Mach es Cyber-Kriminellen nicht so einfach! Wie du starke und sichere Passwörter erstellst.

Warum es wichtig ist, deine Passwörter regelmäßig zu checken

Regelmäßig versuchen Cyber-Kriminelle größere Dienste, wie Facebook, Google, Adobe zu hacken. Haben sie es geschafft, landen die gewonnenen Zugangsdaten im Internet oder werden an Dritte weiterverkauft.

Fremde können sich in deinen Diensten einloggen und auf deinen Namen teure Waren, wie 47 Zoll Fernsehen und andere richtig teuere Gegenstände einkaufen. Wenn sie Zugriff auf deine E-Mail-Konten erhalten, können sie Passwörter von anderen Diensten zurücksetzen lassen und sich dort dann ebenso einloggen.

Es gibt automatisierte Schadprogramme, die versuchen deine Zugangsdaten für deine Webseite auszulesen. Haben sie es geschafft, können sie dich von deiner eigenen Webseite aussperren. Hast du Kundendaten auf deiner Webseite, sind diese dann ebenso kompromittiert. Nach der DSGVO bist du verpflichtet, diesen Vorgang zu melden. Nicht nur, dass du keine Webseite mehr hast, deine Reputation sinkt, da du so leichtfertig mit den Daten deiner Kunden umgegangen bist.

Eine Webseite ohne Kundendaten kann durch Inhalte von dem Ersteller des automatisierten Schadprogramms / des Cyber-Kriminellen ersetzt werden. Wenn plötzlich auf deiner Webseite statt Blogartikel japanische Mangas erscheinen (tatsächlich schon gesehen!), kann es auf einen Hack deuten.

Was du konkret tun kannst

Checke deine Passwörter
Sind diese schon im Internet bekannt? Mit HPI und ‘have i been pwned?’ (beides weiter unten beschrieben) kannst du dies feststellen.

Sicheres Passwort erstellen
Erstelle dir starke Passwörter. Je länger, desto besser inkl. Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Je nach Anforderung des Dienstes.

Passwort nur für einen Account verwenden
Nutze für deine unterschiedlichen Zugangsdaten niemals das Passwort mehrmals.

2-Faktor-Authentifizierung einsetzen
Bietet einen noch besseren Schutz, da ein weiterer Code zum Passwort verlangt wird.

Schritt-für-Schritt-Anleitung für die Umsetzung

Passwörter checken

Mit den Diensten von HPI dem Identity Leak Checker und dem englischsprachigen Dienst ‘have i been pwned?‘ kannst du überprüfen, welche deiner Zugangsdaten bereits online veröffentlicht bzw. zum Kauf angeboten wurden. Wenn dir angezeigt wird, dass deine Daten betroffen sind, hast du einen perfekten Startpunkt für die Aktualisierung deiner Passwörter.

So checkst du deine Passwörter in HPI

Gehe auf die Seite des Hasso-Plattner-Instituts, gib dort deine E-Mail-Adresse an (im Bild unten orange markiert) und klicke auf den blauen Button „E-Mail-Adresse prüfen!”.

Du erhältst die Auswertung per E-Mail an die angegebene Adresse zugeschickt.

In meinem Beispiel erkennst du, dass die unterschiedlichsten Online-Dienste gehackt wurden und meine damaligen Daten im Internet veröffentlicht bzw. weiterverkauft wurden.

Falls du mehrere E-Mail-Adressen im Einsatz hast, gibst du diese nach und nach ein.

Bei den rot markierten Online-Diensten beginnst du deine Zugangsdaten zu ändern. Beachte auch die Angabe des Datums, wann die Daten von dir gefunden wurden. In meinem Beispiel sind es z.B. Daten von 2012. In der Zwischenzeit habe ich meine Zugangsdaten schon aktualisiert bzw. es ist nicht mehr notwendig, da der Dienst nicht mehr existiert. Prüfe dies aber einzeln durch.

So doppelcheckst du deine Passwörter in ‘have i been pwned?’

1. Öffne die Seite ‘have i been pwned?’, gib dort deine E-Mail-Adresse ein und bestätige mit ‘pwned?’.

Im roten Bereich „Breaches you were pwned in“ werden weitere Online-Dienste aufgezeigt, durch die deine Daten ins Internet gelangt sind. Nun kannst du die Daten von ‘have u been pwned’ mit den Daten von HPI vergleichen. Ändere unbedingt die rot markierten Benutzeraccounts.

Sichere Passwörter erstellen

Durch das Checken deiner Accounts weißt du, womit du starten kannst. Wenn du zu den Glücklichen gehörst und noch keine deiner Daten im Internet gelandet ist, ist das folgende trotzdem auch für dich spannend: Wie du starke und sichere Passwörter einrichtest.

Ein gutes Passwort …

1. … ist länger. Mindestens acht Zeichen.
2. … besteht aus Groß- und Kleinbuchstaben.
3. … beinhaltet mehrere Zahlen.
4. … hat Sonderzeichen, wie &, /, !, *, usw.
5. … verzichtet auf Namen oder das Geburtsdatum eines Familienmitglieds, Haustiers oder Zahlenfolgen, wie 12345!.

Das Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) hat einen Flyer mit allen wichtigen Infos herausgebracht. Du kannst es hier herunterladen.

So merkst du dir ein langes und sicheres Passwort

Mit einer Eselsbrücke. Du merkst dir nur einen Satz. z.B. „Nächstes Jahr rocke ich mit meinem Online-Business und verdoppele meinen Umsatz mit Mini-Produkten!”. Das Passwort könnte nun aus den Anfangsbuchstaben des Satzes zusammengefügt werden, wie folgt: NJrimmO-B+2mUmM-P!.

Wenn du einen Passwort-Manager (siehe folgender Abschnitt) im Einsatz hast, kann dieser dir ebenfalls Passwörter erstellen. Die Eselsbrücke kannst du hervorragend für dein Master-Passwort verwenden.

Meine Empfehlung für weiteren Schutz

Zusätzlicher Schutz mit 2-Faktor-Authentifikation

Online-Dienste, wie Facebook, Amazon, Paypal bieten mittlerweile einen noch stärkeren Schutz mithilfe der 2-Faktor-Authentifizierung an. Du wirst nicht nur nach deinem Passwort gefragt, darüber hinaus gibst du noch einen zusätzlichen Code, den du entweder per SMS oder einer 2-Faktor-Autentifizierung-App erhalten hast, in dein Anmeldefenster ein.

Ich empfehle dir, Dienste, wie Facebook, Google, Amazon, Paypal mit einer 2-Faktor-Authentifikation einzurichten. Mit diesen Accounts könnte im schlimmsten Fall ein Hack des Cyber-Kriminellen teuer werden.

Passwort-Manager einsetzen

Du wirst im Laufe deiner Selbstständigkeit eine große Menge an Zugangsdaten verwalten müssen. Z.B. für E-Mail, für dein Projektmanagement Tool, deine Buchhaltung, deine Webseite, deinen Webanbieter, die Social Media Netzwerke, Grafikprogramme, Fotodatenbanken, Online-Kurse, usw.

Wenn du für jeden Online-Dienst ein starkes und sicheres Passwort einmalig verwendest, bist du happy, wenn dich bei der Verwaltung der Passwörter ein Tool: der Passwort-Manager dabei unterstützt. Dort werden alle Zugangsdaten gesammelt. Das Tool hilft dir dabei sicherere Passwörter zu erstellen. In der Regel warnt dich das Tool, wenn deine Zugangsdaten im Netz veröffentlicht wurden, außerdem warnt es dich, wenn du dein Passwort doch mehrmals verwendet hast (tz, tz, tz). Erfreulich ist auch, dass du den Passwort-Manager auf deinem Laptop und deinem Handy installieren kannst und so über mehrere Geräte hinaus Zugriff auf deine Passwörter hast.

Du musst dir bei der Nutzung eines Passwort-Managers nur ein einziges Passwort merken. Das sogenannte Master-Passwort. Vergisst du es allerdings, sind all deine Zugangsdaten nicht mehr einsehbar (eventuell nur mit sehr großem Aufwand). Ein weiterer Nachteil ist, wenn eine Person dein Master-Passwort herausbekommt, hat diese Person Zugriff auf all deine Zugangsdaten. Wenn du eine cloudbasierte Lösung im Blick hast, lohnt es sich, die Datenschutzerklärung zu prüfen. Wie geht das Unternehmen mit deinen sehr sensiblen Daten um?

Bitwarden, 1Password, LastPass, Dashlane, Enpass, KeePass und Keeper sind Beispiele für einen Passwort-Manager.

Was du noch beachten solltest

Gehe nicht davon aus, dass es dich nicht treffen könnte. Es kann jeden treffen. Ehe du dich versiehst, sind deine Daten im Internet ersichtlich und du hast womöglich keinen Zugriff mehr auf deine wichtigsten Dienste. Gewöhne es dir an, starke und sicherer Passwörter zu erstellen und deine bisherigen Zugangsdaten regelmäßig über eine der beschriebenen Tools zu überprüfen. Weißt du, dass du ein Passwort mehrmals verwendet hast? Ändere es direkt ab.

Ist dir noch etwas unklar? Nutzt du schon einen Passwort-Manager? Sind deine Zugangsdaten schon im Internet veröffentlicht?

Du magst weiter lesen? In meinem Artikel Wie lange braucht ein Hacker, um dein Passwort zu knacken? zeige ich dir, welche Passwörter du lieber nicht verwenden solltest und wie lange es dauert, bis ein Hacker dein Passwort geknackt hat.