Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Bundesbehörde, die für IT-Sicherheitsfragen zuständig ist. Seit vielen Jahren gibt das BSI Sicherheitshinweise für Behörden sowie für die Bürger der Bundesrepublik heraus. Bislang empfahl die Behörde einen jährlichen Passwortwechsel, doch diese Empfehlung wurde nun überarbeitet. Aktuell wird sogar von einem Passwortwechsel abgeraten. Stattdessen rät das BSI allen Nutzern, neben den einmal festgelegten, starken Passwörtern die Zwei-Faktor-Authentifizierung zu aktivieren oder vollständig auf Passkeys umzusteigen. Diese würden eine einfache und sichere Alternative zu herkömmlichen Passwörtern bieten. Die Anmeldung, beispielsweise bei einem Google-Konto, kann über biometrische Merkmale wie Fingerabdruck oder Gesichtserkennung oder durch einen zuvor festgelegten PIN erfolgen.
Leser unseres Blogs sowie diejenigen, die sich unabhängig von den hier vertretenen Meinungen eigene Gedanken machen, könnten die aktuelle Empfehlung des BSI als unpraktisch empfinden. Das liegt nicht unbedingt daran, dass das BSI unrecht hat, sondern vielmehr daran, dass ihre Ratschläge nicht für alle umsetzbar sind.
In unserem Passwort-Leitfaden empfehlen wir ebenfalls die Nutzung von Zwei-Faktor-Authentifizierung, jedoch sollte man sich der Tatsache bewusst sein, dass man in einem repressiven System lebt. Der kleinste Fehltritt, selbst ein unbedachter „Like“ oder ein „Gefällt mir“ in sozialen Netzwerken, kann zu einer Hausdurchsuchung führen. Und was wird bei einer solchen Durchsuchung in der Regel beschlagnahmt? Richtig – elektronische Geräte wie Mobiltelefone und Computer sowie alles, was nach Datenträgern aussieht. Die Zwei-Faktor-Authentifizierung (2FA) erfolgt in der Regel über SMS, verschiedene Apps oder einem externen Gerät eigens für die 2FA. In den meisten Fällen ist also ein Mobiltelefon oder ein externes Hilfsmittel, wie ein Hardware-Token, beispielsweise ein ReinerSCT oder ein Yubikey, erforderlich. Diese Geräte stehen bei einer Hausdurchsuchung ganz oben auf der Liste der beschlagnahmbaren Gegenstände, und wenn sie einmal weg sind, wird schnell klar, welche Schwierigkeiten daraus entstehen können. Natürlich besteht die Möglichkeit, diese Hardware-Token im Doppelpack zu kaufen, sie für die jeweiligen Netzseiten und Dienste zu konfigurieren und einen als Backup sicher außerhalb der eigenen Wohnung aufzubewahren. Dennoch werden viele wahrscheinlich die Kosten für diese Geräte scheuen. Wenn nicht wenige Aktivisten bereits bei den wenigen Euro für Threema zögern, was ich häufig selbst beobachtet habe, ist es wenig sinnvoll, für einen oder zwei YubiKeys zu werben, deren Preis im dreistelligen Bereich liegt.
Zusätzliche Hinweise des BSI, wie die Anmeldung über biometrische Authentifizierung, stellen für politische Aktivisten ebenfalls ein praktisches Problem dar. Unser Blogbeitrag „Erzwungener Fingerabdruck zur Entsperrung des Mobiltelefons“ verdeutlicht, wie unsicher diese Entsperrmethode ist und wie leicht sie von der Polizei gegen einen verwendet werden kann.
Das BSI weist zudem darauf hin, dass ständige und grundlose Passwortwechsel dazu führen, dass Nutzer zunehmend schwächere Passwörter wählen. Dem können wir nicht widersprechen, da es in der menschlichen Natur liegt, sich das Leben nicht unnötig kompliziert zu machen. Dennoch sollten wir als politische Akteure immer wieder ins Gedächtnis rufen, wer an unseren Daten interessiert sein könnte und welche Probleme daraus entstehen können. Zu schwache Passwörter können nicht nur einem einzelnen Aktivisten schaden; die Informationen hinter einem schwachen Passwort könnten auch viele Freunde und Mitstreiter in ernsthafte Schwierigkeiten bringen. Daher ist es wichtig, dass sich jeder von uns intensiv mit seinen Passwörtern auseinandersetzt, wobei dies in der Regel mit verschiedenen anderen Überlegungen verbunden sein sollte.
