Die meisten Computerbenutzer verwenden immer noch unzureichende Passwörter. Die PC-Feuerwehr hat daher fünf goldene Regeln für den sicheren Umgang mit dem persönlichen Log-in aufgestellt.

Hamburg, 28. Juli 2009 – Der Schlüssel zur Privatsphäre am Computer ist das Passwort. Doch gerade mit dem persönlichen Zugangscode gehen viele Menschen immer noch sehr fahrlässig um. Dies ist das Ergebnis der Auswertung des Passwort-Checks der PC-Feuerwehr. Rund 15.000 User haben das Online-Tool in diesem Jahr bereits genutzt, um die Sicherheit ihres Passwortes zu überprüfen. Erschreckende Bilanz: Nur gut 30 Prozent der User benutzen ein wirklich sicheres Passwort. Bei rund 65 Prozent ist das Passwort hingegen alarmierend unsicher.

Unter http://passwortcheck.pc-feuerwehr.de hat die PC-Feuerwehr ein Tool zum einfachen und kostenlosen Passwort-Check für alle Internetuser bereitgestellt. Hier kann jeder Interessierte sein persönliches Passwort in ein entsprechendes Feld eingetragen. Der Dienst bewertet es daraufhin innerhalb von Sekunden nach den Kategorien „schwach“, „mittel“ und „stark“ und überprüft so dessen individuelle Sicherheit.

„Die Auswertung unseres Dienstes zeigt, dass vielen Menschen die Bedeutung und die Zusammensetzung eines sicheren Passwortes immer noch nicht bewusst ist. Sie benutzen einfache Wörter oder Zahlenkombinationen wie ‚123456’ und Familien- oder Kosenamen. Diese Passwörter können Hacker verhältnismäßig leicht knacken“, warnt Michael Kittlitz, Geschäftsführer der PC-Feuerwehr. Der deutschlandweite Dienstleister für Computer, Telefon und Internet hat deswegen fünf goldene Regeln für den Umgang mit den eigenen Zugangsdaten aufgestellt.

Fünf Goldene Regeln zur Passwortsicherheit

1. Passwörter sollten mindestens zehn Zeichen lang sein und sowohl kleine als auch große Buchstaben, Ziffern sowie Sonderzeichen enthalten. Hilfreich sind Eselsbrücken, um sich das Passwort zu merken. Beispiel: „Ist mein 1. Passwort im Internet auch hundert prozentig sicher?“ „Im1PiIah%s?“.

2. Internetnutzer sollten sich für jeden Webdienst ein eigenes Passwort anlegen. Wer viele unterschiedliche Passwörter benutzt, kann seine Passwörter mit Hilfe eines kostenlosen Programms, wie z. B. „Passwort Safe“ speichern. Alle Login-Daten von beliebig vielen Benutzerkonten sind so sicher abgelegt, können jederzeit wieder abgerufen werden und gehen nicht verloren. Auf keinen Fall sollte man Passwörter anderweitig aufschreiben. „Weder das Post-it am Bildschirm, der Schmierzettel unter der Tastatur noch eine Worddatei sind geeignete Orte, um ein Passwort zu notieren“, erklärt Michael Kittlitz.

3. Nicht zu lange ein und dasselbe Passwort nutzen. Vielmehr müssen Passwörter regelmäßig geändert werden.

4. Vom automatischen Speichern der Log-in-Daten rät Kittlitz dringend ab, „Auch wenn das automatische Speichern von Passwörtern bequem ist, sollte der Nutzer hierauf verzichten. Haben fremde Personen Zugang zu dem Computer, erhalten sie so leichten Zugang zu persönlichen und geschützten Daten.“

5. Betrüger versuchen häufig, durch sogenanntes „Phishing“ an die Passwörter von Internetbenutzern zu gelangen. In E-Mails oder am Telefon geben sie sich beispielsweise als Bankmitarbeiter aus und versuchen so, an sensible Log-in-Daten zu kommen. „Kein Mitarbeiter seriöser Unternehmen würde seinen Kunden auf diese Weise auffordern, Zugangsdaten zu übermitteln“, weiß Michael Kittlitz und rät daher: „Löschen oder ignorieren Sie entsprechende Aufforderungen“.

