichen Zeichenkombinationen durch.

Angefangen beim A geht das weiter mit a, dann mit AA, oder Aa, oder aA. Sie sehen, alleine bei der Kombination von zwei gleichen Buchstaben gibt es etliche Möglichkeiten. Sie können sich sicher ausmalen, wie lange es dauert bis der Rechner bei „Br87jUhvg” angekommen ist. Je länger Ihr Passwort ist, desto mehr Möglichkeiten muss er durchspielen.

Man geht davon aus, dass ein Computer mehrere Milliarden Jahre braucht, um ein 20-stelliges Passwort, das nach dem Zufallsprinzip entstanden ist, zu hacken. Das lohnt sich für Betrüger einfach nicht mehr. 

Illustration: Passwortschutz am Laptop

Und was ist Ihr Tipp, um sich komplexe Passwörter zu merken?

Ich weiß, überall wird dazu geraten Passwörter auf keinen Fall zu notieren und zum Beispiel in der Schreibtischschublade zu verstecken. Ideal ist das tatsächlich nicht.

Meiner Meinung nach ist es jedoch besser ein sehr sicheres Passwort zu haben und das aufzuschreiben, als ein Passwort wie „Mohnblume”. Die Wahrscheinlichkeit, dass bei Ihnen eingebrochen wird und der Einbrecher diesen Zettel mitnimmt, ist gering. Viel wahrscheinlicher ist es, dass Hacker versuchen auf einen Ihrer Accounts zuzugreifen. Die können das von überall auf der Welt und zu jedem Zeitpunkt. Und ohne, dass Sie oder die Polizei sie überraschen. 

Wie merken Sie sich denn Ihre vielen Passwörter?

Da ich einen Passwort-Manager benutze, muss ich mir nur ein einziges Passwort merken. Das ist extrem praktisch und sicher zugleich. Das Programm, das ich nutze, speichert, verschlüsselt und verwaltet alle meine Log-ins. Es verbindet also die Benutzernamen von E-Mail-Adressen, Konten fürs Online-Shopping oder Online-Banking mit den dazugehörigen Passwörtern.

Diese Passwörter erstellt der Passwort-Manager selber. Genau nach dem Muster, das ich schon beschrieben habe: Er wählt zufällige Zeichenkombinationen und die haben bis zu 20 Stellen. 

Ein Hacker muss also nur Ihr Master-Passwort kennen, um an alle Ihre Passwörter zu gelangen. Das ist doch ziemlich unsicher?

Nein, unsicher ist das nicht. Es stimmt: Ein Hacker bräuchte nur dieses Passwort. Da aber der Passwort-Manager lokal auf meinem Computer und auf meinem Smartphone gespeichert ist, kann er darauf gar nicht zugreifen. Wenn ich mein Master-Passwort eingebe, mache ich das nicht über das Internet. Hacker haben also keine Möglichkeit, mein Passwort über eine Datenverbindung anzugreifen.

Ein weiterer Pluspunkt: Der Passwort-Manager verschlüsselt alle gespeicherten Passwörter. Selbst wenn ein Hacker Zugriff auf meinen Log-in hätte: Die Passwörter würde er trotzdem nicht sehen. 

Gibt es neben einem sicheren Passwort sonst noch etwas, um sich vor Hackerangriffen zu schützen?

Sie kennen sicher das Sprichwort „Doppelt hält besser“. Das ist beim Thema Internetsicherheit auch der Fall. Viele E-Mail-Anbieter oder Online-Shops bieten ihren Kunden deshalb mittlerweile eine sogenannte Zwei-Faktor-Authentifizierung an.

Anstatt sich nur mit Ihrem Passwort einzuloggen, müssen Sie sich ein zweites Mal ausweisen. Bei Amazon funktioniert das zum Beispiel über einen Code, den Sie per SMS oder mithilfe einer App auf Ihr Handy geschickt bekommen. Erst, wenn Sie Ihr Passwort und dann den Code eingeben, können Sie auf Ihr Konto zugreifen.

Das ist wirklich eine tolle Möglichkeit, um seine persönlichen Daten zu schützen. Und sie kann mittlerweile ganz einfach bei vielen Online-Händlern und auch Zahlungsanbietern aktiviert werden. 

Beim Online-Banking gibt es diese zwei Stufen ja bereits länger.

Illustration: ein Smartphone

Stimmt. Sie loggen sich zunächst mit Ihrem Passwort ins Online-Banking ein. Wenn Sie dann eine Überweisung auslösen möchten, brauchen Sie außerdem eine TAN*.

So richtig sicher sind Ihre Transaktionen, wenn Sie eines beachten: Lassen Sie sich zum Beispiel eine TAN auf Ihr Smartphone schicken, sollten Sie auf einem anderen Gerät die Überweisung abschließen. Auch das ist Teil der Zwei-Faktor-Logik.

Denn stellen Sie sich vor, jemand verschafft sich Zugriff auf das eine Gerät, mit dem Sie arbeiten. Dann kann diese Person sowohl Ihre Log-in Daten zum Online-Banking als auch die notwendige TAN einfach auslesen und dann Geld von Ihrem Konto abbuchen.

Genauso ist das auch, wenn Sie die Zwei-Faktor-Authentifizierung bei Amazon oder einem anderen Unternehmen nutzen wollen. Der zweite Sicherheitsschritt sollte immer über ein zweites Gerät erfolgen. 


*Bitte beachten Sie: Seit dem 14. September 2019 geben Sie zum Login ins Online-Banking alle 90 Tage ebenfalls eine TAN ein.

Vergeben Sie für Ihr Banking ein besonders sicheres Passwort.

Bitte wählen Sie Ihre Sparkasse aus:

Ist das nicht Ihre Sparkasse?

Sicher bezahlen im Internet

Alles über seriöse Online-Händler, sichere Bezahlverfahren, Verschlüsselungstechniken und Prüfsiegel.

Wege in die Datensicherheit

Datendiebstahl, Hacker-Angriff, Cyber-Kriminalität … Wie Sie sich davor schützen können, erfahren Sie in diesen sieben Tipps.

Ihre Daten bei der Sparkasse

Alles über verschlüsselte Datenübertragung, Zwei-Faktor-Authentifizierung und sichere Geldautomaten.