Vom richtigen Umgang mit unseren Passwörtern

Beim Thema Onlinesicherheit fühlen sich viele Nutzerinnen und Nutzer überfordert. Dabei kann es schon helfen, sich an ein paar einfache Regeln zu halten. Mark Risher und Stephan Micklitz von Google klären auf

Herr Risher, Sie leiten bei Google das Produktmanagement im Bereich Internetsicherheit. Sind Sie auch schon einmal auf eine Betrugsattacke im Internet hereingefallen?

Mark Risher: Mir fällt jetzt kein konkretes Beispiel ein, aber ich gehe schwer davon aus. Wie alle mache ich Fehler, wenn ich mich im Netz bewege. Vor Kurzem habe ich zum Beispiel bei der falschen Webseite mein Google-Passwort eingetippt. Zum Glück hatte ich die Chrome-Erweiterung »Passwort-Warnung« installiert, die mich auf mein Versehen hingewiesen hat. Natürlich habe ich mein Passwort dann sofort geändert.

Stephan Micklitz, Entwicklungschef für Sicherheit und Datenschutz: Das ist nur menschlich. Sobald wir Nutzer uns ein Passwort gemerkt haben, kann es schnell passieren, dass wir es achtlos eintippen, ohne darauf zu achten, wo genau wir es eingeben.

Risher: Am liebsten würden wir den Gebrauch von Passwörtern abschaffen, aber leider geht das nicht so einfach.

Viele Vorsichtsmaßnahmen laufen im Hintergrund ab.

Mark Risher

Was ist denn an Passwörtern so schlimm?

Risher: Sie haben viele Nachteile: Man kann sie leicht klauen, man kann sie sich aber nur schwer merken. Passwörter sind umständlich in der Handhabung. Viele Nutzerinnen und Nutzer glauben, dass ein Passwort möglichst lang und kompliziert sein sollte – obwohl das sogar das Sicherheitsrisiko vergrößert. Komplizierte Passwörter verführen sogar dazu, sie mehrmals zu verwenden, wodurch sich Nutzer erst recht gefährden.

Micklitz: Je seltener man sein Passwort eintippt, desto besser. Deswegen sollte man sich eigentlich auch nicht ständig ab- und anmelden. Langfristig führt das dazu, dass man nicht mehr genau hinsieht, auf welcher Webseite man sich gerade befindet. So haben Passwortdiebe leichteres Spiel. Wir empfehlen unseren Nutzern deshalb, eingeloggt zu bleiben.

Die Webseite meiner Bank loggt mich aber automatisch aus, wenn ich ein paar Minuten nicht aktiv war.

Micklitz: Es gibt leider auch viele Unternehmen, die veralteten Regeln folgen. Der Ratschlag, sich jedes Mal auszuloggen, stammt aus einer Zeit, als die meisten noch in Internetcafés online gegangen sind oder sich mit anderen einen Computer geteilt haben. Unsere Forschung zeigt: Je häufiger Menschen ihre Passwörter eingeben, desto wahrscheinlicher werden sie Opfer eines Hackerangriffs. Daher ist es sicherer, die Bildschirmsperre Ihres Telefons oder Computers zu aktivieren und ein sicheres Passwort zu verwenden.

Risher: Das stimmt. Leider sind jede Menge solcher falscher oder unpraktischer Ratschläge im Umlauf. Das verwirrt viele Nutzer. Im schlimmsten Fall sind sie so verunsichert, dass sie aus Hilflosigkeit resignieren: »Ich kann mich ja sowieso nicht schützen, dann kann ich es auch gleich sein lassen.« Das ist ungefähr so, als würde man die Haustür immer offen stehen lassen, weil man weiß, dass es Einbrecher gibt.

Mark Risher USB Sicherheitsschlüssel

Mark Risher leitet bei Google das Produktmanagement in den Bereichen Sicherheit und Datenschutz. Sein Cybersecurity-Unternehmen »Impermium«, 2010 gegründet, wurde 2014 von Google gekauft. Seitdem ist Risher am Hauptsitz in Mountain View in Kalifornien tätig. Rechts im Bild: Ein Sicherheitsschlüssel, wie er im Programm Erweiterte Sicherheit eingesetzt wird. Er kostet nur wenige Euro und kann auf verschiedenen Webseiten genutzt werden.

