Welt-Passwort-Tag: So schützt du deine Daten richtig

Am 2. Mai 2019 rundet sich der Welt-Passwort-Tag zum siebten Mal. Ins Leben gerufen wurde er 2013 vom US-amerikanischen Halbleiterhersteller Intel Corporation mit dem Ziel, den richtigen Umgang mit Passwörtern in den Fokus zu rücken. Ein Thema, das nicht nur für IT-Experten relevant ist, sondern für jeden, der sich in der digitalen Welt bewegt. Wir zeigen dir, wie du Passwörter richtig einsetzt und mit welchen Tricks du im IT-Universum sicher unterwegs bist.

Regelmäßig erreichen uns Nachrichten vom Diebstahl und Missbrauch von Nutzerdaten. Gerne werden diese nur flüchtig gelesen und mit dem Gedanken „Das passiert mir schon nicht“ leichtfertig verworfen. Doch jeder Nutzer von digitaler Software und Online-Anwendungen ist von potenziellen Bedrohungen durch das Ausspähen von Passwörtern betroffen. Vor allem in Unternehmen, die mit einer Vielzahl an sensiblen Informationen hantieren, können entwendete Zugangsdaten massive negative Folgen haben. Die folgenden Tipps und Tricks zeigen dir, wie du dieses Risiko minimieren kannst.

Tipp 1: Wähle ein möglichst langes Passwort

Die Länge deines Passwortes ist ein wichtiger Faktor. Führe dir dabei einmal dieses Rechenbeispiel vor Augen: Ein leistungsstarker Computer benötigt weniger als eine halbe Stunde, um ein fünfstelliges Passwort zu berechnen. Für ein Kennwort mit mehr als 20 Stellen braucht er hingegen mitunter Jahre. Ein sicheres Passwort sollte aus mindestens acht bis zehn Zeichen bestehen. Optimaler sind 10 bis 14 Zeichen. Bei Verschlüsselungsverfahren für WLAN, wie zum Beispiel WPA und WPA2, sind mindestens 20 Zeichen gefordert.

Tipp 2: Variiere die Zeichen in deinem Passwort

Viele Anwender benutzen Kennwörter, die auf persönlichen Informationen beruhen, wie etwa dem Geburtsdatum oder dem eigenen Namen. Angreifer wissen das und testen dies schnell aus. Gestalte dein Passwort daher abwechslungsreich und unvorhersehbar. So solltest du vollständige Wörter ebenso vermeiden wie Zahlenreihen oder ganze Tastaturzeilen – beliebt ist hier die „QWERTZUIOP“-Tastenreihe. Auch nützt dir ein zehnstelliges Passwort nur wenig, wenn es lediglich aus einem sich wiederholenden Buchstaben besteht. Verwende immer eine Mischung aus Klein- und Großbuchstaben, Ziffern und Sonderzeichen, die keinem logischen Zusammenhang folgt.

Achtung: Umlaute können auf Tastaturen im Ausland Probleme bereiten. Verzichte also auf ä, ö und ü – aber auch ß –, wenn du das Kennwort außerhalb Deutschlands verwenden musst.

Kasten:

Die beliebtesten Passwörter Deutschlands

Kaum zu glauben, aber wahr: Das beliebteste Passwort deutscher Nutzer im Jahr 2018 war (wieder einmal) 123456. Auch wenn Zahlenreihen und andere einfach zu generierende Passwörter ein großes Sicherheitsrisiko darstellen, werden sie nach wie vor von vielen verwendet. Zu den weiteren Top-Passwörtern zählen:

  • 12345
  • 123456789
  • 12345678
  • hallo123
  • passwort
  • master

Tipp 3: Verwende das Passwort nicht mehrfach

Passwörter zu erstellen und sich einzuprägen erscheint vielen als lästige Nebensache. Dennoch ist es äußerst wichtig, für jedes Konto, jede Registrierung und jede Anwendung ein individuelles Kennwort zu verwenden. Das hat einen einfachen Grund: Tritt einmal der ungünstige Fall ein, dass ein Passwort ausgespäht wurde, ist bei einer Mehrfachverwendung gleich die gesamte IT-Infrastruktur in Gefahr. Die dadurch entstehenden Risiken sind um ein Vielfaches höher, als wenn das Passwort nur für einen bestimmten Zugang verwendet wird.