Für den Fall, dass durch unsachgemäßen Umgang trotzdem Schaden am Computer entstanden ist oder ein Passwort unwiederbringlich vergessen wurde, ist zumeist externe Hilfe notwendig. Für die schnelle Hilfe im Notfall bietet die
PC-Feuerwehr als Serviceleistung eine telefonische sowie eine Online-Passwort-Rettung an. Die Hotline der PC-Feuerwehr steht weltweit 24 Stunden zur Verfügung und hilft dem Anwender in allen Fragen und Problemen zum Thema Passwort
weiter – vorausgesetzt, es handelt sich um ein gängiges Software-Produkt.

Hamburger Computer-Notdienst PC-Feuerwehr gibt Tipps zum sicheren Online-Banking

Hamburg, November/Dezember 2008 – Bequemer als vor dem heimischen Rechner können Bankgeschäfte kaum geregelt werden. Online-Banking ist eine der praktischsten Errungenschaften des Internets. Die Vorteile liegen auf der Hand: Überweisungen und andere Bankgeschäfte werden unkompliziert von zu Hause aus getätigt. Bei aller Einfachheit ist Online-Banking nicht immer so sicher, wie es scheint. Cyberkriminelle versuchen auf immer raffinierteren Wegen, das Banksystem zu knacken und sich das Geld anderer zu eigen machen. Dem kriminellen Treiben kann aber mit einfachen Mitteln ein Riegel vorgeschoben werden. Mit den Tipps der PC-Feuerwehr wird Online-Banking zu einer sicheren Sache.

Immer wieder sind die Nachteile des Online-Bankings in der Diskussion – welche Gefahren es birgt und wie schnell man auf die böse Masche von Angreifern im Internet hereinfällt. In der Regel gibt es zwei Möglichkeiten, wie sich Kriminelle im World Wide Web an den Bankkonten anderer zu schaffen machen. Zum einen dringen sie über eine Schadsoftware wie zum Beispiel Trojaner in fremde Systeme ein. Als nützliches Programm getarnt, erfüllt es im Hintergrund eine andere Funktion: Eingabedaten, PIN und TAN werden protokolliert und an den Angreifer weitergeschickt. Eine andere Variante zielt direkt auf den Benutzer ab. Über gefälschte Webseiten, die dem Original gleichen, werden die Daten der Bankkunden abgerufen. Gefälschte E-Mails verlinken auf diese Seiten und übermitteln die eingegebenen Daten direkt an die Betrüger.

„Um sich vor solchen Angriffen zu schützen, sollte man sich erkundigen, ob das Bankinstitut auch Verfahren zum Online-Banking anbietet, die nicht auf PIN- und TAN-Nummern angewiesen sind“, rät Michael Kittlitz, Gründer und Geschäftsführer der PC-Feuerwehr. „Kartenlesegeräte für die Bankkarte oder USB-Sticks, die ausschließlich in Verbindung mit einer TAN-Nummer benutzt werden, sind beispielsweise sichere Alternativen.“ Diese so genannten Home Banking Computer Interface (HBCI) Lösungen stehen für sicheres und multibankfähiges Online-Banking zwischen Kundensystemen und Bankrechnern. Beide vorgestellten Möglichkeiten verhindern, dass die TAN von Systemfremden abgefangen wird. Bei dem USB-Stick handelt es sich beispielsweise um ein unabhängiges Gerät, das per USB an einem Computer angeschlossen wird. Er baut eine direkte Verbindung zum Online-Banking-Server des Bankinstitutes auf, die den Rechner selbst umgeht. Auf diese Weise weicht man der Gefahr von Viren oder Trojanern direkt aus. Ein hilfreiches Tool, das beim Online-Banking genutzt werden sollte, ist die virtuelle Tastatur. Anhand der Mouseklicks, die auf diese Weise irgendwo auf dem Desktops gemacht werden, kann kaum rückverfolgt werden, welche Tasten eingegeben wurden. Wählt man im Startmenü „Ausführen“ und gibt den Befehl „OSK“ ein, erscheint die virtuelle Tastatur auf dem Desktop.
Noch besser ist es, das Betriebssystem Linux gegebenenfalls von einer Boot-CD zu starten und es ausschließlich für Online-Banking Aktionen zu nutzen. Der Vorteil liegt darin, dass dieses System dann lediglich in der Lage ist, Befehle auszuführen und nicht durch Schadsoftware manipuliert werden kann. So können sich dort auch Viren und Trojaner nicht einnisten.