Wie würde denn Google die Sicherheit seiner Nutzer gewährleisten, wenn es keine Passwörter mehr gäbe?

Risher: Schon heute laufen viele Vorsichtsmaßnahmen im Hintergrund ab. Wenn ein Betrüger Ihr Passwort und Ihre Handynummer herausfindet, können wir die Sicherheit Ihres Google-Kontos trotzdem zu 99,9 Prozent gewährleisten. Wir überprüfen zum Beispiel, mit welchem Gerät sich jemand einloggt oder aus welchem Land. Wenn sich jemand schnell mehrmals hintereinander mit einem falschen Passwort in Ihrem Konto anmelden will, dann ist das für unsere Sicherheitssysteme ein Alarmsignal.

Micklitz: Zusätzlich haben wir den Sicherheitscheck entwickelt, mit dem jeder Nutzer seine eigenen Sicherheitseinstellungen Schritt für Schritt in seinem Google-Konto durchgehen kann. Mit dem Erweiterten Sicherheitsprogramm gehen wir sogar noch einen Schritt weiter.

Was verbirgt sich dahinter?

Micklitz: Ursprünglich wurde dieses Angebot für Personen entwickelt, die für Kriminelle von besonderem Interesse sein könnten, etwa Politiker, Geschäftsführer oder Journalisten. Mittlerweile steht es jedem offen, der sich im Internet schützen will. Nur wer einen speziellen USB-Stick oder Bluetooth- Sender bei sich trägt, erhält Zugang zu seinem geschützten Google-Konto.

Risher: Dass das funktioniert, wissen wir aus eigener Erfahrung: Jeder Google-Mitarbeiter muss einen solchen physischen Schlüssel benutzen, damit sein Firmenkonto geschützt bleibt. Seit wir diese Sicherheitsmaßnahme eingeführt haben, hatten wir keinen einzigen Phishing-Fall mehr, der sich auf die Bestätigung des Passworts hätte zurückführen lassen. Der Schlüssel verbessert die Sicherheit des Google-Kontos dramatisch, da der potenzielle Angreifer nur Erfolg hat, wenn er den physischen Schlüssel hat — selbst, wenn er das Passwort kennt. Normalerweise kann ein Internetkonto von überall auf der Welt gehackt werden. Konten, die mit einem Schlüssel geschützt sind, dagegen nicht.

Micklitz: Übrigens kann man Sicherheitsschlüssel für viele Webseiten nutzen, nicht nur im Rahmen des Erweiterten Sicherheitsprogramms. Es gibt sie für wenige Euro bei uns oder bei anderen Anbietern. Auf der Webseite g.co/advancedprotection erklären wir Details.

Es fällt den Leuten manchmal schwer, die Risiken einzuschätzen.

Stephan Micklitz

Wo lauern Ihrer Meinung nach heute die größten Gefahren im Netz?

Risher: Ein Problem sind die vielen Listen mit Nutzernamen und Passwörtern, die sich online finden. Unser Kollege Tadek Pietraszek und sein Team haben sechs Wochen lang das öffentlich zugängliche Internet durchforstet und 3,5 Milliarden Kombinationen von Benutzernamen und Passwörtern gefunden! Diese Daten stammen nicht von gehackten Google-Konten, sondern sie wurden von anderen Anbietern geklaut. Weil aber viele Nutzer ihre Passwörter mehrmals nutzen, sind diese Listen auch für uns ein Problem.

Micklitz: Aus meiner Sicht ist Spear-Phishing ein Riesenproblem: Dabei schneidet ein Angreifer eine Nachricht so geschickt auf eine Person zu, dass es für das Opfer schwer wird, die betrügerische Absicht zu erkennen. Wir beobachten, dass Onlinebetrüger diese Methode immer häufiger anwenden und auch Erfolg haben.

Risher: Da gebe ich Stephan recht. Spear-Phishing ist auch gar nicht so aufwendig, wie es sich vielleicht anhört. Eine Spam-E-Mail zu personalisieren dauert oft nur ein paar Minuten. Dabei können sich die Hacker auch der Infos bedienen, die die Nutzer über sich selbst ins Netz stellen. Bei Kryptowährungen ist das zum Beispiel ein Problem: Wenn jemand preisgibt, dass er 10 000 Bitcoins besitzt, muss er sich nicht wundern, wenn er damit Betrüger anlockt ...

