Kriminelle Funde ausgewertet
Redaktion: Rheinische Friedrich-Wilhelms-Universität Bonn
PRESSEMITTEILUNG
Bonn/gc. Das beliebteste Passwort in Deutschland ist die Ziffernfolge „123456“, auf Platz 2 folgt das englische „password“. Zu diesem Ergebnis kommt eine aktuelle Auswertung des Bonner Startups Identeco. Das Unternehmen hat dazu mehrere Millionen Zugangsdaten analysiert, die im Jahr 2024 neu in illegalen Online-Börsen aufgetaucht sind.
Kriminelle erwerben diese Informationen, um damit Accounts von Userinnen oder Usern zu übernehmen. Identeco ist aus einem Forschungsprojekt zur Cybersicherheit an der Universität Bonn hervorgegangen. Das Startup hilft Unternehmen unter anderem beim Aufspüren möglicher Datenlecks.
Viele Menschen in Deutschland verhalten sich im Internet offenbar immer noch erstaunlich unvorsichtig. Darauf deuten zumindest die Datensätze mit gestohlenen Passwörtern hin, die das Startup Identeco ausgewertet hat. Demnach nutzen Userinnen und User nicht nur für ihre privaten Accounts häufig sehr unsichere und leicht zu knackende Passwörter. Im Arbeitsalltag sind viele offenbar ähnlich leichtsinnig.
„Wir verfügen über eine riesige Datenbank von kriminell erbeuteten Zugangsdaten“, erklärt Identeco-Mitarbeiter Dr. Frank Zickenheiner. „Diese ergänzen wir ständig um neue gestohlene Informationen.“ Über 50 Milliarden Datensätze hat das Startup inzwischen gesammelt. Davon stammen mehr als 4 Milliarden aus diesem Jahr - es handelt sich also um Einträge, die zuvor noch nicht in den einschlägigen Online-Börsen gehandelt wurden. „Alle diese Daten werden aktuell im Internet gehandelt“, sagt Zickenheiner. „Wir gehen also davon aus, dass es sich zumindest zu einem großen Teil um Email-Passwort-Kombinationen handelt, die tatsächlich noch genutzt werden.“
30 Millionen Mail-Passwort-Kombinationen ausgewertet
Identeco hat nun knapp 30 Millionen dieser 2024 aufgetauchten Datensätze ausgewertet. „Wir haben uns dabei auf drei verschiedene Arten von Einträgen konzentriert“, sagt Zickenheiner. „Solche, von denen wir glauben, dass sie im privaten Kontext genutzt werden. Solche, die man Mitarbeiterinnen und Mitarbeitern von DAX-Unternehmen zuordnen kann. Und solche, die zu Einrichtungen des Öffentlichen Dienstes gehören.“
Als Indikator galt dabei die E-Mail-Adresse, der das jeweilige Passwort in den gestohlenen Daten zugeordnet war. So deuten Adressen, die auf gmx.de, web.de oder posteo.de enden, auf eine Nutzung für private Zwecke hin - anders als etwa uni-bonn.de-Adressen. „Unabhängig vom Kontext landeten Ziffernfolgen wie 123456 stets unter den beliebtesten Passwörtern“, sagt Zickenheiner. „Beschäftigte von Unternehmen oder Behörden nutzten zudem oft den Namen ihres Arbeitgebers als Passwort, meist ergänzt um einige zusätzliche Zeichen.“ Einige Passwörter haben es zwar nicht in die TOP 20 geschafft, kommen aber dennoch auffällig oft vor. So findet man häufig Hinweise auf persönliche Vorlieben wie Filmnamen („starwars“) oder Fußballvereine („schalke04“).
Vier einfache Regeln für mehr Sicherheit
Passwörter wie diese sind schon durch bloßes Ausprobieren leicht zu knacken. Identeco empfiehlt Benutzerinnen und Benutzern mit solchen Kombination daher, diese so schnell wie möglich zu ändern. Zudem solle man unbedingt folgende vier Regeln beherzigen:
1.
Man sollte jedes Passwort möglichst nur für einen bestimmten Dienst verwenden - also etwa eins fürs Banking, ein anderes für das Mail-Postfach und ein drittes für das Amazon-Konto.
2.
Man sollte einen Passwortmanager nutzen, um die genutzten Passwörter verschlüsselt zu speichern und sich komplexe Passwörter automatisiert vorschlagen zu lassen. Man muss sich dann einzig und allein das Masterpasswort des Managers merken, um die gespeicherten Passwörter einzusehen.
3.
Man sollte möglichst lange und komplexe Passwörter verwenden, die Sonderzeichen, Groß- und Kleinbuchstaben und Zahlen beinhalten.
4.
Wo möglich, sollte man eine sogenannte Multi-Faktor-Authorisierung nutzen. Es gibt zum Beispiel Apps, mit denen man sich auf dem Smartphone eine temporäre PIN generieren lassen kann, die man beim Einloggen in ein Online-Konto zusätzlich zum Passwort angeben muss.
Das Startup Identeco ist als Ausgründung aus einem Forschungsprojekt der Universität Bonn zur Cybersicherheit hervorgegangen. Dabei wurde es vom Transfer Center enaCom der Universität begleitet und unterstützt. EnaCom bietet umfangreiche Gründungsservices für Start-ups aus der Forschung an - insbesondere aus dem KI- oder DeepTech-Bereich. Inzwischen zählt Identeco einige der Big Player unter den Online-Plattformen zu seinen Kunden.
„Wir bieten unseren Kunden zum Beispiel die Möglichkeit, Mailadressen ihrer Nutzerinnen und Nutzer mit unserer Datenbank abzugleichen“, sagt Dr. Matthias Wübbeling, Akademischer Oberrat am Institut für Informatik 4 und Geschäftsführer von Identeco. „Wenn die Software dabei auf eine Kombination von Mailadresse und Passwort stößt, die bereits im Darknet gehandelt wurde, wird die betroffene Person informiert. Sie muss dann natürlich ihr Passwort ändern.“
Inzwischen nutzen verschiedene Unternehmen diese Technologie auch für die Überprüfung von Neukunden: Wenn diese bei der ersten Anmeldung ein erbeutetes Passwort eingeben, wird der Vorgang unterbrochen, die Userin beziehungsweise der User entsprechend informiert und dazu aufgefordert, eine andere Zeichenfolge zu wählen. Wer wissen möchte, ob er oder sie schon einmal von einem Datenleck betroffen war, kann das übrigens über den kostenlosen Leakchecker an der Uni Bonn tun: https://leakchecker.uni-bonn.de.
Wissenschaftliche Ansprechpartner:
Dr. Frank Zickenheiner
Identeco
Tel. +49 (0) 228 504 437 82
presse@identeco.de
Originalpublikation:
Rene Neff, Dr. Matthias Wuebbeling & Dr. Frank Zickenheiner: Passwortsicherheit 2024 - Die Passwörter der Deutschen, Whitepaper, identeco in Zusammenarbeit mit der Universität Bonn, https://identeco.de/de/blog/whitepaper_passwords_germany_2024
______________________________________