Sicherheit: Einfache Passwörter bleiben in Deutschland weiterhin beliebt
Sowohl das Hasso-Plattner-Institut (HPI) als auch Identeco haben in diesem Jahr erneut die am häufigsten in Leaks auftauchenden Passwörter untersucht. Auch wenn sich die Ergebnisse leicht unterscheiden, zeichnen die Analysen ein deutliches Bild davon, wie wenig präsent das Thema trotz aller Warnungen noch immer bei Nutzern ist.
Sich am besten für jeden neuen Online-Dienst ein neues Passwort zu merken, kann je nach Anzahl der Zugänge für viele Nutzer schnell zu einer Mammut-Aufgabe werden. Viele wollen es sich daher, trotz aller Hilfsmittel wie Passwort-Manager, so einfach wie möglich machen und verwenden daher immer wieder das gleiche Passwort. Und um sich dieses leichter merken zu können, wird auf komplexe Phrasen verzichtet.
Bequemlichkeit siegt
Auch wenn Experten immer wieder vor den Gefahren warnen, die sich aus der Verwendung eines einzigen leichten Passwortes ergeben und mit dem Cyber-Kriminelle schnell an weitere verschiedene persönliche Informationen gelangen können, gehen Anwender in Deutschland nach wie vor sehr nachlässig mit dem Thema um. In nicht wenigen Fällen bedarf es nur eines Angriffes auf einen Dienst, um den Tätern schnell Zugänge für weitere Dienste in die Hand zu geben.
Dass sich an diesem wichtigen Thema in all den Jahren nichts geändert hat, zeigt die diesjährige Aufzählung der am meisten in Datensätzen gefundenen Passwörter, die das Team um Prof. Christian Dörr, Leiter des Fachbereichs „Cybersecurity – Enterprise Security“ am HPI zusammengetragen hat. Als Quelle dienten Datensätze mit privaten Identitäten, die zusammen mit den Passwörtern unter anderem im Darknet gefunden wurden. Die Funde zeigen auch, dass die gestiegenen Vorgaben nach komplexeren Passwörtern seitens der Dienste-Anbieter die Nutzer nicht wirklich zu mehr Kreativität verleitet haben.
Auch Kriminelle lieben es einfach
Interessant ist dabei der Aspekt, dass selbst Kriminelle bei den von ihnen verwendeten Kennwörter oftmals faul agieren und selbst einfachste Passwörter für Botfarmen und Desinformationskampagnen nutzen. Nur so lässt sich erklären, dass mit mutmaßlichen Cyberkriminellen in Verbindung gebrachte Passwörter wie „target123“ und „gwerty123“ in den Funden auffällig oft verwendet wurden – auch wenn diese in ihrer Schreibweise ein wenig verwundern. Dass es sich bei diesen um keinen Schreibfehler handelt und wie es zu solchen Passwörtern kommen kann, erklärt Dörr in einem Blog-Eintrag.
„Die Auswertung zeigt, wie wichtig es ist, die eigene digitale Identität zu schützen. Das Passwort ist der Schlüssel für die digitale Welt. Das Verständnis dafür sollte man so früh wie möglich lernen.“, kommentiert Prof. Christian Dörr das Ergebnis der HPI-Analyse. Seiner Meinung nach sollte sicheres Verhalten im Internet schon in den Schulen auf dem Lehrplan stehen – ebenso wie Kinder frühzeitig lernen würden, sich sicher im Straßenverkehr zu bewegen.
And the winner is...
Die nun vorgestellte Top-Ten deutscher Passwörter zeigt einmal mehr, dass in diesem Bereich noch viel Arbeit zu bewältigen ist:
- 01. 123456789
- 02. 12345678
- 03. hallo
- 04. 1234567890
- 05. 1234567
- 06. password
- 07. password1
- 08. target123
- 09. iloveyou
- 10. gwerty123
Wie in jedem Jahr weist das Hasso-Plattner-Institut auch dieses Mal darauf hin, wie wichtig starke, individuelle Passwörter für mehr Sicherheit in der Online-Welt sind. Dazu bietet das HPI seit rund 10 Jahren mit dem „Identity Leak Checker“ ein kostenloses Tool zur Überprüfung an, ob die eigene E-Mail-Adresse Teil eines Datenlecks war und damit verbundene persönliche Daten ins Internet gelangt sind.
Andere Analyse, ähnliches Ergebnis
Zu einem ähnlichen Ergebnis kommt auch der Sicherheitsdienstleister Identeco. Dieser hatte bereits zu Anfang des Monats eine Analyse veröffentlicht, bei der rund 36.000 Leakdateien, die im Verlauf des Jahres 2023 aus unterschiedlichen Quellen des Clear-, Deep- und Darknets gesammelt und analysiert wurden, als Grundlage herangezogen wurden. In diesem Fundus wurden mehr als 12.000 Dateien ausgemacht, die relevante Identitätsdaten beinhalteten. Dadurch konnte das Unternehmen aus über 3,1 Milliarden Identitätsdaten schöpfen, von denen am Ende 2,9 Milliarden Zugangsdaten die Grundlage für die beschriebene Analyse bildeten. Dabei wurden ausschließlich Passwörter von Zugängen erfasst, die mindestens eine mit ihnen verbundene E-Mail-Adresse aufwiesen.
Im Gegensatz zur Analyse des HPI unterteilt Identeco die Auswertung zusätzlich in privat, beruflich und von öffentlichen Einrichtungen genutzte Passwörter auf. Das Ergebnis fällt aber in gleicher Weise ernüchternd aus:
Keine Besserung in Sicht
Die Aufzählungen zeigen einmal mehr, dass es deutsche Anwender vor allem einfach mögen und die Sicherheit der eigenen Daten eine untergeordnete Rolle spielt. Während die Folgen eines Angriffes bereits bei privat genutzten Zugängen erheblich sein können, dürften die Auswirkungen in Unternehmen und öffentlichen Einrichtungen wie Behörden noch drastischer ausfallen. Gerade bei den letzten beiden sollte nach der Berichterstattung der letzten Monate über Angriffe mit Ransomware und den damit verbundenen Schäden für die Betroffenen zumindest bei den Administratoren der jeweiligen Infrastruktur ein Umdenken stattgefunden haben, was jedoch, zumindest der Analyse nach, nicht erfolgt ist.