Was in der analogen Welt noch die Zahlenkombination des heimischen Wandtresors war, sollte heute ein mindestens achtzeiliges Wort- und Zahlengebilde mit Sonderzeichen sein. Leider, und das ist trotz umfangreicher Aufklärungsarbeit der Medien heute immer noch so, entspricht diese Vorgehensweise nicht der Regel! Glaubt man den alljährlichen Umfragen bekannter Tech-Medien zum Thema „Datensicherheit“, so verwenden immer noch viele Internetuser die klassische Zahlenfolge „123456“. Dem Dauerbrenner unter den beliebtesten Passwörtern folgen ähnlich gelagerte Einfälle, wie beispielsweise „passwort“, „hallo123“ oder seit Neuestem „ichliebedich“. Bei 150 betriebenen Accounts eines durchschnittlichen Internetusers kann bei ausgespähten Log-in-Daten schnell ein Schaden ungeahnten Ausmaßes entstehen. Dabei sind sichere, individuelle Passwörter wichtiger denn je, gerade wenn es um digitale Zugänge wie Online-Banking oder anderen sensiblen Zugangsbereichen geht.
Ebenfalls wichtig: Dasselbe Passwort sollte niemals für mehrere Dienste gleichzeitig verwendet werden. Was eigentlich als eine Selbstverständlichkeit heutzutage zu verstehen ist, wird meist aus Bequemlichkeit oder Unwissenheit vernachlässigt. Auch die von einigen Diensten bereits verwendete Zweifaktor-Authentifizierung wird nicht immer konsequent von den Verbrauchern angewendet. Gerade dieser Zusatz kann aber im Fall der Fälle Schlimmeres verhindern. Wurde das Passwort seitens eines Betrügers jedoch entwendet und wurde Geld vom Konto abgebucht, ist guter Rat oft teuer.
Was tun bei Datenklau?
Der allererste Schritt sollte in der Regel die telefonische Kontaktaufnahme mit der Bank des Geschädigten darstellen, um schnellstmöglich Konten und Kreditkarten zu sperren und somit gegebenenfalls noch größere Schäden zu verhindern. Bei Nach- weis eines offensichtlichen Phishing-Betrugs stehen die Chancen seitens des Geschädigten gut, dass der Schaden seitens des Bankinstituts ersetzt wird, jedoch nur, wenn eine Weitergabe von persönlichen TANs seitens des Kontoführers ausgeschlossen werden kann. Auch ein erweiterter Schutz in manchen Hausrat- versicherungen bietet Schutz. Diese decken bestimmte Arten von Cyberangriffe und Internetkriminalität ab; allerdings sind die Beträge im Schadensfall hier meist gedeckelt.
Dabei ist es gar nicht schwierig ein geeignetes, sicheres Passwort zu finden, es muss nur die richtige „Eselsbrücke“ angewendet werden. Am einfachsten gelingt dies durch die sogenannte Akronym-Methode. Hierbei kann jeder beliebige Satz verwendet werden; am besten eignen sich Sätze oder Phrasen von beliebten Liedern oder Büchern. Aus den Anfangsbuchstaben der einzelnen Wörter dieses Satzes wird sodann das Passwort gebildet. Ein Beispiel: Aus den ersten Zeilen des bekannten Kinderliedes „Alle meine Entchen“ (Alle meine Entchen schwimmen auf dem See, schwimmen auf dem See) würde das Passwort „AmEsadSsadS“ entstehen. Eine Erweiterung in Form von Zahlen und Sonderzeichen wäre möglich, wenn beispielsweise nach jedem dritten Zeichen eine zuvor ausgedachte Zahlenreihe in Kombination mit einem Sonderzeichen (z. B. 1&, 3+, 5#, 7!) hinzugefügt werden würde (AmE1&sad3+Ssad5#S). 507141 507161 507133
Das Zauberwort, das alle bisherigen Sicherheitsmechanismen in Leere laufen ließe, heißt „FIDO“ (Fast IDentity Online). Einige Dienste nutzen den FIDO-Sicherheits- standrad bereits heute schon - beispielsweise „Windows Hello“ von Windows 10. Geht es nach der FIDO-Alliance soll dieser Authentifizierungsstandard aber schon bald Einzug in viele weitere Anwendungen des täglichen digitalen Lebens erhalten.
Federführend bei dieser über 250 Mitglieder zählenden Alliance, die in Zusammen- arbeit mit dem World Wide Web Consortium (WW3C) diesen Standard entwickelt hat, sind Global Player wie Apple, Google und Microsoft. Aber auch viele weitere internationale Technologieunternehmen, Regierungsbehörden, Finanzinstitute, Zahlungsabwickler und Dienstleister gehören dem Verbund an.
Die Besonderheit: Der FIDO Standard, mittlerweile zu FIDO2 weiterentwickelt, ist eine von der FIDO Alliance und dem World Wide Web Consortium (W3C) entwickelte Authentifizierungsmethode, die sich kryptografischen Methoden bedient, um die Log- in-Daten von Nutzern ohne Eingabe eines Passwortes zu sichern. Im Gegensatz zur konventionellen Passworteingabe verwendet FIDO für den Log-in- Vorgang einen kryptografischen, privaten Hauptschlüssel; dieser wurde bislang meist über eine externe Hardware (z. B. USB-Dongles) oder in einem geschützten Speicherbereich des Smartphones oder Computers (Trusted Platform Modul) angelegt. Bei Aufruf einer Anwendung im Web (App, Webseite o.ä.) wird sodann ein zweiter öffentlicher Schlüssel des aufgerufenen Webservices generiert. Möchten sich Nutzer nun authentifizieren, gelingt dies nur, wenn der dazugehörige private Schlüssel nachgewiesen werden kann.
Betrüger werden es schwerer haben
Für Cyberkriminelle, die Geräte mit FIDO-Technologie durch klassische Betrugsme- thoden kapern wollen, wird dies zukünftig nicht mehr so einfach möglich sein. So könnten die Betrüger zwar Phishing-Versuche unternehmen, aber der Datenklau würde mit dem öffentlichen Schlüssel ein jähes Ende finden, da dieser lediglich nur zur Anmeldung der eignen Fake-Webseite dienen würde. Erst der auf der Hardware befindliche Hauptschlüssel müsste durch Diebstahl des Computers oder Smartphones in die Hände der Kriminellen gelangen, um sich für Weiteres legitimieren zu können.
Bislang kam die FIDO-Technologie jedoch überwiegend in sensiblen Unternehmensnetzwerken zum Einsatz, die vor allem externe USB-Dongles mit Fingerabdrucksensoren verwendeten. Der zukünftige, massentaugliche Einsatz sieht dagegen eine cloudbasierte Verwendung vor. Hierbei würde der private Schlüssel in der Cloud abgelegt werden, auf die sodann verschiedene Devices problemlos zugreifen könnten. Wann FIDO für die Allgemeinheit ausgereift ist und großflächig eingesetzt werden kann, wurde seitens der Alliance zwar noch nicht kommuniziert, aber allzu lange lässt diese Technologie sicherlich nicht mehr auf sich warten.