Tipp 4: Passwort nicht automatisch speichern

Viele Anwendungen ermöglichen es das Passwort zu speichern, um es beim nächsten Login automatisch einzugeben. Wir raten dir, wenn möglich, darauf zu verzichten. Nicht jedes Programm kann garantieren, dass das Kennwort in verschlüsselter Form sicher hinterlegt wird. Manche Anwendungen speichern Passwörter sogar gänzlich unverschlüsselt im Klartext auf dem System – hier haben Angreifer leichtes Spiel. Informiere dich vorab genau darüber, wie das Programm dein Passwort schützt und verzichte im Zweifelsfall auf das automatische Speichern.

Tipp 5: Nutze die Zwei-Faktor-Authentifizierung

Einige Online-Dienstleister bieten Nutzern die Möglichkeit, sich zusätzlich zur Passworteingabe durch einen zweiten Faktor abzusichern. Dabei handelt es sich zum Beispiel um einen individuellen, per SMS versendeten Code oder um einen hardware-gestützten TAN-Generator. Auch gibt es die Möglichkeit, dein Kundenkonto mit einem zweiten, temporären Code an ein Gerät oder einen Browser zu koppeln: Verknüpfst du zum Beispiel deinen neuen Computer mit deiner ID, wird dir der temporäre Code auf ein anders, bereits verknüpftes Gerät zugesendet. Damit kannst du den neuen PC dann zusätzlich zum Passwort freischalten. Weiterhin gibt es bei vielen Online Zugangsportalen wie z.B. Adobe und viele andere bereits die Möglichkeit via Authentifikation ein Einmalpasswort (OTP) zu generieren. Dazu lädst Du auf Dein Handy eine App z.B. Google Authenticator herunter und richtest Dein Online Portal dort ein. Das funktioniert analog einem TAN Generator.

Tipp 6: Behalte den Überblick über deine Passwörter

Es gibt verschiedene Tricks für Nutzer, sich Passwörter einzuprägen, ohne diese aufschreiben zu müssen. Von Merksätzen bis zur sogenannten „Leetspeak“ ist so ziemlich jeder Gedächtniskniff dabei. Vor allem aber für Unternehmen, die mit mehreren passwortgeschützten Anwendungen arbeiten, sind diese Methoden aufgrund der Menge nicht praktikabel. Eine Lösung sind Passwortmanager, die von unterschiedlichen Anbietern bereitgestellt werden. Sie helfen beim Erzeugen von Passwörtern und speichern diese verschlüsselt ab. Du brauchst dir nur das Masterpasswort für den Manager zu merken. Wichtig ist, dass es sich um einen vertrauenswürdigen und erprobten Anbieter handelt, der etwaige Sicherheitslücken schnell zu schließen weiß.

Eine in Unternehmen gängige Praxis ist das Führen von Passwortlisten, die auf geschützten und versteckten Ordnern auf dem Firmenserver gespeichert werden. Nur ausgewählte Nutzer haben Zugriff darauf. Jedoch sind auch diese Passwortlisten bei einem Angriff nicht zu 100 % sicher. Wichtig ist, dass du über einen kompetenten IT-Partner wie den IT COMMANDER verfügst, der auf Sicherheitsvorfälle jederzeit schnell reagiert und so deine gespeicherten Passwörter vor unerlaubten Zugriffen schützen kann.

Thema Passwortmanager sollte noch eingebaut werden:
Gängige Praxis ist es daher heute einen Passwortmanager zu verwenden. Passwortmanager werden als zentrale Dienste Software vom IT COMMANDER bereitgestellt, so dass jeder Anwender im Unternehmen seine Passwörter sicher hinterlegen kann.