Micklitz: … das ist ungefähr so, als würde ich mich mit dem Megaphon auf den Marktplatz stellen und meinen Kontostand verraten. Wer würde das machen? Niemand. Aber im Internet fällt es den Leuten manchmal schwer, die Risiken einzuschätzen.

Sind herkömmliche Spam-E-Mails noch ein Problem?

Micklitz: Es gibt nach wie vor tonnenweise Spam-Nachrichten, aber sie schaffen es nur noch selten in den Posteingang der Nutzer, die Googles Mailprogramm Gmail verwenden.

Risher: Statistisch gesehen, handelt es sich bei jeder zweiten E-Mail um Spam. Die Anzahl solcher Betrugsversuche steigt nach wie vor an, aber unsere Sicherheitsteams sind in der Lage, sie automatisch zu erkennen und herauszufiltern. Das haben wir unter Kontrolle.

Auf welche Bedrohungen müssen wir uns für die Zukunft einstellen?

Risher: Die Vernetzung von Geräten und Diensten stellt uns vor große Herausforderungen. Heute sind ja nicht nur Laptops und Smartphones online, sondern auch Fernseher, Smartwatches oder Smart Speaker. Auf jedem dieser Geräte laufen unterschiedliche Apps. Damit bieten sich Hackern viele unterschiedliche Angriffspunkte. Und weil die Geräte miteinander verbunden sind, können die Hacker versuchen, von einem Gerät aus auf Informationen auf anderen Geräten zuzugreifen. Für uns stellt sich die Frage: Wie können wir die Sicherheit unserer Nutzer trotz der Vielzahl neuer Nutzungsgewohnheiten gewährleisten?

Micklitz: Das fängt schon damit an, dass wir uns bei jedem Dienst fragen müssen, welche Daten wir wirklich benötigen – und welche Daten zwischen Diensten ausgetauscht werden.

Inwiefern hilft Ihnen künstliche Intelligenz, die Nutzer zu schützen?

Micklitz: Google macht schon lange von künstlicher Intelligenz Gebrauch.

Risher: Bei unserem E-Mail-Dienst Gmail haben wir von Anfang an mit solchen Technologien gearbeitet. Google hat sogar eine eigene Programmbibliothek für maschinelles Lernen namens TensorFlow entwickelt: Sie erleichtert Programmierern, die sich mit maschinellem Lernen beschäftigen, die Arbeit. Und vor allem Gmail profitiert davon — TensorFlow leistet wertvolle Dienste, wenn es darum geht, typische Muster zu erkennen.

Können Sie erklären, wie diese Mustererkennung funktioniert?

Risher: Nehmen wir an, es treten bei mehreren Nutzern verdächtige Ereignisse auf, die wir nicht einordnen können: Eine selbstlernende Maschine kann diese Ereignisse miteinander vergleichen und im besten Falle neue Formen des Betrugs erkennen — noch bevor sie sich online verbreitet.

Micklitz: Wobei man einschränken muss: Eine Maschine ist immer nur so intelligent wie der Mensch, der sie benutzt. Wenn ich eine Maschine mit falschen oder einseitigen Daten füttere, dann sind auch die Muster, die sie erkennt, falsch oder einseitig. Bei aller Begeisterung für die künstliche Intelligenz: Ihre Wirksamkeit hängt immer vom Menschen ab, der sie benutzt. Es liegt an ihm, die Maschine mit qualitativ hochwertigen Daten zu trainieren und die Ergebnisse anschließend zu überprüfen.

Risher: Als ich noch bei einem anderen E-Mail-Anbieter arbeitete, schrieb uns ein Bankangestellter aus Lagos. Damals waren die angeblich aus Nigeria stammenden Betrugs-E-Mails weit verbreitet, und der Mann beschwerte sich, dass seine E-Mails ständig im Spam-Ordner landen würden, obwohl er bei einer seriösen Bank arbeite. Das ist ein typischer Fall für eine falsche Verallgemeinerung innerhalb der Mustererkennung, die durch unzureichende Information entsteht. Wir haben dem Mann dann geholfen und den Algorithmus geändert.

Fotografie: Conny Mirbach

Nach oben