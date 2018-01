Das neue Jahr ist erst wenige Tage alt und es ist noch Zeit, an guten Vorsätzen für 2018 zu feilen. Der Security-Anbieter Eset hat aus diesem Grund drei gefährliche Fehler zusammengestellt, auf die man nach Angaben des Unternehmens "für ein sicheres neues Jahr besser verzichten sollte".

Alle Jahre wieder: Dieselben Passwort-Fehler

Als ersten Lapsus nennt Eset die Gewohnheit, schwache Passwörter mehrfach einzusetzen. "Viel zu viele Angriffe sind nur deswegen erfolgreich, weil User zu leichte Passwörter verwenden", so Thomas Uhlemann, Security Specialist bei Eset. Kriminelle nutzen nach seinen Angaben mittlerweile vollautomatische Tools, die einfache Wörter durchprobieren oder durch so genannte Wörterbuch-Attacken verschiedene Varianten testen.

Wer das gleiche Passwort für mehrere Webseiten verwende, mache es Cyber-Kriminellen "besonders einfach - egal, wie einfach oder schwer es ist". Uhlemann weiter: "Es kommt leider immer wieder vor, dass Internetanbieter gehackt und dabei die Login-Daten der Nutzer gestohlen werden."

Der Sicherheitsexperte empfiehlt deswegen, anstelle von Wörtern und Abkürzungen lieber einfach zu merkende, aber komplexere Phrasen zu verwenden. Als Beispiel nennt Uhlemann den Satz "Hier bei Facebook logge ich mich gern ein!" Anwender sollten einen vergleichbaren Satz ruhig inklusive der Groß- und Kleinschreibung sowie aller Leer- und Satzzeichen als Passwort verwenden. Das mache es leichter, sich die Passwörter zu merken und Angreifern die Arbeit zu erschweren.

10. Sean Spicer

Der ehemalige Pressesprecher der US-Regierung veröffentlichte in mehreren Tweets scheinbar einige seiner Passwörter. 9. Paul Manafort

Donald Trumps vor kurzem angeklagter Ex-Wahlkampfleiter nutzte das hochkomplexe Passwort "Bond007" scheinbar gleich für mehrere private Konten. 8. Imgur

1,7 Millionen User-Passwörter wurden möglicherweise kompromittiert. Schuld daran war ein veralteter Verschlüsselungs-Algorithmus. 7. HBO

Mehrere ehemalige Mitarbeiter berichteten nach Hackerangriffen von mangelhaftem Sicherheitsgebahren beim US-Pay-TV-Sender - darunter auch die Mehrfachnutzung von Passwörtern für verschiedene Accounts. 6. Google

Bei einem großangelegten Phishing-Angriff wurden im Mai 2017 die Anmeldedaten vieler Google-Nutzer in Mitleidenschaft gezogen. 5. US-Republikaner

Eines der Data-Analytics-Unternehmen der Republikanischen Partei der USA machte versehentlich die personenbezogenen Daten von 198 Millionen Amerikanern öffentlich zugänglich. 4. US-Verteidgungsministerium

Booz Allen Hamilton - Auftragnehmer des US-Verteidigungsministeriums - setzte das Pentagon einem enorm hohen Sicherheitsrisiko aus, als das Unternehmen kritische Daten auf einem Amazon-Server ablegte - ohne diese mit einem Passwort zu schützen. 3. Großbritanniens Regierung

Ermittlungen der "Times" ergaben im Juni, dass russische Hacker regen Handel mit Tausenden von Passwörtern britischer Regierungsvertreter trieben. Betroffen waren Parlamentsabgeordnete und Mitarbeiter des Auswärtigen Amtes, darunter dessen IT-Chef. 2. Equifax

Kriminelle Hacker verschafften sich die persönlichen Daten von knapp 150 Millionen Menschen in den USA, Großbritannien und Kanada über die Systeme des US-Finanzdienstleisters. Ein Security-Experte deckte auf, dass das Unternehmen für einige seiner Online-Portale die Login-Kombination "admin/admin" verwendete. 1. Donald Trump

Für jemanden, der wiederholt die IT-Security-Verfehlungen seiner politischen Gegner angeprangert hat, bekleckert sich "POTUS" selbst nicht gerade mit Security-Ruhm. Security-Experten stellen weiterhin die Sicherheit des präsidialen Mobile Devices und der Social-Media-Konten in Frage.

Top Ten der schlechtesten Passwörter

Das Hasso-Plattner-Institut (HPI) mit Sitz in Potsdam hat eine "Top Ten deutscher Passwörter" veröffentlicht. Sie enthält die am häufigsten verwendeten Kennwörter. Am beliebtesten sind laut HPI "weiterhin schwache und unsichere Zahlenreihen" wie "123456". Aber auch "hallo" und "passwort" finden sich in der Liste, die auf einer Auswertung von knapp 13 Millionen deutschen E-Mail-Adressen basiert.

Das Institut empfiehlt, bei der Passwortwahl folgende Grundsätze zu beachten:

Lange Passwörter (> 15 Zeichen)

Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)

Keine Wörter aus dem Wörterbuch

Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten

Verwendung von Passwort-Managern

Regelmäßiges Wechseln

Zwei-Faktor-Authentifizierung aktivieren

Auch Uhlemann rät dazu, Zwei-Faktor-Authentifizierung zu verwenden, wann immer möglich. Viele große Webseiten wie Facebook, Twitter oder Amazon bieten sie bereits an. Dabei wird zusätzlich zu Benutzernamen und Passwort ein Einmal-Code verlangt, der beispielsweise per SMS oder App generiert werden kann. Das mache den Diebstahl von Login-Daten für die Angreifer nutzlos.