[datensicherheit.de, 18.12.2019] Das Hasso-Plattner-Institut (HPI) warnt zum Jahresende: „Eigentlich sollten es mittlerweile alle besser wissen: Passwörter sind der digitale Schlüssel zu unseren Daten und sollten vor dem Zugriff Krimineller bestmöglich geschützt werden. Und dennoch: Immer noch verlassen sich zu viele Internetnutzer auf simple Zahlenreihen wie ,123456‘, die keinen wirksamen Schutz darstellen.“

Passwortstrategie erforderlich

„Viele Internetnutzer verwalten bereits mehr als hundert Online-Konten“, berichtet Professor Christoph Meinel, Direktor des HPI. Denn egal ob wir eine Reise buchten, einkauften oder einen Kurs belegten – für alle Online-Dienste benötigten wir derzeit ein Passwort. „Es ist lästig, sich für jeden Dienst ein anderes Passwort zu merken, und überfordert viele Nutzer“, so Professor Meinel.
Daher fiele die Wahl dann auch viel zu oft auf Passwörter, die man sich leicht merken könne. Ein zusätzliches Risiko sei die weit verbreitete Mehrfachnutzung von Passwörtern für unterschiedliche Dienste. Denn sie gestatte Kriminellen im Ernstfall gleich den Zugriff auf mehrere Konten. Jeder benötige heutzutage eine Passwortstrategie oder einen Passwortmanager.

178 Datenlecks wurden 2019 in den Identity Leak Checker eingepflegt

Das HPI veröffentlicht jedes Jahr die meistgenutzten Passwörter der Deutschen – Datengrundlage sind demnach dieses Jahr 67 Millionen Zugangsdaten aus dem Datenbestand des „HPI Identity Leak Checker“, die auf E-Mail-Adressen mit „.de“-Domäne registriert sind und 2019 geleakt wurden. Insgesamt seien dieses Jahr 178 Datenlecks in den „Identity Leak Checker“ eingepflegt worden, 96 davon seien von den Diensteanbietern bestätigt worden.
Das HPI weist seit vielen Jahren auf die Notwendigkeit sicherer Passwörter hin: Der Blick auf die „Top Twenty“ der in Deutschland meistgenutzten Passwörter 2019 zeige jedoch, dass schwache und unsichere Zahlenreihen weiterhin Spitzenplätze belegten.

Top Twenty deutscher Passwörter 2019

1. 123456
2. 123456789
3. 12345678
4. 1234567
5. password
6. 111111
7. 1234567890
8. 123123
9. 000000
10. abc123
11. dragon
12. iloveyou
13. password1
14. monkey
15. qwertz123
16. target123
17. tinkle
18. qwertz
19. 1q2w3e4r
20. 222222

HPI-Tipps zur Passwortwahl:

Bei der Passwortwahl empfiehlt das Hasso-Plattner-Institut nach eigenen Angaben:

• Lange Passwörter (> 15 Zeichen)
• Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen)
• Keine Wörter aus dem Wörterbuch
• Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
• Verwendung von Passwortmanagern
• Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
• Zwei-Faktor-Authentifizierung aktivieren, wenn möglich

Der Identity Leak Checker

Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich laut HPI mit seinem „Identity Leak Checker“ sehr leicht überprüfen. Seit 2014 könne dort jeder Internetnutzer kostenlos durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Die Sicherheitsforscher ermöglichten den Abgleich mit mittlerweile mehr als zehn Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liege der Fokus auf Leaks, bei denen deutsche Nutzer betroffen sind. Dieses Angebot sei in Deutschland einzigartig.
Insgesamt hätten mehr als 14 Millionen Nutzer mithilfe des „Identity Leak Checkers“ die Sicherheit ihrer Daten in den letzten fünf Jahren überprüfen lassen. In mehr als drei Millionen Fällen hätten Nutzer darüber informiert werden müssen, „dass ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten im Internet offen zugänglich war“.

Weitere Informationen zum Thema:

HPI Hasso-Plattner-Institut
Wurden Ihre Identitätsdaten ausspioniert?

datensicherheit.de, 16.12.2018
IT-Sicherheit: Die Top Ten der deutschen Passwörter

[datensicherheit.de, 22.03.2017] Vor wenigen Tagen hatte das „World Wide Web“ (WWW) seinen 28. Jahrestag. Wie nur wenige andere Innovationen der letzten Jahrzehnte prägt und verändert es unsere Gesellschaft. Der WWW-Erfinder Sir Tim Berners-Lee soll sich in einem Offenen Brief besorgt über die aktuellen Entwicklungen gezeigt haben. Insbesondere der Kontrollverlust über persönliche Daten, „Fake News“ und die Intransparenz von Algorithmen, beispielsweise im Kontext von „Twitter Bots“ oder Filterblasen, stellten laut Berners-Lee das Web in den nächsten Jahren vor große Herausforderungen.

