Das Bundesamt für Sicherheit in der Informationstechnik (BSI) forderte am Montag alle Internetnutzer in Deutschland dazu auf, die Sicherheit ihrer digitalen Identitäten durch eine Passwort Bei E Mail Ändern Maßnahme zu erhöhen. Angesichts einer steigenden Zahl von Identitätsdiebstählen betonte BSI-Präsidentin Claudia Plattner in Bonn, dass der Zugang zum elektronischen Postfach das zentrale Bindeglied für fast alle anderen Online-Dienste darstelle. Aktuelle Analysen der Behörde zeigten, dass kompromittierte Zugangsdaten oft über Jahre hinweg unentdeckt in Untergrundforen gehandelt werden, bevor sie für gezielte Angriffe auf Bankkonten oder Shopping-Portale genutzt werden.
Die Warnung stützt sich auf den jüngsten Bericht zur Lage der IT-Sicherheit in Deutschland, der eine Professionalisierung der Angreifergruppen dokumentiert. Laut den Statistikern des BSI wurden allein im vergangenen Kalenderjahr mehrere Millionen Datensätze mit deutschen E-Mail-Adressen in geleakten Datenbanken identifiziert. Das Amt empfiehlt daher dringend, nicht auf einen konkreten Verdachtsfall zu warten, sondern proaktiv eine Aktualisierung der Zugangsdaten vorzunehmen.
Technologische Notwendigkeit der Passwort Bei E Mail Ändern Routine
Sicherheitsexperten des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) unterstützen die Forderung nach strengeren Sicherheitsvorkehrungen beim Zugriff auf Korrespondenzdaten. Ein Sprecher des Instituts erklärte, dass die technologische Entwicklung bei Brute-Force-Angriffen, bei denen automatisierte Skripte Millionen von Kombinationen pro Sekunde testen, herkömmliche achtstellige Kennwörter innerhalb kürzester Zeit knackbar mache. Die Durchführung einer Passwort Bei E Mail Ändern Aktion sollte daher idealerweise mit dem Umstieg auf eine Passphrase kombiniert werden, die aus mindestens 16 Zeichen besteht.
Das Hasso-Plattner-Institut (HPI) in Potsdam bietet einen Identity Leak Checker an, mit dem Nutzer prüfen können, ob ihre Daten bereits Teil eines bekannten Datenlecks sind. Direktor Christoph Meinel wies darauf hin, dass die reine Änderung der Zeichenfolge nur dann effektiv sei, wenn für jeden Dienst ein individuelles Geheimnis verwendet werde. Die Praxis, ein einziges Master-Passwort für mehrere Plattformen zu nutzen, bezeichnete die Institution als das größte Risiko für die digitale Souveränität der Bürger.
Kritik an starren Wechselintervallen durch Sicherheitsforscher
Trotz der offiziellen Empfehlungen gibt es innerhalb der IT-Sicherheitsgemeinschaft eine Debatte über die Sinnhaftigkeit erzwungener, regelmäßiger Änderungen ohne konkreten Anlass. Forscher der University of Cambridge stellten in einer Langzeitstudie fest, dass Nutzer bei vorgeschriebenen Wechseln dazu neigen, lediglich eine Zahl am Ende ihres bestehenden Wortes zu inkrementieren. Dies führe laut den Studienergebnissen nicht zu einem Sicherheitsgewinn, sondern mache das neue Kennwort für Angreifer sogar leichter vorhersehbar.
Das National Institute of Standards and Technology (NIST) aus den USA hat seine Richtlinien bereits dahingehend angepasst, dass ein Wechsel nur noch bei Anzeichen einer Kompromittierung empfohlen wird. Deutsche Datenschützer mahnen an, dass die psychologische Belastung durch zu viele komplexe Anforderungen dazu führe, dass Passwörter auf Zetteln notiert oder in ungeschützten Textdateien gespeichert würden. Die Komplexität der Anforderungen müsse daher mit der praktischen Anwendbarkeit im Alltag der Nutzer in Einklang stehen.
Die Rolle von Passwort-Managern als Lösungsansatz
Um den Konflikt zwischen Merkbarkeit und Sicherheit zu lösen, raten Verbraucherschutzverbände wie die Stiftung Warentest zum Einsatz spezialisierter Software. In einem aktuellen Testbericht betonen die Prüfer, dass diese Programme die Erstellung und Speicherung hochkomplexer Zeichenfolgen übernehmen, sodass sich der Anwender nur noch ein Hauptkennwort merken muss. Dies reduziere die Hemmschwelle für die notwendige Aktualisierung der Zugangsdaten erheblich und erhöhe das Schutzniveau für das gesamte digitale Portfolio.