Häufige Fragen zum Thema Passwort

Soll ich mein Passwort einem Online-Sicherheitscheck unterziehen?

Wir raten grundsätzlich von Online-Angeboten ab, die Passwörter auf ihre Sicherheit prüfen. Die übermittelten Daten können leicht von den Seitenbetreibern und Dritten eingesehen werden. Es ist sogar möglich, anhand deiner IP-Adresse und anderen übermittelten Daten den Weg zu anderen Accounts zurückzuverfolgen. Orientiere dich stattdessen an den oben genannten Tipps, um ein sicheres Kennwort zu erstellen oder wende dich direkt an den IT COMMANDER.

Muss ich mein Passwort regelmäßig ändern?

Einige Ratgeber empfehlen, Passwörter alle paar Monate zu ändern. In manchen Firmen ist das regelmäßige Wechseln von Kennwörtern sogar vorgeschrieben. Das kann hilfreich sein, wenn das Netzwerk bereits von einer unerwünschten Überwachung betroffen ist, da durch die Passwortänderungen der Angreifer immer wieder ausgesperrt wird.

Experten, wie die britische Communications Electronics Security Group oder das amerikanische National Institute of Standards and Technology, bezweifeln jedoch, dass dieses Verfahren wirklich zu mehr Sicherheit führt. Mitunter verleitet es Mitarbeiter dazu, das selbe Passwort für mehrere Anwendungen zu verwenden, zu vereinfachen oder nur minimal abzuändern. Wir empfehlen dir daher, Kennwörter nur zu ändern, wenn dies aufgrund eines Angriffs notwendig ist und dann umgehend.

Kann ich einen Online-Passwortgenerator verwenden?

Es gibt mehrere Anbieter im Netz, über die sich kostenlos Passwörter generieren lassen. Davon raten wir dir jedoch ab. Oft sind diese Seiten wenig vertrauenswürdig: Was mit diesen Passwörtern geschieht und wer sie sehen kann ist kaum nachzuverfolgen. Es besteht das Risiko, dass auch Dritte auf die generierten Kennwörter zugreifen können oder diese sogar bewusst weitergegeben werden.

Eine gute Möglichkeit ist der Passwortgenerator eines Passwortmanagers.

Passwort vergessen – was nun?

Du hast dein Passwort vergessen und es nirgendwo sicher hinterlegt? Je nachdem, um welche Anwendung es sich handelt, bietet dir der jeweilige Anbieter Möglichkeiten an, ein neues Kennwort zu erhalten und so deinen Zugang wiederherzustellen. Zudem solltest du einen vertrauenswürdigen IT-Dienstleister an deiner Seite haben, der dich bei der Lösung dieses Problems effektiv unterstützt.

Kann ich mein Passwort sichtbar machen?

In einigen Anwendungen werden die Zeichen bei der Passworteingabe durch Sternchen-Symbole versteckt. Besonders bei langen Kennwörtern wünschen sich viele Nutzer jedoch, die Eingabe mitlesen zu können, um Fehler zu vermeiden. Diese Möglichkeit bieten einige Addons zur Passwortanzeige in Browsern, Messengern oder Mail-Clients.

Bestimmte Software zum Anzeigen versteckter Passwörter ist allerdings seit der Einführung des sogenannten „Hackerparagrafen“ verboten. Generell können wir das Sichtbarmachen von Kennwörtern nicht empfehlen, da die Markierung eine wichtige Sicherheitsmaßnahme ist, um deine Accounts vor Fremdzugriff zu schützen.