Laufender Onlinekurs „Web-Technologien“ auch Späteinsteigern offen

Das Hasso-Plattner-Institut für Softwaresystemtechnik GmbH (HPI) an der Universität Potsdam Campus Griebnitzsee meldet aus diesem Anlass, dass auch der gerade auf der Bildungsplattform „openHPI.de“ laufende Onlinekurs „Web-Technologien“ diese Herausforderungen thematisiert und erklärt.
Dieser Kurs, von HPI-Direktor Prof. Christoph Meinel geleitet, laufe bereits seit einigen Wochen, die Kursinhalte stünden aber auch Späteinsteigern offen. Gerade die sechste Woche, welche den Einfluss des Webs auf die Gesellschaft beleuchte, könne auch losgelöst vom Rest des Kurses angesehen werden.
„Das Potenzial der Manipulation der öffentlichen Meinung ist durch die Sozialen Medien dramatisch gestiegen“, sagt Meinel. Er habe sich daher entschieden, eine ganze Kurswoche den Themen „Social, Semantic und Service Web“ zu widmen, um auch ganz konkret auf Meinungsbildung, Privatsphäre und Sicherheit im „Social Web“ einzugehen.

Enormer Einfluss der Sozialen Medien

Gerade mit Blick auf den Ausgang des US-Wahlkampfes und die bevorstehenden Wahlen in Europa lese man immer wieder von „Twitter Bots“ und „Filterblasen“, die das Potenzial hätten, die öffentliche Meinungsbildung massiv zu verzerren. 1,79 Millionen aktive facebook-Nutzer pro Monat, 313 Millionen twitter-Nutzer pro Monat und 600 Millionen Instagram-Nutzer veranschaulichten, über welchen Einfluss die Sozialen Medien heutzutage verfügten.
„Die Algorithmen, die solche ,Twitter Bots‘ steuern, werden mit Techniken des Machine Learning ausgestattet. So kommt es, dass ,Twitter Bots‘ täuschend echt agieren können und von menschlichen Nutzern kaum zu unterscheiden sind“, erklärt Meinel. Im Onlinekurs soll erläutert werden, wie diese Techniken funktionieren und welche Sicherheitsregeln man als privater Nutzer einhalten sollte.

Weitere Informationen zum Thema:

Hasso-Plattner-Institut
OPEN HPI / Web-Technologien

datensicherheit.de, 07.11.2014
Dame Wendy Hall hält Queen’s Lecture an der TU Berlin

[datensicherheit.de, 06.12.2016] In letzter Zeit drängen gerade zu Meldungen über Daten- und Identitätsdiebstähle an die Öffentlichkeit – trotzdem verwenden viele Internetnutzer weiterhin schwache sowie unsichere Passwörter und diese gleich noch bei mehreren Diensten. Laut einer Stellungnahme des Hasso-Plattner-Instituts (HPI) hat es eine repräsentative Studie zum Umgang mit Passwörtern bislang nicht gegeben. HPI-Wissenschaftler hätten sich nun eingehend mit der Mehrfachnutzung von Passwörtern beschäftigt und ihre Studie am 6. Dezember 2016 auf der „Passwords 2016“- Konferenz in Bochum im Detail vorgestellt.

„123456“ laut Studie das meistbenutzte Passwort*

Insgesamt seien für die Studie rund eine Milliarde Nutzerkonten analysiert und ausgewertet worden, die aus 31 veröffentlichten Datenlecks in unterschiedlichen Bereichen stammten und im Internet frei verfügbar seien.
Da 68,5 Millionen E-Mail-Adressen hiervon gleich in mehreren Datenlecks auftauchten, sei es möglich gewesen nachzuweisen, dass 20 Prozent der Nutzer ein identisches Passwort für verschiedene Accounts benutzten, bei 27 Porzent der Nutzer habe eine hohe 70-prozentige Ähnlichkeit in der Zeichenfolge vorgelegen.
Passwörter würden von Nutzern also häufig nur geringfügig abgeändert. „123456“ sei laut der Studie das meistbenutzte Passwort in den untersuchten Daten-Leaks.