Die Experten weisen jedoch darauf hin, dass auch diese Softwarelösungen Risiken bergen, falls die zentrale Datenbank des Anbieters angegriffen wird. Ein Sprecher der Verbraucherzentrale Bundesverband erklärte, dass Nutzer vorzugsweise Programme wählen sollten, die Daten lokal verschlüsselt speichern und nicht in einer Cloud hinterlegen. Die Wahl des richtigen Werkzeugs sei somit ebenso wichtig wie die Wahl der Zeichenfolge selbst.
Implementierung der Zwei-Faktor-Authentisierung als Standard
Das BSI und die European Union Agency for Cybersecurity (ENISA) sind sich einig, dass Kennwörter allein im heutigen Bedrohungsumfeld nicht mehr ausreichen. Die Einführung der Zwei-Faktor-Authentisierung (2FA) wird als die wichtigste Ergänzung zur klassischen Anmeldung angesehen. Hierbei muss der Nutzer neben seinem Passwort einen zweiten Beweis seiner Identität erbringen, etwa einen Code aus einer App oder einen physischen Sicherheitsschlüssel.
Laut einer Erhebung der Digitalagentur der Bundesregierung nutzen bisher weniger als 30 Prozent der privaten Anwender in Deutschland konsequent 2FA für ihre primären Kommunikationskonten. Technologieriesen wie Google und Microsoft haben bereits damit begonnen, die Zwei-Faktor-Authentisierung für ihre Nutzer standardmäßig zu aktivieren, um die Kontensicherheit flächendeckend zu erhöhen. Diese Maßnahme hat laut Unternehmensangaben zu einem signifikanten Rückgang erfolgreicher Phishing-Versuche geführt.
Wirtschaftliche Folgen von Identitätsdiebstahl für Unternehmen
Für die Wirtschaft stellt der Diebstahl von E-Mail-Zugangsdaten ein massives finanzielles Risiko dar. Der Branchenverband Bitkom bezifferte die Schäden durch Cyberkriminalität in der deutschen Wirtschaft auf über 200 Milliarden Euro pro Jahr. Oft dient ein privates E-Mail-Konto als Einfallstor in Unternehmensnetzwerke, wenn Mitarbeiter private und berufliche Hardware oder Passwörter mischen.
Versicherungsunternehmen verlangen mittlerweile oft den Nachweis von Sicherheitsstandards, bevor sie Policen gegen Cyberrisiken ausstellen. Die regelmäßige Schulung von Mitarbeitern und die technische Erzwingung sicherer Anmeldeverfahren sind in vielen Branchen bereits fester Bestandteil der Compliance-Vorgaben. Ein Verstoß gegen diese Sorgfaltspflichten kann im Schadensfall zum Verlust des Versicherungsschutzes führen, wie Gerichtsurteile aus den vergangenen zwei Jahren bestätigen.
Zukunft der passwortlosen Authentisierung
Langfristig arbeiten Industrieallianzen wie die FIDO Alliance daran, das herkömmliche Kennwort vollständig durch biometrische Merkmale oder kryptografische Schlüssel zu ersetzen. Apple, Google und Microsoft unterstützen bereits den sogenannten Passkey-Standard, der eine Anmeldung mittels Fingerabdruck oder Gesichtserkennung ermöglicht. Diese Technologie soll die Notwendigkeit, sich komplexe Zeichenfolgen merken zu müssen, mittelfristig eliminieren.
Das BSI begleitet diese Entwicklung und prüft derzeit die Zertifizierung entsprechender Verfahren für den Einsatz in der öffentlichen Verwaltung. Experten erwarten, dass in den kommenden fünf Jahren ein Großteil der Webdienste auf passwortlose Verfahren umstellen wird. Bis zu einer flächendeckenden Verbreitung bleibt die sorgfältige Verwaltung klassischer Zugangsdaten jedoch die wichtigste Verteidigungslinie gegen Cyberkriminalität.
In den kommenden Monaten wird beobachtet werden, wie schnell private Anbieter die neuen Passkey-Standards implementieren und ob die Akzeptanz in der Bevölkerung für biometrische Verfahren steigt. Das Bundesinnenministerium plant zudem eine Informationskampagne, um das Bewusstsein für digitale Souveränität weiter zu schärfen. Ungeklärt bleibt bisher, wie eine rechtssichere Identifikation ohne Passwörter für Nutzer ohne moderne Smartphones flächendeckend gewährleistet werden kann.
