Man liest es immer wieder: Der Passwort-Klau geht um. Wenn dann aber das eigene E-Mail-Konto gehackt wurde, macht der Internet-Benutzer eine existenzielle Erfahrung von Kontrollverlust.
Tatsächlich erschien auf dem Bildschirm, kaum hatte ich den Computer eingeschaltet, eine Schrift, die mich fragte: „Hast Du das Passwort?” Keine Befehlsformel, Belbo war ein höflicher Mensch. (…) 27 Romanseiten lang versucht Casaubon, der Protagonist in Umberto Ecos „Das Foucaultsche Pendel” alles Menschenmögliche, um auf das Passwort zu kommen, das den Rechner seines unsanft verstorbenen Kollegen Belbo vor unbefugtem Zugriff schützt. Casaubon zieht alle Register seines esoterisch-kabbalistischen Halbwissens über hebräische Gottesnamen und versucht sich posthum auf allen erdenklichen Wegen in die Gedankengänge des Verblichenen hineinzuversetzen. Sieben Zeichen lang kann das Passwort sein, aber die Möglichkeiten sind schier unendlich, und die Zeit läuft davon. Jeden vergeblichen Rateversuch quittiert die Maschine mit der stoischen Frage: „Hast Du das Passwort?” Schließlich, in einem Wutanfall, aus schierer Frustration heraus, hackt der Held der Geschichte dann einfach „Nein” in die Tastatur. Und das Unerwartete passiert: Der Bildschirm begann, sich mit Zeichen zu füllen, mit Linien, Kolonnen, mit einer Flut von Worten. Ich hatte Abulafias Geheimnis geknackt.
Ob das Individuum, das sich voriges Wochenende zwecks Spamversand Zugang zu meinen Mailaccount bei GMX verschafft hatte, vergleichbare Mühe hatte wie Ecos Romanfigur, weiß ich nicht. Ich kann nur sagen: Ganz so leicht habe ich es dem Eindringling nicht gemacht, mein Passwort zu knacken. Aber ich hatte es seit Ewigkeiten nicht geändert, und das zählt in Fachkreisen ja auch schon als Risikofaktor. Ich war wohl in guter Gesellschaft, nach ersten Meldungen hieß es, 300.000 GMX-Konten wäre betroffen, inzwischen ist nur noch die Rede von 3.000 Konten, bei denen zweifelsfrei feststehe, dass sie über sogenannte Botnetze zum Versand von Spam missbraucht wurden. Sechsstellig war aber die Zahl von Benutzername/Passwort-Kombinationen, die durchprobiert wurden. Was nicht so rasend viel ist, wenn man sich vor Augen hält, dass bei sogenannten Brute-Force-Attacken zum Passwort-Knacken innerhalb kurzer Zeit sehr viele Passwort-Varianten durchprobiert werden. GMX schlussfolgert aus der vergleichsweise kleinen Anzahl von Zugriffsversuchen, dass schiere Rechenpower eher nicht die gewählte Methode war, um Mailkonten in die Hände zu bekommen. Wahrscheinlicher sei es, dass die Hacker dies mithilfe einer Liste mit Passwort-Nutzernamen-Kombinationen auf gut Glück versucht hätten.
Solche Listen kursieren in den unendlichen Weiten des Netzes durchaus öfters. Dem Internet-Telefoniedienst Yahoo Voice kamen just 450.000 Passwort-Mailadress-Kombinationen abhanden, dem Frageportal Formspring wurden 420.000 Passwörter abgeknöpft und ins Internet gestellt. Die seien aber verschlüsselt und keinem Benutzernamen zugeordnet gewesen, wie Formspring mitteilte. Vor einigen Wochen traf es das soziale Netzwerk Linkedin, eine überwiegend beruflich genutze Kontaktplattform. Hier kamen rund sechs Millionen Passwörter ans Licht – wenn auch in Form von sogenannten hashs, also verschlüsselt. Das garantiert auf Dauer aber für nichts, denn der Prozess, diese Verschlüsselungen zu knacken, ist in vollem Gange. Fünf Prozent der Passwörter lägen bereits im Klartext vor, meldete heise.de vor rund einem Monat. Erschreckend daran sei, dass selbst relativ sicher aussehende Varianten wie etwa „parikh093760239″, „a06v1203n08″ oder „376417miata?” keinen wirksamen Schutz boten. Man könne sich nicht darauf verlassen, dass das eigene Passwort ungeknackt bleibt. Umso wichtiger sei es, dass Linkedin-Mitglieder ihr Passwort möglichst sofort änderten. Und das empfehle sich unbedingt auch bei allen anderen Diensten, bei denen man das gleiche Passwort wie bei LinkedIn verwendet.
