Web-Sicherheit from scratch

Das Thema ist nach dem letzten Datenleak wieder aktueller denn je: Wie schütze ich am besten meine Daten im Internet - und das möglichst einfach?

21.01.2019

Inhalt

Einstieg
Komfort und Sicherheit
Daten prüfen
Sichere Passwörter
Passwort-Manager
Zwei-Faktor-Authentifizierung
Fazit

Einstieg

Die Frage nach der Sicherheit der eigenen Daten, Accounts und Passwörter hat nach der Collection #1 Veröffentlichung von Millionen von E-Mail-Adressen und Passwörtern Mitte Januar 2019 wieder ihren Weg in die Medien gefunden. Doch wie kann man als Laie eine möglichst hohe Sicherheit der eigenen Daten gewährleisten, ohne sich mit Verschlüsselung, Netzwerken und Angriffsvektoren auszukennen? Es gibt verschiedene Möglichkeiten, die aber auch einen unterschiedlich hohen Aufwand mit sich bringen.

Komfort und Sicherheit

Vorweg ein allgemeiner Grundsatz, der nicht nur für die Sicherheit im Internet gilt: Komfort steht immmer im Gegensatz zur Sicherheit. Je mehr Sicherheitsmechanismen verwendet werden, desto unkomfortabler wird die Verwendung. Es gilt also, ein Niveau zu finden, das vom Sicherheitsaspekt der Vertraulichkeit der Daten gerecht wird, die Benutzung aber nicht übermäßig einschränkt. Um das Ganze besser zu verstehen, lässt sich das Problem auf einen einfachen und vielleicht etwas naiven Sachverhalt in der analogen Welt herunterbrechen - die Haustür. Das Herausholen des Schlüssels aus den Untiefen der eigenen Taschen obwohl beide Hände doch eigentlich übervoll sind, ist sehr lästig. Trotzdem würde sicher niemand seine Haustür offen stehen lassen, wenn er das Haus verlässt, damit ihm diese Prozedur bei der Rückkehr erspart bleibt. Hier geht also Komfort zugunsten der Sicherheit verloren, was aber in Hinsicht auf “den Inhalt” des Hauses durchaus angemessen ist.
Dieser “Inhalt” des Hauses ist gleichbedeutend mit den Daten, die in einem Account hinterlegt sind, zum Beispiel Zahlungsinformationen, persönliche Daten oder Nachrichten. Wie schützenswert diese Daten sind, muss am Ende individuell entschieden werden und auch eine Differenzierung der verschiedenen Accounts lohnt sich. Doch welche Schlösser und Sicherheitsmechanismen gibt es?

Komfort vs. Sicherheit

Prüfen, ob meine Daten veröffentlicht wurden

Zuallererst sei kurz die Webseite erwähnt, die derzeit auch von allen Medien empfohlen wird: Have I been pwned? (zu deutsch etwa: “Wurde ich gehackt?”). Die Seite wird von einem Sicherheitsforscher betrieben, der veröffentliche Daten in sein System einpflegt und damit einen Abgleich mit diesen Daten ermöglicht. So kann der Benutzer zum Beispiel seine E-Mail-Adresse eintragen und erhält ein Ergebnis, ob und in welcher Sicherheitslücke diese unrechtmäßig veröffentlicht wurde. Sollte deine E-Mail-Adresse betroffen sein, solltest du auf jeden Fall das Passwort für dein Mail-Konto ändern und am besten auch die Passwörter für alle Accounts, bei denen du dieselbe Mail-Adresse oder dasselbe Passwort verwendest. Wenn du nicht mehr weißt, wo du überall mit deiner Mail-Adresse angemeldet bist, gibt es eine Seite, die deine Accounts für dich identifiziert, zumindest, wenn es um eine Googlemail- oder Outlook-Adresse geht: Deseat.me. Einfach mit dem Mail-Konto anmelden und alle gefundenen Accounts durchgehen.

Sichere Passwörter verwenden

Die Wahl des Passwortes ist enorm wichtig für den Schutz von Konten. Man lässt sich oft dazu verleiten, für alle Konten dasselbe Passwort zu verwenden, was natürlich komfortabel aber nicht besonders sicher ist. Viele Webseiten haben eigene Regeln an die Passwortvergabe. Durch die folgenden Punkte erhöht sich die Sicherheit des Passwortes:

  • Vermeidung von ganzen Worten, da zum Knacken von Passwörtern oft Wörterbücher verwendet werden, die automatisiert durchgegangen werden
  • Buchstaben, Zahlen und Sonderzeichen verwenden, denn je größer die Zeichenbasis des Passwortes ist, desto länger dauert das Knacken
  • Lange Passwörter verwenden, denen je länger ein Passwort ist, desto länger dauert das Knacken
  • Kein Standard-Passwort für alle Konten verwenden