Daten und Passwörter schützen mit dem IT COMMANDER

Wenn du unsere Tipps beachtest, erfüllst du zumindest schon einmal die Grundvoraussetzungen für starke Passwörter. Jedoch hängt die Sicherheit deiner Zugangsdaten nicht nur davon ab, wie ausgetüftelt dein Kennwort ist. So setzen Cyber-Kriminelle zum Beispiel Schadcodes, sogenannte Malware ein, die speziell für den Diebstahl von Passwörtern konzipiert wurden. Deshalb ist es unerlässlich, deine IT-Infrastruktur durch eine umfassende Sicherheitslösung zu schützen.

Der IT COMANNDER unterstützt dich dabei, deine IT-Umgebung optimal abzusichern. Durch regelmäßige Kontrolle, kontinuierliches Monitoring und individuelle Problemlösung sagen wir Datendiebstahl und Spionage effektiv und effizient den Kampf an.

Nutzerdaten

Als Nutzerdaten werden alle persönlichen Informationen bezeichnet, die ein Nutzer bewusst oder unbewusst im Internet hinterlässt. Dabei gibt er viele Daten freiwillig und aktiv preis: Im Rahmen von Bestellungen in Onlineshops müssen zwangsläufig Informationen wie Name und Adresse sowie Zahlungsdaten eingegeben werden. Andere Informationen werden automatisch erfasst, z.B. Suchanfragen auf der Website eines bestimmten Anbieters. Daraus lassen sich Interessen des Nutzers ablesen. Basierend auf diesen kann der Anbieter passgenaue Werbung schalten. Zusätzlich hat er die Möglichkeit, die über den Nutzer gesammelten Daten an andere Dienstleister weiterzugeben. Auch diese können dann zielgerichtete Werbung schalten – so lässt sich mit Nutzerdaten Geld verdienen.

Doch das Sammeln und Auswerten personenbezogener Daten ist nicht ohne Risiken. Der durchschnittliche Internetnutzer hat bei der Masse an Suchanfragen und digitalen Interaktionen heutzutage kaum noch die Möglichkeit zu wissen, wer am Ende über seine Daten verfügt. Potentiell besteht so auch die Gefahr, dass aus einzelnen personenbezogenen Informationen ein umfängliches Bild von einem Nutzer entsteht. Darüber hinaus können Nutzerdaten in den falschen Händen z.B. für Identitätsdiebstähle missbraucht werden.

Um Gefahren und Risiken aus dem Weg zu gehen, sollte man stets dafür sorgen, dass man – soweit möglich – die Kontrolle über die eigenen Daten behält. Das bedeutet z.B., dass man persönliche Informationen nur an solche Online-Dienstleister weitergibt, die sich mit ihrer Datenschutzerklärung dazu verpflichten, Nutzerdaten zu schützen.

Zugangsdaten

Zugangsdaten sind Informationen, deren Eingabe erforderlich ist, um den Zutritt zu einem bestimmten Bereich zu erlangen. Sie bestehen aus Benutzername und Passwort und beziehen sich nur auf eine Person oder eine klar definierte Gruppe von Personen, die dadurch eine Zugangsberechtigung erhalten. Durch Zugangsdaten können Informationen geschützt werden – nur wer über die richtigen Daten verfügt, erhält Zugang.
Notwendig sind Zugangsdaten vor allem in der digitalen Welt: Um sich auf einem Computer oder anderen Endgerät einzuloggen, benötigt man im Normalfall Benutzername und Passwort. Das gilt auch für die Nutzung von Online-Diensten oder W-LAN-Verbindungen. Bei erstmaligem Einloggen legt man Benutzername und Passwort meist selbst fest oder bekommt diese zugewiesen. Beide werden gespeichert und damit in den Datenbestand des Dienstleisters aufgenommen. Bei jedem weiteren Log-In werden die eingegebenen Daten mit denen im Datenbestand abgeglichen. Wenn beide übereinstimmen, wird der Zugang gewährt. Genauso funktioniert das Procedere beispielsweise auch bei modernen Fingerabdruckgeräten, allerdings unterscheiden sie nicht zwischen Benutzername und Passwort – diese sind hier identisch.
Eine Gefahr ergibt sich aus dem Diebstahl von Zugangsdaten. Immer wieder werden diese durch Cyberkriminelle gehackt und für illegale Aktivitäten missbraucht. Sichere Passwörter können hier ebenso helfen wie eine Zwei-Faktoren-Authentifizierung.

