Viele fühlen sich online sicher – doch ihre Passwörter sind es nicht

Die Menschen in Deutschland, die sich im Internet bewegen, haben großes Vertrauen in ihre Passwörter, verhalten sich im Alltag aber oft leichtsinnig. Das ist das Ergebnis einer aktuellen YouGov-Umfrage im Auftrag des eco – Verband der Internetwirtschaft zum Welt-Passwort-Tag.

Rund drei Viertel der Befragten (74 Prozent) halten ihre eigenen Online-Passwörter für eher oder sogar sehr sicher. Lediglich 19 Prozent bewerten ihren Schutz als unsicher.

Diese gefühlte Sicherheit scheint jedoch eine Fehleinschätzung zu sein. Denn trotz der steigenden Gefahr durch Cyberkriminalität setzen die Verbraucher:innen in der Mehrheit auf veraltete und unsichere Verhaltensweisen.

In der repräsentativen Umfrage unter 2.134 Befragten sagten nur 32 Prozent, dass sie das moderne Verfahren wie Passkeys verwenden, um sich biometrisch anzumelden. Und nur ein Viertel der Befragten schützt sich mit einer Zwei-Faktor-Authentifizierung.

Auch in den News:

• Mercedes: Rückruf tausender Fahrzeuge wegen Antriebsproblem

• Friedrich Merz ein Jahr im Amt: Wiederholt sich die Ampel-Saga?

• Massive Sicherheitslücke in Microsoft Edge aufgedeckt

Das reine Passwort-Verfahren ist die unsicherste Methode

Passkeys gelten als besonders sicher, weil es kein Passwort gibt, das man erraten oder ausspähen kann. Ein Passkey ist ein digitaler Schlüssel, der automatisch auf dem Gerät (etwa Smartphone oder Laptop) gespeichert wird. Statt ein Passwort einzugeben, bestätigt man seine Identität mit einem Fingerabdruck, der Gesichtserkennung (Face ID) oder einer Geräte-PIN – so wie man ein Handy entsperren kann – nur eben für Logins.

Die Freischaltung mit Face ID oder Fingerabdruck funktioniert nur auf der echten Website. Daher ist das Risiko ausgeschlossen, dass man auf einer Fake-Website sensible Daten eingibt. Mit Passkeys bekommt man auch das Problem von wiederverwendeten Passwörtern in den Griff, weil die biometrische Bestätigung das Passwort ersetzt.

Norbert Pohlmann, Vorstand für IT-Sicherheit im eco-Verband, hält es bei der wachsenden Zahl an Online-Accounts für unrealistisch, sich alle Passwörter im Kopf zu merken. Das führe unweigerlich zu gefährlichen Notizen am Schreibtisch oder zur Mehrfachnutzung von Passwörtern. Er warnt: "Das reine Passwort-Verfahren ist die unsicherste Möglichkeit der Authentifizierung."

Pohlmann geht aber davon aus, dass sich im Laufe der Zeit die modernen Authentifizierungsverfahren durchsetzen werden. Laut der YouGov-Umfrage loggen sich in der sogenannten Generation Z (18 bis 29 Jahre) bereits 41 Prozent passwortlos ein. Die Gesellschaft befindet sich laut Pohlmann in einer Übergangsphase, in der das Passwort zunehmend ergänzt oder ganz ersetzt wird.

Die Einrichtung eines Passkeys ist aber manchen Anwender:innen zu kompliziert. Daher sieht Cybersicherheitsexperte Christian Dörr vom Hasso-Plattner-Institut (HPI) in Potsdam im Passwort auch kein Auslaufmodell.

"Trotz aller Fortschritte bei biometrischen Verfahren und passwortlosen Technologien bleibt das Passwort ein zentraler Baustein digitaler Sicherheit." Cybersicherheit dürfe nicht nur für Expert:innen funktionieren. "Wenn Sicherheitsverfahren für die breite Bevölkerung zu kompliziert, zu technisch oder im Alltag zu umständlich sind, werden sie schlicht nicht konsequent genutzt", sagte der HPI-Professor der Deutschen Presse-Agentur (dpa).

Passwörter können durch Sicherheits-Extras gestärkt werden

Die gute Nachricht für Verbraucher:innen: Auch mit dem Passwort kann man seine Online-Zugänge sicher schützen, wenn man zusätzliche Sicherheitsmaßnahmen unternimmt. So empfehlen die Sicherheitsexpert:innen beim Verzicht auf Passkeys zumindest die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren.

Dabei muss nach der Passworteingabe ein zusätzlicher Code eingegeben werden, der beispielsweise per App oder SMS verschickt wird. Der große Vorteil: Selbst wenn Kriminelle ein Passwort erbeutet haben, schützt dieser zusätzliche Faktor das Konto vor unbefugtem Zugriff. Bereits 39 Prozent der Menschen in Deutschland nutzen laut eco-Umfrage diesen wirksamen Schutz.

Um der Zettelwirtschaft ein Ende zu bereiten, empfiehlt sich die Nutzung eines Passwort-Managers. Dieses Programm generiert für jeden Dienst ein sicheres Passwort und stellt diese auf unterschiedlichen Geräten verschlüsselt zur Verfügung. Nutzer:innen müssen sich damit nur ein einziges Kennwort merken. Aktuell greifen darauf erst 24 Prozent der Deutschen zurück.

Wachsam bleiben: Phishing bleibt eine echte Gefahr

Die besten Passwörter nützen nichts, wenn auf Betrüger:innen hereingefallen wird. Oft werden Zugangsdaten über täuschend echt aussehende Webseiten oder E-Mails durch sogenanntes Phishing abgefischt. Daher sollten bei jeder E-Mail verdächtige Inhalte, Absender:innen und Webadressen (URLs) sorgfältig geprüft werden. Die Eingabe von Zugangsdaten sollte ausschließlich auf vertrauenswürdigen Plattformen erfolgen.