So besser nicht: Passwörter müssen geheim gehalten werden. Foto: LWL/Loddenkemper

„Di4AiLw“ oder wie finde ich ein gutes Passwort?

LWL-Informationssicherheitsbeauftragter gibt Tipps für den Umgang mit Zugangsdaten

Westfalen-Lippe (lwl). Der gelbe Klebezettel am Monitor oder die Notiz in der Schreibtischschublade verrät es oft schnell: das persönliche Passwort und damit den Zugang zum E-Mailkonto oder zu Fachverfahren. Der LWL-Informationssicherheitsbeauftragte Michael Loddenkemper kennt das Problem mit den Zugangsdaten: „Man vergisst Passwörter einfach sehr leicht, notiert sie sich und bewahrt den Zettel an leicht zugänglichen Stellen am Arbeitsplatz auf. Passwörter sind aber eine der wichtigsten Schutzmaßnahmen für die IT-Sicherheit. Sie müssen auf alle Fälle geheim gehalten und dürfen nicht notiert werden.“

Das Autokennzeichen ist leicht zu ermitteln

Nicht nur die Geheimhaltung ist ausschlaggebend, auch die Zusammensetzung des Passwortes hilft, Unberechtigten den Zugang zum eigenen PC zu erschweren. „Passwörter müssen mindestens achtstellig sein“, sagt Loddenkemper. Und diese acht oder mehr Zeichen dürfen möglichst keinen Bezug zum Benutzer oder zur Benutzerin haben. Abteilungsbezeichnungen, Geburtsdaten, Autokennzeichen sowie auch Namen und Worte, die in Wörterbüchern vorkommen, sind durch systematisches Ausprobieren leicht zu „knacken“. Genauso leicht zu ermitteln sind Buchstaben-, Ziffern oder Zeichenfolgen der Tastatur wie beispielsweise „ertzuiop“ oder „12345678“.

Die Kombination macht‘s


Hilfreich ist eine Kombination aus Klein- und Großbuchstaben, Ziffern und - falls das jeweilige System es zulässt - auch Sonderzeichen. „Ein gutes Passwort wäre zum Beispiel Di4AiLw, das sich aus dem Satz „Datensicherheit ist für Alle im LWL wichtig“ generiert, erklärt der Informationssicherheitsbeauftragte eine Möglichkeit, sich ein kompliziertes Passwort zu merken. Aber auch ein gutes Passwort kann entschlüsselt werden. Deshalb, so Michael Loddenkemper, ist es empfehlenswert, den Zugangscode regelmäßig, zum Beispiel im monatlichen Abstand, zu ändern.

Für jedes System ein eigenes Passwort

„Ratsam ist es, niemals dieselben Passwörter für unterschiedliche System zu verwenden“, so der LWL-Informationssicherheitsbeauftragte. Da jeder mittlerweile eine Vielzahl von Zugangsdaten, zum Beispiel für das Online-Banking, das Ebay-Konto, den Dienst-PC oder für soziale Netzwerke benötigt, neige man dazu ein Passwort für sämtliche Systeme zu nutzen. Die Auswirkungen sind vorhersehbar: Gelangen Zugangsdaten einmal in falsche Hände, kann sowohl das Onlinekonto, der Facebook-Auftritt als auch das Ebay-und das E-Mailkonto missbräuchlich genutzt werden.
„Dabei reicht es schon, eine Passwortkombination für jedes System nur leicht zu modifizieren“, erklärt Michael Loddenkemper, wie dieses Beispiel zeigt:
Di4_aAiLw: Passwort für den PC
Di4_bAiLw: Passwort für den E-Mailanbieter
Di4_cAiLw: Passwort für Facebook
Di4_dAiLw: Passwort für Ebay

Verwaltungsprogramme helfen bei Passwortspeicherung

Ein weitere Möglichkeit, sich viele Passwörter zu merken, sind Passwörterverwaltungsprogramme. Diese speichern die verschiedenen Zugangsdaten in einer Datei verschlüsselt ab und generieren auch auf Wunsch sichere Passwörter. „Nutzt man solch ein Verwaltungsprogramm, muss man sich nur ein Passwort merken. Dieses sollte dann aber besonders gut sein“, so Loddenkemper.

Umgang mit Passwörtern in Kurzform:

  • Passwörter immer geheim halten
  • Passwörter müssen mindestens achtstellig sein
  • Passwörter dürfen keinen Bezug zum Benutzer bzw. zur Benutzerin haben, nicht aus Wörterbüchern entnommen werden oder aus Ziffern und Zeichenfolgen der Tastatur bestehen
  • Passwörter müssen aus einer Kombination aus Klein- und Großbuchstaben, Ziffern und - falls das jeweilige System es zulässt - auch aus Sonderzeichen bestehen
  • Passwörter sollten regelmäßig geändert werden
  • Für jedes System sollte ein eigenes Passwort genutzt werden

 

Der LWL-Informationssicherheitsbeauftragte hat speziell zum Umgang mit Passwörtern ein Merkblatt herausgegeben.