Ein sicheres Passwort sollte mindestens zehn Zeichen haben. Foto: dpa/Julian Stratenschulte

Alle paar Monate das Passwort aktualisieren – das ist ein Rat von gestern, sagen Behörden. Was gilt nun für Passwörter und wie sieht ein wirklich sicheres Passwort aus?

Stuttgart - Viele Arbeitnehmer kennen das: Alle paar Monate forderte sie die IT-Abteilung dazu auf, ihr Passwort zu ändern. Die Unternehmen handelten dabei bislang auf Grundlage einer Richtlinie des Bundesamts für Sicherheit in der Informationstechnik (BSI), die von den Landesdatenschutzbeauftragten übernommen wurden. Doch nun rückt das BSI von der Vorgabe ab.

Was gilt nun im Hinblick auf Passwörter?

Geändert werden soll ein Passwort demnach nur dann noch, wenn die Gefahr besteht, dass es in fremde Hände geraten sein könnte. Auch in Baden-Württemberg gibt es einen angepassten Hinweis zum Umgang mit Passwörtern. „Eine erzwungene regelmäßige Änderung von Passwörtern ist überholt“, so der Landesdatenschutzbeauftragte Stefan Brink. „Administratoren sollten daher ihre Nutzer nicht regelmäßig auffordern oder zwingen die Passwörter zu ändern. Stattdessen sollten die Nutzer für sichere Passwörter sensibilisiert werden.“

Warum sollen Passwörter nicht mehr regelmäßig geändert werden?

Viele Sicherheitsexperten vertreten schon seit einiger Zeit die Ansicht, dass solche Regeln eher schaden als nützen. Das regelmäßige Ändern führe nur dazu, dass schwache Passwörter benutzt oder diese nach einem bestimmten Schema erzeugt würden, heißt es etwa beim Sicherheitsportal Heise Security. In Unternehmen hat die Vorgabe mitunter auch dazu geführt, dass sich die Mitarbeiter Zettel mit ihrem jeweils aktuellen Passwort an den Bildschirm kleben. Und das ist das komplette Gegenteil von IT-Sicherheit. Wichtig sei es, ein gutes, sicheres Passwort zu nutzen – auch über Jahre hinweg, so die Heise-Sicherheitsexperten.

Wie findet man ein sicheres Passwort?

Die Rangliste der beliebtesten Passwörter, die das Hasso-Plattner-Institut in Potsdam alljährlich veröffentlicht, ist erschreckend: Seit Jahren wird sie von der Zahlenfolge „123456“ angeführt. Auch das eigene Geburtsdatum als Passwort zu verwenden ist keine gute Idee. Die Verbraucherzentrale Baden-Württemberg rät zu willkürlichen Kombinationen aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen – wobei auf die Umlaute ä, ö und ü lieber verzichtet werden sollte. Auf Tastaturen im Ausland gibt es diese Buchstaben häufig nicht. Zudem sollte ein gutes Passwort mindestens zehn Zeichen umfassen. Bei der Suche nach sicheren Passwörtern kann man sich zum Beispiel einen individuellen Merksatz als Eselsbrücke überlegen und die jeweiligen klein- und großgeschriebenen Anfangsbuchstaben der Wörter mitsamt der Satzzeichen aneinanderreihen, so der Rat der Verbraucherzentrale. Ein Beispiel: Der Satz „Ein blaues, kleines Pferd liest Kaffeesatz auf dem Ausflugsdampfer.“ wird zum Passwort: „Eb,kPlKadA.“ – und das kann keiner so leicht erraten.

Welche technischen Hilfsmittel gibt es?

Willkürliche Zeichenkombinationen sind zwar sehr sicher, aber mitunter auch schwer zu merken. Abhilfe versprechen spezielle Computerprogramme – also Passwortmanager. Diese sind vor allem dann sinnvoll, wenn man bei vielen verschiedenen Online-Diensten angemeldet ist und dort unterschiedliche Passwörter verwendet. Die Stiftung Warentest hat jüngst Passwortmanager getestet und drei davon mit der Note „gut“ ausgezeichnet: Keeper Security, 1Password und die Software KeePass.

Was, wenn das Passwort geknackt wurde?

Besteht der Verdacht, dass das Passwort in falsche Hände geraten sein könnte – etwa weil ein Virus auf dem Computer entdeckt wurde oder Amazon plötzlich nie bestellte Produkte verschickt – sollte man sein Passwort unbedingt ändern. Hilfreich kann es auch sein, regelmäßig zu prüfen, ob gestohlene Daten im Netz verfügbar sind. Dies ist bei verschiedenen Datenbanken möglich, etwa beim Identity Leak Checker des Hasso-Plattner-Instituts oder auf Haveibeenpwned.com. Findet man dort seine Mailadresse, sollte man direkt alle Zugänge ändern, die diese E-Mail-Adresse nutzen – also auch die Log-In-Daten für soziale Netzwerke sowie den Amazon-Account.