IRQ 14-09: 2.3 statt 1234

Achim Killer,

Passwörter sollen Groß- und Kleinbuchstaben enthalten, Ziffern und Sonderzeichen. Aufschreiben ist gefährlich. Speichern ebenso. Also muss man sie sich merken, was schwierig ist. Achim Killer generiert in seiner aktuellen Kolumne einige, mit denen es trotzdem gelingt. Sicherheitstipps, die etwas eigenwilligen Überlegungen entspringen und für die Praxis nicht unbedingt geeignet sind.

1234 – Schön, dass es das gibt. Nein, nicht die natürlichen Zahlen. Die sind zwar manchmal schon auch hilfreich, aber bei weitem nicht so wie 1234 als Passwort.

Wenn es das nämlich nicht gäbe – ersatzweise: “0000”, “password” oder “Passwort” als Passwort – dann wären vielleicht alle, die für IT-Sicherheit Verantwortung tragen, völlig schutzlos Angriffen, furchtbarer als Zombie-Attacken, ausgesetzt: dem Zorn der Crowd. Und wer schließlich bedarf des Schutzes mehr als Menschen, die die Bürde der Verantwortung tragen?

Nun aber gibt es solche Geheimwörter und PINs, und so können die Verantwortungsträger, anstatt ihre lästige Arbeit zu erledigen, jovial Tipps für sichere Passwörter geben oder mit erigiertem Zeigefinger darüber belehren. Der Bundesverband deutscher Banken etwa mahnt: “Passwörter… dürfen niemals auf der PC-Festplatte gespeichert werden.” Und: “Das Passwort ist nur sicher, wenn es wirklich geheim gehalten wird”, will wohl sagen: Der gelbe Zettel am Bildschirm geht auch nicht.

Gerne nimmt man solche Belehrungen an. Aber es wird dann halt eng. Denn die praktischen Passwort-Manager für PC, Smartphone und Tablet, die speichern zwar nicht auf der Festplatte oder auf gelben Aufklebern, aber in der Cloud. Und sein Passwort da hochzuladen ist ja, als würde man es cc an die NSA schicken.

Vor Mails, “die scheinbar von der Bank geschickt werden”, warnt der Verband dann noch. Sein Mitglied Deutsche Bank versendet derweil welche, die für günstige Baukredite werben -“Stellen Sie jetzt die Weichen für Ihre Traumimmobilie” – mit praktischen Links drin zum Anklicken, fast so wie in den Mails von den netten Phishern.

Ist aber nicht so schlimm, weil der Link ja zu einer “geschützten Seite der Bank” führt. “Das lässt sich unter anderem daran erkennen, dass die Internetadresse der Bank mit https:// beginnt”, klärt der Verband auf.

Die Deutsche-Bank-Tochter Postbank etwa verschlüsselt den Datenaustausch über https mit RC4, einem Algorithmus, der fast so sicher ist wie das Passwort “0000”, vielleicht sogar wie “1234”.

Und als das BKA unlängst das “Bundeslagebild Cybercrime” präsentiert hat, welches sich mit einer realen Aufklärungsquote in der Größenordnung von FDP-Wahlergebnissen dem Betrachter auch nicht unbedingt als Heiligenbildchen zur Glorifizierung deutscher Polizeiarbeit darstellt, da hatte es denn auch den Bitkom-Präsidenten Prof. Dieter Kempf dabei, welcher mahnte, dass Bequemlichkeit der größte Feind der IT-Sicherheit sei natürlich vor allem, wenn’s um Passwörter geht.

Das mag befremdlich klingen von einem Verband, dessen Mitgliedsfirmen sich gerne ob ihrer komfortabel zu bedienenden Software loben, spricht aber den Schlüsselbegriff an, welcher die Hintertür eröffnet, wodurch Verantwortliche entkommen können, wenn Verantwortung mal wirklich droht, lästig zu werden.

Wer sich aus dem Staub machen will, braucht einen Pass. Wer sich aus der Verantwortung stehlen will, mahnt sichere Passwörter an.

Die Journaille ist dabei gerne behilflich. Zu Artikeln über die “digitale Agenda” der Bundesregierung werden bevorzugt Passwort-Tipps gestellt. Thema verfehlt, möchte man meinen. Aber die Tipps sind einfach leichter zu schreiben als Beiträge über asymmetrische Kryptographie. Und sogar der Verleger versteht sie.

Laut Agenda soll ja Deutschland “Verschlüsselungsstandort Nr. 1 auf der Welt werden”. Deshalb gehört auch die De-Mail dazu. Die allerdings nicht Ende zu Ende verschlüsselt. Schließlich wollen die Beamten vom Verfassungsschutz auch was zu lesen haben. Und die Kollegen von der NSA lesen gerne mit.

Was kann man daraus lernen? – Wie man sichere Passwörter generiert, natürlich.

Für geheimdienstfeste Accounts kann man sich von einem alten Platten-Cover inspirieren lassen: “303(RS/RT)_2.2.” In der Nummer 303 der Rolling Stone’s 500 Greatest Songs of all Times, Ruby Tuesday, heißt es auf die Frage, warum manche so frei sein wollen in Strophe 2, Zeile 2: “It’s the only way to be”. Da kommt kein Schnüffler drauf.

Für den Arbeitsplatzrechner als Schutz vor neugierigen Chefs empfiehlt sich “5._Mose_24.14”. Im 5. Buch Mose, Kapitel 24, Vers 14 steht: “Du sollst einen armen und elenden Tagelöhner nicht drücken”. Dieses Gebot und dieses Passwort geht in keinen Chefkopf rein.

Und als Passwort für Krypto-Tools, Peer-to-Peer-Anonymisierungsnetze und Ähnliches eignet sich “2.3”, weil es in dem schönen Lied “Die Internationale” in Strophe 2, Zeile 3 heißt: “Uns aus dem Elend zu erlösen, können wir nur selber tun”. “2.3” ähnelt zwar “1234”. Aber die Dinge selbst in die Hand zu nehmen, ist das Einzige, was wirklich sicher ist.