WPA-2

WPA-2 (Wi-Fi Protected Access 2) ist ein Verschlüsselungsstandard für WLANs, der 2004 als Nachfolger von WPA eingeführt wurde. Er wurde nach den WLAN-Standards IEEE 802.11a, b, g, n und ac entwickelt und basiert auf dem Verschlüsselungsverfahren AES (Advanced Encryption Standards).

WPA-2 dient dazu, die übertragenen Daten in einem WLAN und der teilnehmenden Clients vor unerwünschten Zugriffen und dem Mitlesen durch Dritte zu schützen. Fast alle modernen Router sind standardmäßig auf WPA-2 eingestellt. Die Authentifizierung erfolgt in größeren Netzen häufig über den Authentifizierungsserver RADIUS (Remote Authentication Dial-In User Service), während kleinere Netzwerke, zum Beispiel von Privatnutzern, über einen PSK (Pre-Shared-Key) gesichert sind. Für eine sichere Authentifikation über das PSK-Verfahren ist ein Netzwerkschlüssel nötig, der maximal 63 Zeichen umfassen kann. Der voreingestellte Netzwerkschlüssel ist in der Regel auf der Unterseite deines Routers vermerkt, kann jedoch von dir geändert werden. Hier solltest du auf eine Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen achten und auf zusammenhängende Wörter oder Buchstabenreihen verzichten.

Auch wenn WPA-2 als wesentlich sicherer als sein Vorgänger gilt, wurde 2018 ein neuer Standard, WPA-3, angekündigt. Dieser enthält neue Funktionen, welche die Authentifizierung vereinfachen sowie die Sicherheit von Verschlüsselung und Authentifizierung erhöhen sollen.

WPA

WPA (Wi-Fi Protected Access) ist der 2003 verabschiedete Standard zur Verschlüsselung und Authentifizierung im WLAN. Er ist der Nachfolger des WEP-Standards (WEP = Wired Equivalent Privacy), dessen Schwachstellen und Sicherheitslücken er beseitigen sollte. Mittlerweile gilt allerdings auch WPA als überholt, weshalb von einer Verwendung für drahtlose Netzwerke abgeraten wird.

WPA basiert auf der Architektur von WEP, bringt jedoch durch dynamische Schlüssel und weitere Authentifizierungsverfahren zusätzlichen Schutz. In großen WLAN-Installationen kommt zumeist die Authentifizierung über EAP (Extensible Authentication Protocol) zum Einsatz, während kleinere Netzwerke häufig über PSK (Pre-Shared-Keys) authentifiziert werden.

WPA wurde noch vor der Verabschiedung des offiziellen WLAN-Standards IEEE 802.11i veröffentlicht. Da WEP bereits zu diesem Zeitpunkt als geknackt galt, musste schnellstmöglich eine sichere Alternative gefunden werden, weshalb die Fertigstellung des IEEE-Standards 802.11i nicht abgewartet werden konnte. Daher stellt WPA eine Art Übergangslösung dar, die schon 2004 durch das neue WPA-2 (Wi-Fi Protected Access 2) abgelöst wurde. 2018 wurde eine weitere Ergänzung des Standards angekündigt, WPA3. Dadurch sollen zukünftig unter anderem Passwörter und die Nutzer-Privatsphäre in offenen Netzwerken besser geschützt und der Prozess des Konfigurierens auf Geräten mit kleinem Display vereinfacht werden.