„Kommt der Verdacht auf, dass mit dem Rechner etwas nicht in Ordnung ist, beispielsweise Trojaner ins System eingeschleust wurden, ungewöhnliche viele Pop-ups aufblinken oder man trotz manuell eingegebener Links auf anderen Webseiten landet, sollten auf keinen Fall weitere Überweisungen am PC durchgeführt werden“, so Kittlitz.

Weitere Tipps zum sicheren Online-Banking:

- Die Website des Bankinstitutes sollte nie über einen Link aufgerufen werden. Die PC-Experten raten, die Adresse immer manuell über den Browser einzutippen.
- Der Rechner sollte immer mit der aktuellsten Sicherheitssoftware ausgestattet sein: Antivirus-Software, Personal Firewall und einem Antispyware-Tool.
- Bankkunden sollten nur mit aktueller Software online gehen, da Angreifer bekannte Sicherheitslücken älterer Versionen für ihre Zwecke nutzen.
- Ob die Webseite des Bankinstitutes verschlüsselt ist, erkennt man an dem vorangestellten „https“ (anstatt „http“) der Web-Adresse.
- Die PC-Feuerwehr weist ausdrücklich darauf hin, dass man niemals einem Link in einer E-Mail folgen oder Aufforderungen in E-Mails nachgehen sollte, Kundendaten zu verschicken. Banken verschicken keine E-Mails mit der Bitte, Log-in-Daten zu aktualisieren.

Galt bis vor kurzem noch, das WPA und insbesondere WPA2 für WLANs eine ausreichend starke Verschlüsselung sei, so hat Elcomsoft mit seiner Ankündigung diese jetzt 100 mal schneller als bisher dechiffrieren zu können und in nur wenigen Sekunden mit einigen wenigen abgefangenen Datenpaketen knacken zu können das Ende dieser bisherigen Sicherheit eingeleitet.

Allerdings basiert die aktuelle Beschleunigung der Dechiffrierung auf intensiver Nutzung der Rechengeschwindigkeit von modernen NVIDIA GPUs (Grafik-Prozessoren), wobei zudem mehrere Karten parallel genutzt werden müssen um den vollen Effekt zu erzielen. In der Praxis bedeutet dies also, dass der technische und finanzielle Aufwand ist derzeit noch so hoch ist, dass der ‘Nachbar von Nebenan’ oder der ‘Gelegenheitshacker’ sicherlich noch nicht den Aufwand betreiben wird, um sich mal kurzerhand beim Nachbarn oder einem kleinen Unternehmen einzuhacken. Bei der Geschwindigkeit mit der Grafikkarten verbessert und die Entwicklung von Rechenkapazitäten weitergeht ist es jedoch wohl höchstens eine Frage von ein bis zwei Jahren bis tatsächlich auch jeder nur halbwegs technisch begabte Mensch in der Lage ist auch die Verschlüsselungsstandards WPA und WPA2 genauso leicht zu knacken, wie es jetzt bereits bei WEP der Fall ist.

Unternehmen, Rechtsanwälte, Steuerberater und Ärzte sollten deshalb unbedingt Ihre Netzwerkinfrastruktur überprüfen lassen und baldmöglichst die Einrichtung von VPNs für die WLAN-Zugänge einführen. Alternativ empfiehlt sich das klassische kabelgebundene Netzwerk, welches sich von den Übertragungsgeschwindigkeiten, der geringen Störungsanfälligkeit und der Sicherheit ohnehin weiterhin empfiehlt. Der derzeit noch notwendige technische Aufwand zur Dechiffrierung dürfte allerdings z.B. einen Wettbewerber der Wirtschaftsspionage betreiben will oder einen Dritten der anderes übles im Schilde führt, wie z.B. frühzeitige Kenntnis einer Strategie bei Anwälten oder Bauplänen eines Maschinenbauers, etc. nicht mehr zu hoch sein. Es besteht also wohl offensichtlich dringender Handlungsbedarf für diese Nutzergruppe.

Privatpersonen sollten Ihren WLAN-Access-Point nur einschalten, wenn sie ihn tatsächlich nutzen und somit die Chance auf einen Angriff verkleinern, da Ihr WLAN dann nur sporadisch gefunden und entsprechend schlechter gehackt oder mißbraucht werden kann.