Kriminelle treiben Handel mit gestohlenen Identitäten

Meldungen über Datenlecks und Hacker-Angriffe hätten in den letzten Monaten stark zugenommen, auch deren Größenordnung. So seien 2016 gleich mehrere Daten-Leaks bekanntgeworden, bei denen Hunderte von Millionen Nutzerdaten gehackt worden seien, darunter so bekannte Namen wie LinkedIn, MySpace und Yahoo.
Einen vollständigen Schutz gegen den Diebstahl von Identitäten gebe es nicht, betont HPI-Direktor und Mitautor der Studie Prof. Christoph Meinel. „Aber wenn betroffene Nutzer ihr Passwort nicht ändern oder für eine Vielzahl an Internetdiensten das gleiche Passwort verwenden, setzen sie sich unnötig einem erhöhten Risiko aus“, warnt Meinel.
Vielen Nutzern sei nicht bewusst, dass Kriminelle mit dem Handel gestohlener Identitäten sehr viel Geld verdienten und welcher Schaden ihnen entstehen könne.
Er empfiehlt daher allen Internetnutzern, regelmäßig die Passwörter zu wechseln und sichere Passwörter zu erstellen – beispielsweise unter Zuhilfenahme sogenannter Passwortmanager, wie beispielsweise das frei verfügbare Programm „KeyPass“.

Online-Sicherheitscheck des Hasso-Plattner-Instituts

Ob man selbst Opfer eines Datendiebstahls geworden ist, kann mit Hilfe des „Identity Leak Checker“ sehr leicht überprüft werden. Seit 2014 kann damit jeder Internetnutzer kostenlos durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten.
Sicherheitsforscher ermöglichen nach HPI-Angaben den Abgleich mit mittlerweile mehr als zwei Milliarden gestohlenen und im Internet verfügbaren Identitätsdaten. Dabei soll der Fokus auf Leaks liegen, bei denen deutsche Nutzer betroffen sind.
Insgesamt hätten 2,7 Millionen Nutzer mithilfe des „Identity Leak Checkers“ die Sicherheit ihrer Daten in den letzten zwei Jahren überprüfen lassen. Bei jeder zehnten Anfrage habe darüber informiert werden wüssen, dass die eingegebene E-Mail-Adresse in Verbindung mit anderen persönlichen Daten im Internet offen zugänglich gewesen sei.

Weitere Informationen zum Thema:

Hasso-Plattner-Institut
Wurden Ihre Identitätsdaten ausspioniert?

datensicherheit.de, 21.10.2016
Umfrage auf der it-sa 2016: IT-Sicherheitsexperten nutzen vernetzte Geräte trotz Sicherheitsbedenken

datensicherheit.de, 04.05.2016
Starke Passwörter sind ein wesentlicher Baustein für mehr Datensicherheit

[datensicherheit.de, 10.11.2016] Die Meldungen über Datenlecks und Hacker-Angriffe, bei denen Millionen von Nutzerdaten erbeutet worden seien, hätten in den letzten Monaten stark zugenommen. Ob man selbst Opfer eines Datendiebstahls geworden ist, lässt sich nach einer aktuellen Meldung des Hasso-Plattner-Instituts (HPI) mit dem „Identity Leak Checker“, einem Online-Sicherheitscheck des HPI, sehr leicht überprüfen.

Seit 2014 Online-Selbstcheck

Seit 2014 kann damit jeder Internetnutzer online durch Eingabe seiner E-Mail-Adresse kostenlos prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten.
Sicherheitsforscher ermöglichten den Abgleich mit mittlerweile mehr als zwei Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liege der Fokus auf Leaks, bei denen deutsche Nutzer betroffen sind.

230.000 Treffer in den letzten zwei Jahren

Insgesamt hätten 2,5 Millionen Nutzer mithilfe des „Identity Leak Checkers“ die Sicherheit ihrer Daten in den letzten zwei Jahren überprüfen lassen.
In 230.000 Fällen seien Nutzer darüber informiert worden, dass ihre E-Mail-Adresse in Verbindung mit anderen persönlichen Daten im Internet offen zugänglich gewesen seien.

Größenordnung der kürzlich bekanntgewordenen Leaks alarmierend

„Betroffene informieren wir so schnell wie möglich darüber, wo ihre Daten gestohlen wurden und welche Informationen über sie im Netz kursieren. Das sind häufig Passwörter, können aber beispielsweise auch sensible Konto- oder Kreditkartendaten, Adressen oder das Geburtsdatum sein“, erläutert HPI-Institutsdirektor Prof. Christoph Meinel.
Einen vollständigen Schutz gegen den Diebstahl von Identitäten gebe es leider nicht, aber Passwörter sollten regelmäßig geändert werden, empfiehlt Meinel. Empfehlenswert seien zur Erstellung und Verwaltung von Passwörtern sogenannte Passwort-Safes. Insbesondere die Größenordnung der kürzlich bekanntgewordenen Leaks sei alarmierend. Dabei würden längst nicht alle gestohlenen Daten auch tatsächlich veröffentlicht.

