Passwörter sind seit Jahrhunderten im Gebrauch, um Werte zu schützen. Umso paradoxer erscheint der Umgang mit ihnen in Zeiten der Digitalisierung.
Heutzutage sind Passwörter die gebräuchlichste Form, um sensible Unternehmensdaten und Konten abzusichern. Dabei reicht das Konzept von Passwörtern und Parolen weit zurück. Laut Legende hat sich schon Ali Baba mit der Phrase „Sesam, öffne dich“ Zutritt zu der Höhle der 40 Räuber verschafft. Auch im alten Rom, in den Romanen über Harry Potter, bei der Armee sowie in Märchen und Kinofilmen werden Zauberwörter und -formeln genutzt, um Zugang zu gewähren oder zu verweigern.
Im Gegensatz zur Antike oder zum Mittelalter besitzen heute nicht nur Kaiser und Könige Schätze. In der digitalen Welt existieren viele Schatzkammern, die gut abgesichert werden müssen. Die Zauberwörter der Moderne lauten dann häufig „12345“, „hallo“, „passwort“ oder „f3gh4mnl7op!1e“. Nutzer stehen in einem Zwiespalt zwischen Sicherheit und komfortabler Bedienung ihrer Systeme. Das grundlegende Problem ist, dass einfache Passwörter leider auch einfach zu erraten sind. Selbst komplexere Passwörter, die dann an mehreren Stellen verwendet werden, sind keine gute Lösung. Sie laden die 40 Räuber der Neuzeit geradezu ein, in fremden Schatzkammern zu wühlen.
Zeiten ändern sich – Angriffsmethoden manchmal nicht
Räuber passen ihre Methoden auch immer den aktuellen Gegebenheiten an. So sind manche Vorgehensweise damals wie heute ähnlich. Vor hunderten von Jahren versuchten sich die Angreifer hauptsächlich im Erraten von Passwörtern. Das entspricht im Grunde den heutigen Brute-Force-Angriffen. Auch auf die persönlichen Schwächen der Opfer zu zielen, also Social-Engineering zu betreiben, hat damals wie heute Methode. In den 80er Jahren des vergangenen Jahrhunderts gab es die ersten Hacker-Angriffe. Zu dieser Zeit war noch nicht absehbar, dass sich Cybersicherheit und Cyberkriminalität zu milliardenschweren Geschäftsfeldern entwickeln werden. Im Hinblick auf die global ansteigende Zahl von Cyberattacken wird sich diese Tendenz auch weiter verstärken.
Das Paradox des Problembewusstseins
Das amerikanische Unternehmen LogMeIn hat vor kurzem wieder einmal die „Psychologie der Passwörter“ im Rahmen einer weltweiten Studie untersucht. Das Hauptergebnis offenbart ein bereits bekanntes Paradoxon: Menschen schützen sich nicht vor IT-Sicherheitsrisiken, obwohl sie wissen, dass sie es tun sollten. Von Jahr zu Jahr steigt das Problembewusstsein für Hackerangriffe und Datenschutzverletzungen. Das ist sehr positiv. Doch leider bleibt das Verhalten der Anwender in Bezug auf die Passwortnutzung weitgehend unverändert. Neun von zehn Befragten wissen zwar, dass die Nutzung desselben Passworts für mehrere Konten ein Sicherheitsrisiko darstellt. Trotzdem wird genau dieses Standardpasswort von zwei Drittel der Befragten genauso mehrfach eingesetzt.
Nichts als Widersprüche
Die Studie hält viele weitere Widersprüche zwischen Reden und Handeln parat. So sagen drei Viertel aus, dass sie über standesgemäße Passwörterpraktiken Bescheid wissen. Gleichzeitig versucht jedoch mehr als die Hälfte von ihnen sich Passwörter zu merken. Zudem schreibt sie über ein Viertel sogar auf. Darüber hinaus sind 80 Prozent der Studienteilnehmer in Sorge, dass ihre Passwörter kompromittiert werden könnten. Auf der anderen Seite ändert fast jeder zweite sein Passwort nie, wenn es nicht beispielsweise vom Arbeitgeber verlangt wird.
Angst ist ein schlechter Ratgeber
Warum jedoch wird das gleiche Passwort für mehrere Konten verwendet? Hier regiert vor allem die Angst, Login-Daten zu vergessen. Dies bestätigen 60 Prozent der Befragten. Auf dem Fuß folgt der Wunsch, alle Passwörter zu kennen und kontrollieren zu können. Und das ist wirklich paradox: Die Anwender wollen einerseits einen Überblick über ihre Passwörter behalten können. Andererseits entziehen sich die Konten im Hinblick auf die Sicherheit ihrer Kontrolle. Und das alles nur, weil sie wiederholt dasselbe Passwort nutzen.