Folge 1: Passwortsicherheit

00:00:04:

00:00:30: Herzlich willkommen zur ersten Folge unseres IT-Podcasts.

00:00:33: Schön, dass ihr dabei seid.

00:00:36: Mein Name ist Daniel und gemeinsam mit meiner Kollegin Tina starten wir heute mal mit einem Thema dass wirklich jeden betrifft, nämlich Passwörter.

00:00:45: Sie sind klein, unscheinbar, wirken banal.

00:00:49: Und trotzdem entscheiden sie oft über Sicherheit oder Katastrophe.

00:00:52: Stimmt's, Tina?

00:00:54: Absolut.

00:00:55: Und seien wir ehrlich, fast jeder von uns hat schon mal ein schwaches Passwort benutzt.

00:00:59: Vielleicht war es der eigene Name mit einer Zahl dahinter.

00:01:02: Oder der Lieblingsverein plus Geburtsjahr.

00:01:04: Klingt harmlos, ist aber brandgefährlich.

00:01:06: Genau weil viele Folgen das denken.

00:01:09: Ach.

00:01:10: So interessant bin ich doch gar nicht.

00:01:12: Da wird schon keiner mein Konto hacken.

00:01:15: Aber genau das ist ein Irrtum.

00:01:17: Angriffe passieren automatisiert.

00:01:19: Nicht weil jemand dich persönlich ins Visier nimmt.

00:01:23: Richtig, Daniel.

00:01:24: Es sitzt kein Hacker mit Kapuze da und überlegt, wie dein Hund heißt.

00:01:28: Stattdessen laufen Programme die Millionen von Kombinationen in Sekundenschnelle testen.

00:01:34: Brute Force nennt man das.

00:01:36: Mit moderner Hardware können achtstellige Passwörter aus nur Buchstaben in Sekunden geknackt werden.

00:01:43: Und wie?

00:01:44: Dann gibt's da noch die sogenannten Wörterbuchangriffe.

00:01:48: Da werden typische Wörter und Muster ausprobiert.

00:01:52: Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Sommer-Som

00:02:04: Ja voll.

00:02:04: und das erschreckende dabei ist, Millionen Menschen benutzen genau solche Passwörter immer noch.

00:02:10: Jedes Jahr erscheinen die Listen mit den beliebtesten Passwörtern.

00:02:14: Platz eins seit Jahren ist leider immer noch.

00:02:16: Eins, zwei, drei, vier, fünf, sechs.

00:02:19: Dahinter kommt dann Passwort und Eins, zwei, drei, vier, fünf, sechs, sieben, acht, neun.

00:02:26: Ja leider.

00:02:27: Und auch im Dachraum bei uns sieht es nicht besser aus.

00:02:30: Klassiker sind Schatz, Hallo, eins, zwei, drei, oder eben Vorname plus Geburtsjahr.

00:02:37: Das fühlt sich individuell an.

00:02:39: Aber Angreifer wissen, dass genau diese Muster massenhaft genutzt werden.

00:02:45: Und damit kommen wir schon zum nächsten wichtigen Punkt, nämlich Datenlex.

00:02:50: Große Plattformen wie LinkedIn, Yahoo damals oder auch Adobe wurden in den letzten Jahren gehackt.

00:02:56: Millionen von Passwörtern landeten somit quasi frei im Internet.

00:03:01: Genau.

00:03:02: Und das bleibt nicht im Dunkeln.

00:03:04: Diese Daten werden gesammelt, getauscht und verkauft.

00:03:08: Es gibt riesige Datenbanken, in denen Milliarden Passwörter gespeichert sind.

00:03:14: Hm, ja.

00:03:15: Und da beginnt Credential Stuffing.

00:03:17: Angreifer nehmen ein Passwort aus einem League und probieren es auf anderen Seiten aus.

00:03:22: Und wenn jemand das selbe Passwort mehrfach nutzt, bumm, alle Accounts sind dann auf einmal offen und zugänglich.

00:03:29: Stell dir mal vor, Tina.

00:03:31: Dein altes Passwort von einem Online-Forum taucht in einem League auf.

00:03:35: Jahre später testet es jemand bei deinem E-Mail-Account.

00:03:39: Und wenn du es dort auch noch nutzt, dann ist deine E-Mail offen.

00:03:43: Und mit Zugriff auf E-Mails können Angreifer fast alles übernehmen.

00:03:48: Das ist das eigentlich Gefährliche.

00:03:50: Ein einziges Passwort kann wie ein Generalschlüssel wirken.

00:03:53: Komm Tina, lass uns mal über die Fehler sprechen, die wirklich jeder kennt.

00:03:57: Sehr gerne.

00:03:58: Auch Nummer eins.

00:03:59: Das Passwort auf einem Posted am Monitor.

00:04:02: Man denkt, das sei ein Klischee.

00:04:04: Aber nein, es passiert wirklich.

00:04:06: Oder die berühmte Excel-Datei.

00:04:08: Passwörter.xlsx.

00:04:12: Wir haben das tatsächlich schon gesehen.

00:04:14: Im selben Ordner wie die Buchhaltung lag diese Datei.

00:04:17: Offener geht's kaum.

00:04:19: Oh

00:04:19: Mann!

00:04:20: Und dann der Browser.

00:04:22: Der Passwörter automatisch speichert.

00:04:24: Bequem klar.

00:04:26: Aber wenn der Laptop gestohlen wird oder Mailware draufläuft, sind alle Logins offen.

00:04:31: Genau und nicht zu vergessen.

00:04:33: Passwörter per WhatsApp oder E-Mail weitergeben.

00:04:37: Hey, schick mir mal bitte schnell das Passwort.

00:04:40: Und schwupp, liegt es unverschlüsselt auf einem fremden Server.

00:04:45: Und der größte Klassiker, den ich bis jetzt jemals gesehen habe, überall dasselbe Passwort.

00:04:50: Das ist wie ein einziger Schlüssel für Haus, Auto, Büro und Tresor.

00:04:56: Geht der verloren, ist alles offen.

00:04:58: Aber jetzt mal genug über Fehler, Tina.

00:05:00: Lass uns doch mal lieber über Lösungen reden.

00:05:03: Ein gutes Passwort ist vor allem eins.

00:05:05: Möglichst lang.

00:05:07: Zwölf Zeichen sind Minimum.

00:05:09: Wir empfehlen besser sechzehn oder sogar noch mehr.

00:05:12: Auf jeden Fall.

00:05:14: Je länger desto besser.

00:05:15: Und es sollte vor allem auch vielfältig sein.

00:05:18: Also Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen und so weiter enthalten.

00:05:24: Je gemischter es ist, desto besser und sicherer ist das Passwort.

00:05:27: Absolut.

00:05:28: Aber Achtung!

00:05:30: Und jetzt kommt's, zu kompliziert darf es auch nicht sein.

00:05:33: Sonst schreibt man es wieder auf einen Zettel.

00:05:36: Ganz genau.

00:05:37: Deshalb sind Passphrasen eine echt tolle Lösung.

00:05:40: Auch Sätze oder ungewöhnliche Wortkombination.

00:05:43: Zum Beispiel Pizza Rufzeichen und Plus Sommer gleich zwei tausend fünfundzwanzig.

00:05:49: Das ist zwar sehr lang, aber doch noch leicht zu merken und vor allem, was ja auch das Wichtigste ist, schwer zu knacken.

00:05:57: Oh je, na

00:06:18: das kann ich mir sehr gut vorstellen.

00:06:20: Ich kenne auch einen sehr skurrilen Fall aus der Praxis, nämlich es hat einen Mitarbeiter mal denselben Login, also dasselbe Passwort für E-Mail, Cloud-Speicher und das CRM-System genutzt.

00:06:32: Und was dann passiert ist, könnt ihr euch wahrscheinlich schon denken.

00:06:36: Als dann eines Tages ein altes Portal gehackt wurde, tauchte sein Passwort im Netz auf.

00:06:42: Die Angreiver testeten es dann natürlich auch beim Mail-Server und hatten sofort Zugriff auf alle Kundendaten.

00:06:48: Das war also natürlich keine so gute Idee und deswegen raten wir unseren Hörern und Kunden immer wieder davon ab.

00:06:56: Und jetzt kommt zu diesem Thema noch mein ganz persönlicher Favorit, nämlich eine Textdatei auf dem Desktop mit allen Passwörtern.

00:07:06: Die Schadsoftware muss die dann eigentlich nur noch unauffällig kopieren und bumm.

00:07:10: Das Ergebnis natürlich Chaos, Geldverlust, Stress und so weiter.

00:07:18: Du sagst es Daniel, daher kommt jetzt die Lösung und diese Lösung heißt Passwortmanager.

00:07:23: Sie speichern nämlich alle Passwörter verschlüsselt und können für jeden Dienst ein eigenes starkes Passwort erzeugen, welches dann so gut wie unmöglich zu hacken ist.

00:07:33: Korrekt und sehr praktisch, weil man sich dann nur noch ein einziges Master Passwort merken muss.

00:07:39: Aber Achtung!

00:07:41: Bitte nicht wieder den Fehler machen mit eins, zwei, drei, vier, fünf, sechs oder Passwort.

00:07:47: Ansonsten macht alles andere das Tool selbst für einen.

00:07:50: Und deswegen empfehlen wir Passwortmanager wirklich jedem.

00:07:53: Genau, aber ich muss ehrlich gesagt auch aus dem Nähkästchen plaudern mit einem Praxisbeispiel.

00:07:59: Viele haben nämlich Angst und fragen sich, was wenn der Passwortmanager selbst gehackt wird.

00:08:04: Da kann ich euch aber gleich mal beruhigen, weil seriöse Anbieter so stark verschlüsseln, dass selbst bei einem Einbruch nichts Brauchbares dabei rauskommt.

00:08:13: Kommen würde.

00:08:15: Wichtig ist bitte nur, immer und regelmäßig Updates machen und seriöse Anbieter wählen.

00:08:21: Absolut liebe Tina.

00:08:23: Und damit leite ich zum nächsten wichtigen Thema über, mit dem alles noch besser und sicherer wird, nämlich der Zweifaktor Authentifizierung.

00:08:32: Bedeutet in der Praxis, dass man neben dem Passwort eben auch noch einen zweiten Faktor zur Authentifizierung braucht.

00:08:40: Beispiele für diesen zweiten Faktor wären ein Code per SMS, eine Authentikator App oder durchaus auch ein Fingerabdruck.

00:08:49: Aber stell dir mal vor, Daniel, dein Passwort wird gestohlen.

00:08:53: Ohne zwei FA ist dein Account dann eigentlich sofort offen.

00:08:57: Mit der zwei FA braucht der Angreifer zusätzlich noch deinen zweiten Faktor.

00:09:01: Und den hat er eigentlich fast nie.

00:09:03: Na ja, außer er klaut gerade dein Handy, welches ohne Passwort war oder ähnliches.

00:09:08: Also sehr unwahrscheinlich bis unmöglich.

00:09:11: Viele finden es zwar total nervig mit der zwei Faktor-Authentifizierung.

00:09:15: Aber ich kann euch versichern, Leute.

00:09:18: Dieser kleine Schritt ist wie ein zweites Schloss an der Tür.

00:09:21: Und somit sehr, sehr wichtig.

00:09:23: Aber sowas von.

00:09:24: Vor allem in der heutigen Zeit ist man ohne zwei FA ziemlich schnell erledigt.

00:09:29: Jetzt würde ich gerne auch mal zu den Gefahren der zwei Faktor-Authentifizierung per SMS etwas sagen.

00:09:36: Die SMS-Zwei-Faktor-Authentifizierung ist natürlich besser als nichts, aber leider nicht wirklich perfekt.

00:09:42: Na ja, warum ist das denn so?

00:09:45: Angreifer können rein theoretisch SIM-Karten klonen oder mit vielen Datentricks eventuell sogar eine Ersatz-SIM.

00:09:51: beim Anbieter bestellen und sich so Zugriff verschaffen.

00:09:54: Ja voll Tina, rein theoretisch gebe ich dir total recht und ich rate immer dazu nach dem Prinzip safety first vorzugehen.

00:10:04: und deswegen sind Authenticator-Apps oder Hardware-Sicherheitsschlüssel um einiges sicherer.

00:10:10: Diese kann man nämlich eben nicht einfach klonen.

00:10:13: Richtig, also ich bin natürlich auch immer für das Prinzip safety first.

00:10:19: Also besser ein bisschen mehr Zeit investieren und dafür auf der sicheren Seite sein.

00:10:23: So, jetzt würde ich noch gerne ein weiteres, vor allem für die Zukunft, sehr wichtiges Thema kurz ansprechen.

00:10:30: Nämlich die Passkeys.

00:10:32: Immer mehr Unternehmen setzen eben auf diese Passkeys.

00:10:35: Das bedeutet eben, dass man noch eine Stufe höher geht und Logins wirklich nur noch per Fingerabdruck, Face ID oder Hardware-Key durchführt.

00:10:43: Heißt dann in der Praxis also.

00:10:45: Keine Passwörter mehr, kein Merken von Zeichenfolgen und so weiter.

00:10:49: Ja, das klingt aber total nach Zukunft.

00:10:52: Und vor allem, was noch wichtiger ist, es ist sicher.

00:10:57: Aber bis es überall der Standard ist, wird es wohl noch einige Zeit dauern.

00:11:03: Richtig, lieber Daniel.

00:11:05: Aber wir sind zumindest schon mal am richtigen Weg.

00:11:07: Zum Abschluss würden wir euch gerne noch zusammenfassend ein paar Quicktips für den Alltag mitgeben.

00:11:15: Nutzt bitte für jeden Dienst unbedingt ein eigenes Passwort.

00:11:18: Nutzt einen Passwortmanager.

00:11:21: Aktiviert überall, wo es nur möglich ist, die zwei Faktor-Authentifizierung.

00:11:27: Prüft regelmäßig auf HaveIBeenPorned.com eure Mail-Adressen auf Datenlecks.

00:11:34: Falls ihr noch schwache oder doppelt genutzte Passwörter habt, dann bitte sofort ändern.

00:11:39: Genau und ja, damit sind wir schon am Ende unserer ersten Folge.

00:11:44: Passwörter wirken banal, aber sie sind der Schlüssel zu fast allem.

00:11:49: Schwach bedeutet Risiko, stark bedeutet Schutz.

00:11:54: Absolut.

00:11:55: und in der nächsten Folge sprechen wir dann über Fishing.

00:11:58: Gefälschte Mails, die täuschend echt aussehen und wie man sie erkennt und was man tun kann.

00:12:05: Danke fürs Zuhören, bis bald.

00:12:07: Auch ich bedanke mich fürs Zuhören und freue mich schon jetzt auf die nächste Folge.

00:12:12: Das war Cybersneck.

00:12:13: Danke, dass ihr dabei wart.

00:12:15: Wenn euch die Folge gefallen hat, abonniert uns und bleibt ab to date in Sachen IT-Sicherheit und Digitalisierung.

00:12:21: Bis zur nächsten Folge.

00:12:22: Bleibt sicher und neugierig.