WLAN

Der Begriff WLAN, manchmal auch als Wireless LAN oder W-LAN bekannt, steht für Wireless Local Area Network. Wörtlich übersetzt bedeutet WLAN so viel wie „kabelloses, lokales Netzwerk“, bezeichnet also ein Netzwerk mit begrenzter Reichweite, das mit einer Funktechnik arbeitet. In anderen Ländern, beispielsweise Kanada, Großbritannien oder Frankreich, wird WLAN in der Regel mit dem Begriff WiFi übersetzt. Dieser bezieht sich streng genommen jedoch nur auf Funknetze, die nach einem Standard der IEEE-802.11-Familie funktionieren. Für die Bereitstellung des WLAN ist dein Router verantwortlich. Dieser stellt über deinen Provider (z.B. per DSL, Kabel oder LTE) eine Internetverbindung her. Diese Internetverbindung kann dann von Geräten genutzt werden, die in dem WLAN verbunden sind. Das WLAN wird also nicht vom Internetanbieter, sondern von dir selbst betrieben.

Da über eine offene WLAN-Verbindung theoretisch jeder deine Internetverbindung nutzen kann, muss sie aus Sicherheitsgründen verschlüsselt werden. Der WLAN-Standard IEEE 802.11 sieht die Verschlüsselung über den Sicherheitsstandard WEP (Wired Equivalent Privacy) vor. Da dieser mittlerweile aber nicht mehr dem aktuellen technologischen Stand entspricht, wurden Ergänzungen und Nachfolger wie WEPplus, WPA (Wi-Fi Protected Access), WPA-2 und WPA-3 entwickelt. Um auf eine WLAN-Verbindung zugreifen zu können, musst du dich über einen Netzwerkschlüssel – ein Passwort bzw. Code – authentifizieren. Deinen Netzwerkschlüssel findest du zumeist auf der Unterseite deines Routers, er kann von dir jedoch geändert werden. Nur Nutzer, die diesen Netzwerkschlüssel in ihrem Gerät eingeben, können die Internetverbindung über das WLAN nutzen. Jedem verbundenen Gerät wird eine IP-Adresse zugeordnet, durch die es im Netzwerk eindeutig zugeordnet wird. So landen angeforderte Daten zum Beispiel nicht versehentlich auf deinem Smartphone, statt auf deinem Notebook.

Das WLAN ist nicht zu verwechseln mit dem WPAN (Wireless Personal Area Network). Im Vergleich zum WPAN hat es eine größere Reichweite und Sendeleistung und bietet generell höhere Datenübertragungsraten.

Welt-Passwort-Tag

2013 wurde der „Welt-Passwort-Tag“ von der Intel Corporation ins Leben gerufen. Er findet jedes Jahr am ersten Donnerstag im Mai statt. Sein Ziel ist es, den bewussten Umgang mit Passwörtern zu fördern, um vor Hackerangriffen geschützt zu sein und sich im Internet sicher bewegen zu können. In diesem Zusammenhang entbrennen regelmäßig Diskussionen darüber, wie der richtige Umgang mit Passwörtern aussieht. Unbestritten ist, dass Kennwörter möglichst lang sein und nicht mehrfach verwendet werden sollten. Allerdings sind Experten sich uneinig darüber, ob die geheimen Zeichenkombinationen tatsächlich alle paar Monate geändert werden müssen. Während Befürworter anmerken, dass Angreifer nur so regelmäßig ausgesperrt werden können, meinen Kritiker, dass ein Passwortwechsel nur in solchen Fällen Sinn macht, in denen die Änderung aufgrund eines Angriffs notwendig wird.

So oder so gilt: Passwörter sollten möglichst lang sein und aus Groß- und Kleinbuchstaben, Sonderzeichen sowie Ziffern bestehen, die keinen logischen Zusammenhang haben. Zudem sollte die IT-Infrastruktur immer mit Antivirenprogrammen und passgenauen Sicherheitslösungen geschützt werden.

Verschlüsselungsverfahren

Ein Verschlüsselungsverfahren dient dazu, einen Text so zu chiffrieren, dass er nicht mehr lesbar ist. Um ihn wieder verständlich zu machen, wird ein passender Schlüssel benötigt. In diesem Zusammenhang spricht man auch davon, dass ein Klartext in einen Geheimtext bzw. ein Geheimtext in einen Klartext umgewandelt wird. Durch die Verschlüsselung können Informationen vor dem unbefugten Zugriff Dritter geschützt werden. Die Wissenschaft, die sich mit den verschiedenen Verschlüsselungsverfahren beschäftigt, ist die Kryptologie.

Grundsätzlich unterscheidet man zwischen zwei Verschlüsselungsverfahren bzw. Kryptosystemen, dem symmetrischen und dem asymmetrischen:

Für das symmetrische Verschlüsselungsverfahren wird nur ein Schlüssel benötigt. Dieser wird vorher zwischen Sender und Empfänger einer Nachricht festgelegt, ist also beiden bekannt. Um den Inhalt der Nachricht vor dem Zugriff Dritter zu schützen, muss der Schlüssel geheim gehalten werden. Ein Beispiel für dieses Verfahren ist die Caesar-Verschlüsselung. Dabei wird jeder Klartextbuchstabe durch einen Geheimtextbuchstaben ersetzt. Das kann man sich so vorstellen:

Klar a b c d e f g h i j k l m n o p q r s t u v w x y z
Geheim D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

Für den Geheimtext werden die Buchstaben des Alphabets also um eine bestimmte Anzahl an Stellen verschoben – hier sind es drei Stellen. Aus dem Wort „geheim“ wird so „JHKHLP“. Problematisch an diesem Verfahren sind vor allem zwei Dinge: Die Übergabe des Schlüssels zwischen Sender und Empfänger birgt die Gefahr, dass auch Dritte von ihm erfahren. Zweitens ist die Chiffrierung nicht besonders sicher. Der Schlüssel ist vergleichsweise einfach zu erraten.

Deutlich komplexer und dadurch auch sicherer ist das asymmetrische Verschlüsselungsverfahren. Für dieses Kryptosystem werden zwei zusammengehörige Schlüssel benötigt: ein öffentlicher und ein privater. Der öffentliche Schlüssel wird vom Empfänger bekannt gemacht und kann von allen Sendern dazu genutzt werden, eine Nachricht an den Empfänger zu verschlüsseln. Einmal verschlüsselt kann man die Nachricht mit dem öffentlichen Schlüssel allerdings nicht wieder entschlüsseln (Einwegfunktion). Dafür ist der private Schlüssel vorgesehen, der geheim gehalten werden muss und nur dem Empfänger bekannt ist. Mit diesem kann die vom Sender erhaltende Nachricht dechiffriert werden. Das Verfahren nennt man auch Public-Key-Verschlüsselung.
Eine besonders sichere Form der asymmetrischen Verschlüsselung ist der RSA-Algorithmus. Er wird heute u.a. beim Online-Banking und für digitale Signaturen verwendet.

Temporärer Code

Temporäre Codes sind Zeichenfolgen, die genutzt werden, um sich für den Zugriff auf Online-Dienstleister, Anwendungen oder Portale zu authentifizieren oder Transaktionen durchzuführen. Damit wird verhindert, dass Angreifer das Passwort abhören und erneut verwenden können. Bekannte Beispiele sind Einmalpasswörter (OTP) oder TANs, die beim Online-Banking genutzt werden. Im Unterschied zu herkömmlichen Passwörtern werden temporäre Codes in der Regel automatisch generiert und sind nur einmalig, oft für ein festgelegtes Zeitfenster verwendbar. Dies wird auch als Wechselcodeverfahren bezeichnet.