Zu letzterem lässt man sich gerne verleiten, weil es komfortabel ist, sich nur ein einziges Passwort merken zu müssen. Etwas mehr Sicherheit erlangt man, indem man das Standard-Passwort für jedes Konto leicht abändert und zwar in einer Form, in der man es sich trotzdem noch merken kann. Ein Beispiel: Verwendet man als Standard-Passwort f04D$5mmm21, kann man für sein Facebook-Konto f04FFFD$5mmm21, für sein Google-Konto f04GGGD$5mmm21 und für sein Sparkassen-Konto f04SSSD$5mmm21 verwenden. Man streut also den Anfangsbuchstaben des jeweiligen Anbieters in das Passwort ein. Das Schema ist natürlich variabel. Hat man sich einmal so ein Schema definiert, kann man es für alle neuen Konten verwenden und muss sich nur das Standard-Passwort und das Schema merken. Natürlich bietet dieses Verfahren nicht die höchste Sicherheit, da das Schema in der Theorie auch von potentiellen Angreifern erraten werden kann.
Noch sicherer ist natürlich ein einzigartiges Passwort für jedes Konto. Dabei kommt jedoch wieder das Problem auf, wie man sich diese Passwörter merkt. Man könnte sie sich auf Papier aufschreiben, was jedoch das lästige Eintippen langer, kryptischer Passwörter mit sich ziehen würde. Abhilfe kann hier ein Passwort-Manager schaffen.

Passwort-Manager

Passwort-Manager sind Programme, die eine einfache Verwaltung vieler Passwörter erlauben. In der Regel benötigt man nur noch ein Passwort, um den Passwort-Manager zu öffnen, dann kann man sich das Passwort für das benötigte Konto herauskopieren. Eine kostenlose Variante ist KeePass für Windows und Mac. Es gibt auch Lösungen, die zusätzlich die Passwörter zwischen allen Geräten synchronisieren, wie 1Password, dabei werden jedoch geringe monatliche Kosten fällig. In vielen Passwort-Managern ist zusätzlich ein Passwort-Generator integriert, der sichere Passwörter erzeugt.
Ein Passwort-Manager bietet durch individuelle, sichere Passwörter eine deutlich erhöhte Sicherheit, jedoch bedeutet das Pflegen des Passwort-Managers zusätzlichen Aufwand zu Lasten des Komforts.

Zwei-Faktor-Authentifizierung (2FA)

Noch einen Schritt weiter geht die Zwei-Faktor-Authentifizierung, die von vielen Webseiten und Plattformen angeboten wird. Das Prinzip ist ganz einfach: Um sich anmelden zu können, verifiziert man sich gegen das System nicht nur mit einem Passwort, sondern beweist auch, dass man zum Beispiel ein bestimmtes Gerät oder E-Mail-Konto besitzt. Dieser Beweis kann erfolgen, indem ein Code aus einer gerade versendeten E-Mail oder eine Zahl, die per SMS an das Smartphone übermittelt wurde, eingegeben werden muss. Wenn man die Zwei-Faktor-Authentifizierung aktiviert, wählt man aus, welche Methode genutzt werden soll, wobei die Möglichkeiten auch von Anbieter zu Anbieter variieren. Es gibt auch Authenticator-Apps (z. B. von Google), die als Methode ausgewählt werden können und immer wieder einen temporären Code generieren, der zur Authentifitzierung eingegeben werden muss. Der große Vorteil: selbst wenn ein Angreifer in den Besitz des Passwortes kommt, kann er das Konto nicht übernehmen, da ihm der “zweite Faktor” fehlt.
Die Zwei-Faktor-Authentifizierung erhöht die Sicherheit also noch einmal deutlich, macht den Anmeldeprozess aber auch spürbar unkomfortabler und länger. Außerdem besteht ein gewisses Risiko, wenn man den Zugriff auf den “zweiten Faktor” verliert (also zum Beispiel das Smartphone verloren oder kaputt geht). Einige Anbieter bieten beim Aktivieren der Zwei-Faktor-Authentifizerung sogenannte Recovery-Codes an, die gut aufbewahrt werden sollten und verwendet werden können, wenn der “zweite Faktor” nicht mehr verfügbar ist. Ansonsten bleibt nur der langwierige Weg, das Konto über den Support des Anbieter zu entsperren.

Beispiel: 2FA bei Facebook
Beispiel: 2FA bei Facebook (Screenshot)

Keine Methode garantiert völlige Sicherheit

Zuletzt sei erwähnt, dass keine der genannten Methoden und auch keine Kombination der Methoden ein Konto vollständig absichern kann. Natürlich kommt es darauf an, wie der Anbieter die einzelnen Methoden umsetzt, auch dort kann es Sicherheitslücken geben, auf die man als Benutzer keinen Einfluss hat. Außerdem ist mit einem bestimmten Zeitaufwand jedes Passwort zu knacken, jedoch ist dieser bei sicheren Passwörtern so hoch, dass das Knacken praktisch eher nicht im Bereich des Möglichen liegt.

Übrigens hat der Erfinder der Passwort-Richtlinie, das Kennwort alle 90 Tage zu ändern, diese Empfehlung Mitte 2017 wieder zurückgezogen, da sie einige Nachteile mit sich bringt. Mehr dazu hier (Deutschlandfunk Nova).

Comments: