Die Lieblings-Passwörter der Deutschen 2023
Benutzernamen und Passwörter sind die Schlüssel zu Online-Diensten und Benutzeraccounts. Häufig erhält man mit einem Zugang zu diesen Accounts Zugriff auf sensible Informationen – beruflich genauso wie privat. Die Sicherheitsexperten des Bonner Unternehmens Identeco haben nun eine Statistik über die am häufigsten gestohlenen Passwörter im Jahr 2023 im privaten und beruflichen Kontext veröffentlicht.
Für den beruflichen Kontext haben die Mitarbeiter von Identeco die 40 DAX-Konzerne als Stichprobe analysiert. In diese Stichprobe fallen alle Kombinationen aus E-Mail-Adresse und Passwort, die den Hauptdomains der DAX-Konzerne zugeordnet werden konnten. Die erschreckende Erkenntnis: Offensichtlich verwenden viele berufliche Benutzer einfach den Firmennamen als Passwort!
Nicht nur interne Daten sind sensibel
"Viele denken bei der Passwortsicherheit zuerst an den Schutz der internen Daten", sagt Identeco-CEO Matthias Wübbeling, "doch Mitarbeiter melden sich mit den Zugangsdaten auch bei externen Diensten an. Denken Sie zum Beispiel an eine digitale Ausschreibungsplattform. Wenn das Angebot für einen Großauftrag durch eine Übernahme Ihres Accounts in die Hände eines Mitbewerbers fällt, kann das immensen finanziellen Schaden verursachen." Auch privat schützen die Deutschen ihre Online-Konten und Daten mitunter nur mit schwachen Passwörtern.
Der Faktor Mensch – kein Unterschied: beruflich wie privat bedenklich
"Wir haben bei der Analyse beruflicher und privater Zugangsdaten häufig triviale Passwörter wie 'password' oder '123456' gefunden", sagt René Neff, IT-Sicherheitsexperte bei Identeco. Das erstaune wenig, denn auch bei international agierenden DAX-Unternehmen arbeiten schließlich "nur" Menschen an den Computern. Für den privaten Kontext hat Identeco Kombinationen aus Passwörtern und E-Mail-Adressen deutscher Benutzer analysiert.
Zu viele Nutzer verwenden Passwörter mehrfach
"Die Häufigkeit der gefundenen Zugangsdaten bestätigt, was wir schon aus anderen Studien wissen", sagt Identecos Experte Frank Zickenheiner, "Viele Nutzer verwenden dasselbe Passwort für verschiedene Accounts." Wübbeling ergänzt: "Mit mehrfach verwendeten Zugangsdaten können Hacker in Onlineplattformen und IT-Infrastrukturen eindringen, ohne dass das angegriffene Unternehmen selbst eine Sicherheitslücke hat – die gültigen Logindaten wurden ja bei einem anderen Anbieter gestohlen oder durch Phishing erbeutet."
Schutz vor Accountübernahme durch geleakte Zugangsdaten
Auf die Frage, wie Unternehmen sich und ihre Nutzer schützen können, antwortet Wübbeling eindeutig: "Wir finden mit Identeco jeden Monat hunderte Millionen Passwörter aus Datenleaks in den dunklen Ecken des Internets und schützen für unsere Kunden bereits jetzt mehr als 100 Millionen Accounts. Aus Anbietersicht ist jedes Onlinekonto eine Beziehung zu einem Kunden, die es wert ist, geschützt zu werden. Wir bieten eine umfassende Lösung für Onlinedienste. Dabei prüfen wir, ob eine Kombination aus E-Mail-Adresse und Passwort noch sicher ist oder bereits in kriminellen Kreisen kursiert. Das können wir beim Setzen des Passworts, bei der Anmeldung oder sogar völlig unabhängig von einer Benutzeraktivität."
Passwortregeln schützen nur begrenzt
Die Bonner Sicherheitsexperten weisen auf einen elementaren Sicherheitsaspekt hin: Auch ein Passwort, das allen aktuellen Sicherheitsempfehlungen entspricht, stellt ein Risiko dar, wenn es mehrfach verwendet wird. Deutlich wird dies am häufig gefundenen Passwort "ka_dJKHJsy6". Formal erfüllt es alle relevanten Kriterien wie Groß-/Kleinschreibung, Ziffern und Sonderzeichen. Dennoch schafft es dieses Passwort in die Top-20 der Passwörter von DAX-Unternehmen.
Plattformanbieter und Arbeitgeber verantwortlich für Accountsicherheit
Die Anbieter von Onlineplattformen und Arbeitgeber sind laut Identeco verantwortlich für die Sicherheit der verantworteten Accounts. "Wir können es nicht den Verbrauchern aufbürden, in kriminellen Kreisen einen Überblick über geleakte Passwörter zu behalten", sagt Neff zu diesem heiklen Thema. "Vielmehr fordern alle relevanten IT-Sicherheitsstandards wie BSI Grundschutz, ISO 27001 oder das NIST Cybersecurity Framework von den Betreibern die kontinuierliche Überprüfung auf kompromittierte Logindaten."
Für einen sicheren Account gibt es laut Identeco fünf Tipps:
- Verwenden Sie keine trivialen Passwörter.
- Noch wichtiger: Verwenden Sie niemals ein Passwort mehrfach.
- Nutzen Sie Passwortmanager zur Verwaltung Ihrer Passwörter.
- Überprüfen Sie regelmäßig alle Accounts vor Bedrohungen aus Datenleaks.
- Verwenden Sie wenn möglich Multi-Faktor–Authentifizierung
Für Endverbraucher empfehlen die Experten von Identeco hierzu den datenschutzkonformen und kostenfreien Leakchecker der Universität Bonn.