Vielleicht sind Sie rein zufällig in der vergangenen Woche auch über diese oder eine ähnliche Schlagzeile gestolpert:

„Ganz schön einfach! Mit diesem Passwort schützt Pistorius sein Abhör-Statement“

Hintergrund ist die Abhöraffäre bei der Bundeswehr. Durch das Verteidigungsministerium wurde eine Pressemitteilung veröffentlicht, die über eine NextCloud heruntergeladen werden kann. NextCloud ist eine Software zum Speicher und Teilen von Daten auf dem eigenen Server, wodurch man die Hoheit über seine Daten behält. Die Veröffentlichung erfolgt durch Bekanntgabe des Download-Links und des Download-Passworts.

Am 4.3.2024 sah dies so aus:

Daraufhin wurde die Wahl des Passwortes „1234“ von vielen Stellen moniert, verbunden mit der Hoffnung, dass im Übrigen derartige Passwörter nicht im Verteidigungsministerium genutzt werden.

Die Wahl des Passwortes war definitiv keine gute. Allerdings muss berücksichtigt werden, dass die Datei als Pressemitteilung keinen besonders hohen Schutz genießt und für jeden abrufbar sein soll. Darüber hinaus hängt die Wahl des Passwortes auch mit der Nutzung von Nextcloud zusammen. Das Programm verlangt standardisiert in der Grundeinstellung die Vergabe eines Passwortes, wenn Dateien zum Download bereitgestellt werden.

Zwischenzeitlich wurde das Passwort von Seiten des Verteidigungsministeriums geändert, worüber allerdings nicht mehr berichtet wurde:

Screen einer Pressemitteilung des Verteidigungsministeriums

Vorwerfbar an der ganzen Geschichte ist allenfalls, dass ein falscher Eindruck von der erforderlichen Komplexität von Passwörtern vermittelt wird. Frei nach dem Motto: Wenn das Verteidigungsministerium ein nummerisches vierstelliges Passwort nutzt, dann wird das sicher sein und ich kann auch ein solches verwenden.

Passwortparameter

Je kürzer und weniger komplex Passwörter sind, umso leichter können diese erraten werden. Der Schutz, der durch das Passwort eigentlich erreicht werden wollte, ist damit Makulatur.

Gute Passwörter sollten mindestens 8 bis 12 Zeichen lang sein und aus den 4 Zeichenarten (Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen) bestehen. Eine sehr gute Übersicht hält das Bundesamt für Sicherheit in der Informationstechnik bereit.

Um sich solche komplexen Passwörter zu merken, bietet sich beispielsweise die Akronym-Methode an. Bei dieser wird ein längerer Satz, in dem auch Ziffern und Sonderzeichen vorkommen, gewählt. Aus den Anfangsbuchstaben der Wörter, Ziffern und Sonderzeichen ergibt sich dann das Passwort. Der entscheidende Vorteil: Man muss sich lediglich den Satz merken – das ist einfacher als das entsprechende Passwort: Der Satz „Ich muss mir schon wieder ein Passwort mit 8 Zeichen merken!“ ergibt z. B. das Passwort „ImmswePm8Zm!“

Wer für den Versand von Passwort geschützten Dokumenten „mal eben“ ein Passwort benötigt, wird schnell im Internet fündig. Verschiedene Universitäten bieten auf Ihren Seiten die Möglichkeit, Passwörter mit individuellen Kriterien zu generieren, beispielsweise die Uni Münster:

Screen eines Angebots der Uni Münster zum generieren von Passwörtern

 

Wenn dann die passwortgeschützte Datei per Mail versendet werden, ist es jedoch ganz wichtig, dass das Passwort auf einem anderen Kommunikationsweg (bspw. Telefon) mitgeteilt wird, um es potentiellen Angreifern nicht zu einfach machen.