Bevor nun jemand fragt: Wie kann man nur? Dass Benutzer das gleiche Passwort gleich bei mehreren Diensten nutzen, kommt gar nicht so selten vor. Wie eine Umfrage der GMX-Muttergesellschaft 1&1 Internet AG zum Tag der Passwortsicherheit im Mai dieses Jahres ergab, nutzt ein Drittel der Befragten dasselbe Passwort für mehrere oder sogar alle Internet-Dienste. „Damit laufen sie Gefahr, den Generalschlüssel für alle ihre Daten im Internet zu verlieren, sollten Internet-Kriminelle das Passwort ausspionieren”, schreibt das 1&1-Blog. Idealerweise ist daher jeder Dienst mit einem individuellen Passwort geschützt. Und zwar nach Möglichkeit nicht mit einfach zu erratenden Zeichenfolgen wie „123456″ oder das fast ebenso oft verwendete „12345″. Auch von Geburtstagen, Kinder- und Haustiernamen raten Sicherheitsexperten immer wieder ab. Zeichenfolgen wie „passwort” und „abcdef” sollten sich eigentlich von selbst verbieten. Doch die Erfahrung lehrt, dass manche Nutzer es sich – und potenziellen Passwort-Dieben – wirklich sehr einfach machen.
Aber wie das Beispiel Linkedin und mein persönliches Erlebnis mit GMX zeigt: 100-prozentige Sicherheit bietet auch ein etwas klüger ausgewähltes Passwort nicht. Und was soll ich sagen, das Wissen, dass jemand in meinem Mailaccount nach Belieben schalten und walten konnte, das erzeugt ein Gefühl von Ohnmacht (oder Kontrollverlust, wie es ein nicht gänzlich unbekannten Berliner Blogger wahrscheinlich ausdrücken würde). Das gibt eine deutliche Ahnung davon, wie sich jemand fühlt, der entdeckt, dass in seine Wohnung eingebrochen wurde. Zugegeben, viel Schaden ist mir nicht entstanden, ein Anruf bei der kostenfreien Hotline beseitigte die Sperre im Postausgang zumindest vorübergehend, ich konnte das Passwort eigenhändig ändern, der Account wurde auch nicht völlig von bösen Mächten gekapert und meinem Zugriff entzogen. Aber der Warnschuss war unüberhörbar, und ein mulmiges Gefühl bleibt zurück. Viele Fragen auch: Mit meiner vorname.nachname@gmx.net Adresse bin ich sehr zurückhaltend im netzöffentlichen Raum, gelang das Entern vielleicht eher über den mit der Zweitadresse verbundenen Benutzernamen, mit dem ich häufig in Blogs kommentiere, wo ich eine E-Mailadresse angeben muss? Dann fällt mir ein, dass die Frage eigentlich müßig ist, denn bei GMX kann man sich auch mit seiner Kundennummer und dem Passwort einloggen, somit bräuchte ein Angreifer streng genommen nur Ziffernfolgen statt E-Mailadressen mit möglichen Passwörtern durchzuprobieren. Puh.
Stellt sich also die Frage „Was tun?”, die auch schon Wladimir Iljitsch Uljanow (bekannt als Lenin), umtrieb. Das bei GMX verwendete und geknackte Passwort habe ich nur dort und nirgends sonst verwendet. Aber bei unterschiedlichen Blogplattformen und Social-Media-Diensten müsste ich die eine oder andere Passwort-Doublette noch beseitigen. Ich könnte auch das tun, was ich schon seit 2005 vor mir herschiebe, nämlich den Mailhauptverkehr über meine Gmail-Adresse abzuwickeln und GMX zum Zweitwohnsitz herunterzustufen. Aber die Gewohnheit wiegt schwer. Eine fortgeschrittenere Methode wäre, die ganzen unterschiedliche Konten mit einem extra Passwortdienst wie KeePass oder LastPass zu nennen. Diese Anwendungen speichern Passwörter online und füllen Login-Formulare automatisch aus. Man muß sich also nur noch ein einziges Passwort merken, um Zugang zu allen Passwörtern und Kennungen zu erlangen. Das muss dann aber auch wirklich besonders gut gewählt sein, sonst liefert es einem Angreifer das gesamte Onlineleben aus. Und wenn ich es recht bedenke, möchte ich einem solchen Masterpasswort lieber nicht alles anvertrauen.
Bildmaterial: Screenshots von www.gmx.net