Für die Verwendung von temporären Codes gibt es im Allgemeinen zwei Optionen: Entweder werden die Codes von vorgenerierten Listen verwendet, die über einen vertrauenswürdigen Kanal übermittelt wurden. Zu finden ist dieses Verfahren bei den TAN-Listen im Online-Banking. Die zweite Möglichkeit ist der Einsatz von kryptografischen Hash-Funktionen zur Generierung von Einmalpasswörtern, die nur kurzzeitig nutzbar sind. Temporäre Codes kommen häufig als Ergänzung zu Passwörtern zum Einsatz, um dem Nutzer durch die sogenannte Zwei-Faktor-Authentifizierung ein höheres Maß an Sicherheit zu gewährleisten. Wer sich zum Beispiel mit seiner Apple-ID auf einem anderen Gerät anmelden möchte, benötigt dafür einen Bestätigungscode. Dieser kann auf ein anderes vertrauenswürdiges Gerät gesendet, per SMS verschickt oder telefonisch übermittelt werden. Mit diesem temporären Code kann der Nutzer, in Verbindung mit seinem Passwort, das neue Gerät dann freischalten.
Zudem bieten viele Online-Zugangsportale, wie etwa Adobe, die Möglichkeit einen temporären Code in Form eines Einmalpasswortes zu generieren. Dazu lädt der Nutzer eine App, wie z.B. den Google Authenticator, herunter und richtet das Online-Portal dort ein.

TAN-Generator

Ein TAN-Generator erzeugt TANs auf elektronischem Wege. Die sogenannte TAN, Transaktionsnummer, ist ein Einmalkennwort (OTP), das hauptsächlich für das Online-Banking benötigt wird. Sie kann aber auch bei anderen Online-Dienstleistern zur Anwendung kommen, die für die Nutzung oder Anmeldung eine Authentifizierung fordern. Beim TAN-Verfahren wird für jede Transaktion, etwa bei einer Überweisung oder auch bei der Einrichtung eines Dauerauftrags, eine meist sechsstellige Nummer vergeben. Diese dient als Code, der zur Bestätigung eingegeben werden muss, um die Transaktion durchzuführen.

In den vergangenen Jahren haben TAN-Generatoren gegenüber klassischen TAN-Verfahren, wie etwa TAN-Listen oder SMS-TAN, immer mehr an Beliebtheit gewonnen. Wie ein TAN-Generator funktioniert, ist von dem jeweiligen Verfahren abhängig.

sm@rtTAN-Generator: Hierbei verwendet der Nutzer einen TAN-Generator ohne Zifferntasten, der ihm zum Beispiel von seinem Kreditinstitut bereitgestellt wird. Die Kundenkarte wird in den Generator eingesteckt, der daraufhin TANs erzeugt. Da das Verfahren anfällig für Phishing-Angriffe ist, ist seine Verbreitung eher gering.

eTAN-Generator: Bei diesem Verfahren erhält der Anwender einen individualisierten TAN-Generator, der einen geheimen Schlüssel, die aktuelle Uhrzeit sowie die Kontonummer des Empfängers nutzt, um daraus eine einmalig und zeitlich begrenzt gültige TAN zu erzeugen. Die Kontonummer wird über das Tastenfeld des Generators eingegeben.

chipTAN-Generator: Dieser Generator gilt als einer der sichersten auf dem Markt. Er verfügt über Eingabetasten, ein Display und einen Einschub für die Kundenkarte. Auf der Rückseite befinden sich zudem fünf optische Sensoren. Gibt der Nutzer beim Online-Banking die Daten zum Beispiel für eine Überweisung ein, erscheint auf dem PC-Bildschirm eine Grafik. An diese Grafik hält nun der Nutzer, mit eingeschobener Karte, die Sensoren des Generators. Dadurch werden die eingegebenen Daten an das Gerät weitergegeben, woraufhin die chipTAN erzeugt wird. Diese kann dann einmalig für den Abschluss der Transaktion verwendet werden.

TAN-Generatoren werden nicht nur beim Online-Banking genutzt. So bieten einige Online-Dienstleister die Möglichkeit, sich zusätzlich zur Passworteingabe durch einen zweiten Faktor – wie eine temporäre TAN – abzusichern. Dieses Verfahren wird als Zwei-Faktor-Authentifizierung bezeichnet.

Weiter Zurück »