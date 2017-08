Mitarbeiter in Unternehmen werden regelmäßig im Drei-Monats-Abstand aufgefordert, nach einem neuen Passwort zu suchen. Das führt zu Sicherheitsrisiken und Verdruss.

Washington. Beliebtestes Passwort der Deutschen ist "123456". Leicht zu merken, aber auch leicht zu knacken für Cyberkriminelle. Mitverursacht hat diese ungute Entwicklung vor 15 Jahren ein amerikanischer IT-Experte namens Bill Burr. Er blickt zurück und entschuldigt sich.

Von Dierk Himstedt, 24.08.2017

Bill Burr ist heute 72 und mittlerweile im Ruhestand. Er hat der Welt etwas hinterlassen, dass jeder Angestellte einer Behörde oder Firma alle drei Monate beschäftigt, um nicht zu sagen ziemlich auf die Nerven geht. Denn er ist der Mann, der entscheidend daran beteiligt war, dass alle 90 Tage die Mitarbeiter automatisch aufgefordert werden, ihre Passwörter zu wechseln.

"Ich bedauere sehr, was ich den Computernutzern eingebrockt habe. Ich hätte das seinerzeit besser machen können - und einige Erkenntnisse, die wir jetzt haben, auch schon damals herausfinden können", sagte Burr im amerikanischen Sender CBS. Zum Hintergrund: Als IT-Experte bei der staatlichen US-Technologiebehörde NIST gab Bill Burr vor 15 Jahren die Empfehlung aus, die Passwörter im regelmäßigen zeitlichen Abständen zu ändern. Diese Regelung wurde zunächst in den USA in dortigen Behörden und Unternehmen eingeführt - und im Laufe der folgende Jahre dann auch von IT-Abteilungen überall auf der Welt übernommen.

Keine Lust auf Passwörter wie "XL-3!?gp"

Grundlage für Burrs Empfehlungen war ein internes Papier des NIST (National Institute of Standards and Technology) aus den 80er Jahren. Daraus entwickelte er sein achtseitiges Dokument mit dem Titel "NIST Special Publication 800-63. Appendix A", dass seit diesem Sommer in einer überarbeiteten neuen Fassung erschienen ist. Ein zweiter darin enthaltener Rat Burrs wurde schließlich mit der Zeit immer mehr zum Problem. Dieser lautete: "unterschiedliche Zeichen zu nutzen, bestehend aus möglichst komplizierten Kombinationen mit Buchstaben, Zahlen und Sonderzeichen.

Passwort "XL-3!?gp" - Sich solche oder ähnliche Kombinationen alle 90 Tage auszudenken und vor allem auch zu behalten, bereitet vielen Nutzern aber auf Dauer "Buchstaben-Zahlen-und-Sonderzeichen-Kopfschmerzen". Die Folge: In vielen Fällen streiken und ignorieren die User Burrs zweite Empfehlung und verwenden regelmäßig nur noch einfache, leicht zu merkende Passwörter. Hier die beliebtesten der Deutschen: "123456", "Passwort", "Hallo123", "schalke04". Unter den Top 10 ist auch Deftiges wie "arschloch", aber auch Liebevolles wie "schatz" - beide, wie alle anderen genannten auch, sind selbstredend leicht zu knacken.

Sicherer mit "Alle Vögel sind schon da"

Bill Burrs Nachfolger bei der US-Technologiebehörde, Paul Grassi, bestätigt diese Erkenntnis im Wall Street Journal. Nach 15 Jahren Erfahrung mit geknackten Passwörtern kommt er zu einem ernüchternden Fazit: "Unsere bisherigen Empfehlungen führten zu Passwörtern, die für böswillige Hacker einfach waren, aber kompliziert für die Nutzer." Auch das häufige Wechseln von Passwörtern habe den Unternehmen und Nutzern mehr Aufwand und Ärger gebracht, aber keinen größeren Schutz vor Cyberkriminellen, meint Grassi. Denn achtstellige Passwörter mit Sonderzeichen sind leichter zu knacken als eine längere und zudem leicht zu merkende Liedzeile wie: "Alle Vögel sind schon da."

Auch Burrs Vorgabe, nicht nur kleine und große Buchstaben, sondern auch eine Nummer und ein Sonderzeichen in Passwörtern zu verwenden, brachte ebenfalls oft nicht den gewünschten Effekt. Nutzer variierten einfach nur einen Begriff, machten etwa aus "Passwort" einfach "Pa$$w0rt1!!", was Algorithmen aber leicht erraten können.

Heute sagt Burr, dass sein Problem 2003 der Zeitdruck war, unter dem er stand. Zum anderen hätte damals auch niemand genau gewusst, wie man Passwörter wirklich sicherer macht. Dem US-Magazin "Wall Street Journal" sagte er, dass seine Nachfolger bei der Überarbeitung unter anderem Abermillionen von Passwörtern auswerten konnten, die Hacker in den vergangenen Jahren nach Angriffen auf beliebte Webseiten geknackt und ins Netz gestellt hatten. So hätten sie viel darüber lernen können, wie Nutzer ihre Kennwörter auswählen und wie leicht sie für Hacker mit gängigen digitalen Werkzeugen zu knacken sind. Selbstkritisch sagte er abschließend: "Vieles von dem, was ich getan habe, bereue ich."