Weitere Informationen zum Thema:

Hasso-Plattner-Institut
Wurden Ihre Identitätsdaten ausspioniert?

datensicherheit.de, 10.12.2014
Online-Datentresor: Hasso-Plattner-Institut und Bundesdruckerei kooperieren

[datensicherheit.de, 11.06.2015] Cyberkriminalität löst immense wirtschaftliche Schäden aus. Experten taxieren diese in Deutschland jährlich auf bis zu 1,5 Prozent des Bruttoinlandsprodukts (BIP). Jedes zweite deutsche Unternehmen war laut Bundesinnenministerium in den vergangenen zwei Jahren Opfer eines Cyberangriffs. „Ein wirklich ernst zu nehmendes Problem“, analysierte der Direktor des Potsdamer Hasso-Plattner-Instituts (HPI), Professor Dr. Christoph Meinel.

Doch es gebe eine einfache Antwort: „All die Technik nützt nichts, wenn dem Menschen ein flächendeckendes Sicherheitsbewusstsein fehlt“, erklärte der Wissenschaftler am 11.06.2015 auf der dritten Potsdamer Konferenz für nationale CyberSicherheit. Das HPI ist Gastgeber des zweitägigen Treffens, auf dem am Freitag unter anderem ein Google-Repräsentant und der ehemalige Bundesinnenminister Otto Schily über „Cybersecurity zwischen bürgerlicher Freiheit und staatlicher Verantwortung“ sprechen werden.

Aus seiner Sicht bestehe oftmals geringes Gespür für Internetsicherheits-Aspekte. „Wie? Strahlt denn mein Bildschirm?“, sei Meinel einmal auf die Frage nach Sicherheitsvorkehrungen entgegnet worden. Zudem wüssten vor allem Mittelständler nicht, welch ein „Supergau“ es wäre, wenn sie Opfer eines Cybereingriffs würden. Jedoch hätten manche hochmoderne Sicherheitstechnik in ihren Geschäftsräumen stehen, die aber oft nicht zu den realen Bedrohungsszenarien passten.“Eine wahre Fundgrube für Cyberkriminelle sind heute auch Smartphones und Tablets“, erklärte Staatssekretärin Cornelia Rogall-Grothe vom Bundesinnenministerium.

Als Gegenmaßnahmen empfahlen Redner, das Sicherheitsbewusstsein der Mitarbeiter zu stärken und die Menschen zu sensibilisieren – durch Aufklärung und Weiterbildung. Oft werde es Cyberkriminellen sehr einfach gemacht, digitale Identitäten zu stehlen. „Es ist kaum zu glauben, aber viele User vertrauen wegen Bequemlichkeit auf einfachste Passwörter wie 123456“, erklärte Meinel. Das sei schon „mehr als Leichtsinn“, denn das Missbrauchspotenzial ist nach Worten des Wissenschaftlers immens. „Mittlerweile sind 200 Millionen erbeute Identitätsdatensätze frei im Internetz verfügbar“, stellte der Informatikprofessor fest.

Als Sicherheitsschwachstellen in Unternehmen nannte Meinel beispielsweise solche Angestellte, die achtlos und leichtsinnig agierten und über mangelndes Problembewusstsein verfügten. Hinzu kämen Insider, die Zugang zu sensiblen Daten missbrauchten. Weitere Schwachstellen seien falsch konfigurierte Hardware und unzureichende Sicherheitsarchitekturen von Netzwerken.

„Man muss heutzutage kein IT-Fachmann sein, um Cyberangriffe fahren und ins Darknet kommen zu können“, erklärte Holger Münch, Leiter des Bundeskriminalamts. Über das Netz könnten sogar entsprechende Hacker-Dienstleistungen eingekauft werden. „Während in den 2000er Jahren die Angriffsszene noch ein Goldfischteich war, ist sie heute ein Haifischbecken“, ergänzte der Präsident des Bundesamtes für die Sicherheit in der Informationstechnik (BSI), Michael Hange.
„Ähnlich wie man in den 1980er Jahren über AIDS aufgeklärt hat, muss jetzt auch für mehr Cybersicherheit geworben werden“, forderte Dirk Arendt von der Firma Check Point Software Technologies. Er habe zwei 16-jährige Zwillingstöchter, die das Thema Internetsicherheit noch überhaupt nicht erreicht habe.

Weitere Informationen zum Thema:

datensicherheit.de, 10.06.2015
HPI: Dritte Potsdamer Konferenz für nationale Cyber-Sicherheit