IT-Sicherheit. Kaum ein Bereich im Internet, in dem sich Nutzer*innen nicht mit einem Passwort absichern. Das Problem: Wenige setzen auf divergente Zugangsdaten. Mails, die auf Datenschutz hinweisen, werden häufig nicht verstanden.

Zum Jahresende veröffentlichte das Hasso-Plattner-Institut die zehn häufigsten Passwörter. Spitzenreiter war nach einem Jahr ohne Top-Ten-Platzierung der Klassiker „123456“, gefolgt von weiteren Zahlenkombinationen (stets in Reihenfolge), „ficken“, „hallo“, „hallo123“, „passwort“ sowie „master“. Dass derlei leicht zu ermittelnde Passwörter so beliebt sind, kann zum Problem für Nutzer*innen werden, denn oftmals wird ein und dasselbe Passwort für gleich mehrere Dienste im Internet genutzt. Finden Cyberkriminelle ein Passwort, etwa für den Social-Media-Account, heraus, sind gleich mehrere Dienste potentiell gefährdet. Diese Tatsache machen sich große Internetfirmen zu nutzen, weiß Maximilian Golla, Doktorand in der Arbeitsgruppe Mobile Security am Horst-Görtz-Institut für IT-Sicherheit: „Große Dienste wie Facebook oder Google kaufen auf dem Schwarzmarkt solche gestohlenen Zugangsdaten, um ihre eigenen Nutzer zu schützen.“ Das klingt paradox, doch die Idee dahinter ist simpel: Die Dienste prüfen, ob ihre Kund*innen die kursierenden Passwörter auch bei ihnen nutzen und warnen Betroffene.  

Wenig Verständnis

Erhielten Nutzer*innen eine solche Warnung, stieße dies jedoch meist auf Unverständnis, berichtet Golla: „Der User wird benachrichtigt, dass er sicherheitshalber sein Passwort ändern sollte. Nur verstehen viele Leute diese Benachrichtigungen gar nicht.“ Zu dieser Erkenntnis kam der Doktorand im Rahmen einer Nutzer*innenstudie, die er gemeinsam mit Prof. Markus Dürmuth von der RUB und Kolleg*innen der University of Chicago und University of Maryland durchführte. Für diese Studie trugen die Forscher*innen zunächst 24 verschiedene Benachrichtigungstexte zur Accountsicherheit großer Dienstanbieter zusammen und wählten sechs repräsentative Texte aus. Diese sechs Benachrichtigungen wurden 180 Studienteilnehmer*innen präsentiert. Diese sollten sich vorstellen, bei dem fiktiven Dienst „Acme Co“ einen Account angelegt zu haben, welcher ähnlich wichtig wie ihr Mail-Konto oder Online-Banking sei. Das Gros der Befragten reagierte verunsichert auf die Benachrichtigungen und vermuteten Ursachen außerhalb ihrer Kontrolle. Lediglich ein Fünftel der Befragten vermutete die tatsächliche Ursache, nämlich das Nutzen eines Passworts bei mehreren Diensten. Nur ein Drittel der Befragten hatte die Absicht, das Passwort tatsächlich zu ändern, meist auch nur geringfügig. Eine solche Änderung sorge jedoch nicht für Sicherheit, da Angreifer*innen in der Regel auch Variationen der erbeuteten Passwörter auf anderen Plattformen ausprobierten, so die Forscher*innen.

Bessere Formulierung

Aufgrund der Forschungsergebnisse haben die Wissenschaftler*innen Verbesserungsvorschläge für die Formulierung entsprechender Sicherheitshinweise abgeleitet. So sollte das zugrundeliegende Problem – die Mehrfachverwendung eines Passworts – deutlich formuliert werden. Außerdem sollten Dienste ihre Nutzer*innen bei der Datensicherheit unterstützen, etwa durch die Verwendung eines Passwortmanagers. Bei besonders kritischen Accounts, etwa Mail oder Online-Banking sollten Anbieter außerdem Möglichkeiten wie etwa eine Zwei-Faktor-Authentifizierung implementieren.

            :Justinian L. Mantoan