Endspurt – Noch rund 50 Tage bis zum Start der EM 2024 und nicht nur der Bundestrainer möchte seine Schützlinge ins Trainingslager schicken. Auch die deutschen Fußballfans gehören dort hin, sagen die Sicherheits-Expertinnen und Experten der Telekom. Trainingsziel: Das Abwehrverhalten beim Passwort.
Wer einen Blick auf die 30 gestohlenen Passwörter wirft, die am häufigsten in frei zugänglichen öffentlichen Quellen zu finden sind, sieht das Problem sofort. Schon der zweite Platz gehört einer Fußballmannschaft. In dieser Tabelle ist „Schalke04“ zur Abwechslung mal fast spitze. Nur „Passwort1“ ist öfter anzutreffen, so traurig das auch ist.
Für die Anhänger des Revier-Rivalen Borussia Dortmund ist das kein Grund hämisch zu lachen. Denn „Borussia“ findet sich immer noch in den Top 10, „Dortmund09“ auf Rang 18. Wobei „Borussia“ auch gut und gerne von den Fans von Borussia Mönchengladbach genutzt werden könnte. Um die Schalker von ihrem zweifelhaften Platz zwei zu verdrängen, hat die linksrheinisch-westfälische Co-Produktion dennoch nicht ausgereicht.
Die Begeisterung für diesen Sport kennt bei der Sicherheit von Konten leider keine Grenzen. „Fussball“ belegt den 20. Platz dieser Liste. Und der beliebteste Einzelakteur hat sich auf Rang 26 gespielt. Sein Geld verdient er mittlerweile in Saudi-Arabien, die deutschen Fans haben (Cristiano) „Ronaldo1“ dennoch noch nicht vergessen. Einziger Wehrmutstropfen für ihn – ein US-Basketballer, der seit mehr als 20 Jahren im Ruhestand ist, scheint als Passwort noch beliebter zu sein. (Michael) „Jordan23“ belegt Platz 25 dieser Tabelle geklauter Kennwörter, die im ersten Quartal 2024 besonders häufig im Netz zu finden waren.
Einfach zu gefährlich
Sicher, solch eine Liste ist lediglich als eine Stichprobe anzusehen ohne wirkliche Aussagenkraft. Trotzdem lässt sie tief blicken, sagt Telekom Sicherheitschef Thomas Tschersich: „Wir sehen, dass deutsche Nutzerinnen und Nutzer weiterhin zu oft das für sie Naheliegendste zum Passwort machen. Und genau das macht sie verwundbar. Wenn ich die Tabelle der Fußball-Bundesliga – Verein für Verein -zusammen mit sämtlichen E-Mails ausprobiere, die ich mit einfachen Mitteln im Netz finden kann, so generiere ich damit leider zehntausende von aktiven Zugangsschlüsseln. Und das ist zu einfach und war noch nie zeitgemäß.“
Password Spraying nennt sich diese Technik. Cyberkriminelle probieren etwa als Zugangsdaten von Nutzerkonten einfach eine Reihe von beliebten Passwörtern mit E-Mails aus, die sie finden können. Und da viele Menschen die Angewohnheit haben, mehr als ein E-Mailkonto zu besitzen, fließt auch diese Tatsache in die Strategie mit ein. Was bei E-Mail-Anbieter Nummer eins funktioniert hat, kann auch mit demselben Nutzernamen bei anderen Anbietern funktionieren. Das Telekom Sicherheitsteam sieht solche Versuche Passwörter zu sprayen regelmäßig, wenn Alarme von Anomalie-Erkennungssystemen ausgewertet werden. Dabei rächt es sich zusätzlich, dass bequeme Zeitgenossen ihr Lieblingspasswort für mehr als ein Konto einsetzen. Auch das lässt sich mit schlichtem „Durchprobieren“ massenhaft austesten.
Die Erfolgs-Strategie für Fans
Aktuelle Richtlinien fordern von einem Passwort bestenfalls einen Großbuchstaben, einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen zu enthalten. Deutscher Fußballmeister in diesem Jahr wird Bayer 04 Leverkusen. Müssen wir uns wirklich darüber wundern, dass ein Passwort „Bayer04Lev!“ aktuell immer häufiger bei Sammlungen von geklauten Passwörtern auftaucht?
Tipp der Sicherheits-Expertinnen und Experten der Telekom für die Fußballbegeisterten: Nehmt eure Lieblingspassage der Vereinshymne oder des Fankurvengesangs und davon jeweils die Anfangsbuchstaben der Worte. Achtet auf Groß- und Kleinschreibung. Idealerweise kommt eine Zahl in dieser Passage vor. Setzt ein Sonderzeichen vor oder hinter diese Kombination, etwa eine Klammer als Meisterschale ( und fertig ist ein individuelles Passwort, das nicht ganz so einfach zu erraten ist. Aber wo trotzdem jede Menge Fan-Herzblut drinsteckt.
www.telekom.com