Neulich bekam ich eine furchtbare Mail. Nein, kein nigerianischer Prinz, der mir wieder mal zehn Millionen Dollar vererbt, sondern ein Anonymus, der mich zu erpressen gedachte. In der Betreffzeile stand das Fragment eines Passwortes, das ich eine Weile ziemlich wahllos verwendet hatte.

733 Dollar, zahlbar in 48 Stunden, ansonsten bricht der Hacker sein Schweigen

Er kenne mein Passwort, prahlte der Erpresser, habe außerdem ein Spähprogramm auf meinem Rechner installiert und festgestellt, dass ich ein schlimmer Perverser sei – ein Urteil, das ich in seiner Rigorosität nicht teile. Für sein Schweigen verlangte der Erpresser 733 Dollar, innerhalb 48 Stunden zahlbar in Bitcoin. Danach würden sich das Spähprogramm zerstören.

Ich hätte mein Passwort doch mal auffrischen sollen

Was tun? Viel konnte er nicht gegen mich in der Hand haben, zumal bei Journalisten alles unter „Recherche“ fällt. Aber woher hatte der Kerl mein Passwort, wenn auch kein ganz frisches, aber in Teilen noch im Einsatz? Vielleicht hätte ich meine Passwörter doch mal auffrischen sollen. Nächste Woche dann aber wirklich.

Wie soll man sich das alles merken?

Ein menschliches Hirn kann sich nicht mehr als drei ähnliche Dinge merken. Wie soll man da drei Dutzend passwortpflichtige Zugänge mit drei Dutzend verschiedenen Passwörtern sichern? Eben. Und wer hat für alle Zugänge seit Jahren denselben leicht merkbaren Begriff, der was mit Geburtstagen, Kindern, Tieren oder Fußballvereinen zu tun hat, allenfalls mal nachgerüstet mit einem Großbuchstaben? Immerhin habe ich – Putin, nimm das! – eine „8“ ersetzt durch ein „&“, wegen optischer Ähnlichkeit.

Einfach mal das Passwort mit einem Sonderzeichen auffrischen, reicht nicht

Reicht das? Nein, sagt Deutschlands Passwort-Guru Tobias Schrödel, 48. Der IT-Comedian hat Bestseller verfasst und berät in Sicherheitsfragen. Mich zum Beispiel. Schrödel erklärt: Nahezu täglich hören wir, dass irgendwo Daten verschwunden sind, etwa bei einer mäßig gesicherten Seite wie dem Zierfischforum, wo ich häufiger mal vorbeischaue.

Das könnte Sie auch interessieren

Weil ich für diese und alle anderen Seiten bequemerweise dasselbe Passwort und auch noch den identischen Nutzernamen habe, erbeuten die Diebe automatisch den Schlüssel für all meine Zugänge.

Meine Daten werden im Darknet verscherbelt

Diese Daten werden wiederum im Darknet gehandelt, je nach Güte für Millicent oder mehrere Euro das Stück. Mit Turborechnern wird nun meine Mailadresse mit Abermillionen Passwörtern abgeglichen, bevorzugt mit Namen von Kindern, Haustieren oder Geburtsdaten, die auf Facebook zu finden sind. Vielleicht gelingt ein Zufallstreffer. Und plötzlich wird in meinem Namen im Internet eingekauft.

Wie kuriere ich nun meine Passwortschwäche?

Ganz einfach, sagt Tobias Schrödel, in vier Schritten.

  1. Das Lieblingslied: Wir nehmen die Anfangsbuchstaben unseres Lieblingslieds, sofern der Titel mehr als ein Wort umfasst. Bei „Atemlos“ lautete unser Passwort “A“, was nur mäßig kryptisch wäre. Besser wäre „Lucy In The Sky With Diamonds“ von den Beatles, was „LiTsWd“ ergibt, denn ich mixe Groß- und Kleinbuchstaben.
  2. Das Portal: folgen die drei ersten Buchstaben des jeweiligen Portals, aber in umgekehrter Reihenfolge, also „abE“ für Ebay oder „naB“ für Bank.
  3. Das aktuelle Jahr: wird das Jahr angehängt, für das das Passwort gilt, weil wir es jährlich wechseln.
  4. Das Lieblingssonderzeichen: Die Elemente werden getrennt durch unser Lieblingssonderzeichen. „LiTsWd?amA?2019“ könnte mein ebenso einfaches wie kaum hackbares Passwort für Amazon lauten.

Könnte, Denn ich habe immer noch das alte. Sicherheitshalber. Aber ich werde es bald ändern. Ehrlich.

Begleiten Sie Hajo Schumacher auf seiner Expedition in die digitale Gegenwart und Zukunft auf www.netzentdecker.de