Ein Beispiel: Stell dir vor, du verwendest, wie von uns empfohlen, einen Passwort-Manager, um all deine Zugangsdaten für verschiedene Konten zu speichern. Mit diesem Passwort-Manager hast du den Vorteil, dir lediglich ein sicheres Hauptpasswort merken zu müssen. Für alle anderen Anmeldungen oder Dienste, die du nutzt, kannst du dir über den Passwort-Manager sichere Passwörter erstellen lassen, die du dir nicht einprägen musst. Allerdings ist dieser Passwort-Manager auf deinem Computer oder Mobiltelefon gespeichert, was bedeutet, dass auch er nach einer Hausdurchsuchung verloren geht. Daher ist es wichtig, sich auf solche Situationen vorzubereiten und über Datensicherungen nachzudenken. Bei der Datensicherung sollte auch immer die Verschlüsselung in Betracht gezogen werden.
Im Gegensatz zur Zwei-Faktor-Authentifizierung kann ein Passwort-Manager problemlos kopiert werden. Das bedeutet für dich, dass du, wie in unserem Leitfaden beschrieben, die portable Version des Passwort-Managers nutzen solltest. Das Programm wird in einem einzigen Ordner installiert und diesen Ordner kannst du einfach auf einen anderen Computer übertragen, wo der Passwort-Manager dann wie gewohnt funktioniert. Um den Ordner, der den installierten Passwort-Manager enthält, jedoch sicher transportieren zu können, empfehlen wir, ihn verschlüsselt in einen VeraCrypt-Datentresor (Container) zu packen und auf einem USB-Stick zu speichern. Diesen USB-Stick solltest du an einem Ort aufbewahren, der bei einer Hausdurchsuchung sicher vor den Behörden ist.
Wir raten weiterhin zu einem jährlichen Passwortwechsel. Regelmäßige Änderungen reduzieren das Risiko, dass ein Passwort über längere Zeiträume hinweg gefährdet ist. Dies ist besonders relevant, da bei Datenpannen, bei denen Passwörter entwendet werden, ein jährlicher Wechsel die Dauer verkürzt, in der ein potenzieller Angreifer Zugriff auf ein Konto erlangen kann. Zudem trägt ein festgelegter Wechselzeitraum dazu bei, das Bewusstsein für Cybersicherheit zu schärfen und die Nutzer daran zu erinnern, ihre Sicherheitspraktiken regelmäßig zu überprüfen.
Mit dem von uns empfohlenen Passwort-Manager kannst du den Passwortwechsel ganz einfach durchführen. Du nimmst deinen USB-Stick aus dem “Versteck”, aktualisierst alle Zugangsdaten und speicherst die Informationen anschließend auf dem sicheren USB-Stick. Diesen kannst du dann für ein weiteres Jahr an einem geschützten Ort außerhalb deiner Wohnung, deines Hauses oder deines Grundstücks aufbewahren. So gewährleistest du, dass deine sensiblen Informationen geschützt sind und im Falle einer Hausdurchsuchung weder in die falschen Hände gelangen noch der Zugriff auf deine Zugangsdaten verloren geht.
Diese Anmerkung stammt aus der Telegram Diskussionsgruppe:
“KEINE Passwortänderungen bzw. nur in sehr großen Intervallen ist schon länger ein Thema in der IT Security Community, es geht im Kern darum das wenn die Passwortwechsel zu “häufig” sind der Nutzer sein Passwort auf einen Zettel schreibt und den entweder auf dem Schreibtisch unter die Schreibunterlage legt oder einfach ein Post-It mit dem Passwort an den Monitor hängt. Sicherheit ade. Daher ist das Argument den Passwortwechsel lang zu machen um dem Nutzer die Möglichkeit zu geben sich sein Passwort zu merken und es eben nicht auf einen Zettel zu schreiben.
2 Faktor Authentifizierung ist prinzipiell zwar “sicher” aber letztendlich vertraut man hier auch darauf das die generierten 2. Faktor Kennwörter nicht vorhersagbar sind. Das dies eben nicht immer so ist zeigen die in der Vergangenheit publik gewordenen NSA & Co initiierten Manipulationen an den zu Grunde liegenden Berechnungen für den Schlüssel (gilt auch bei Zertifikaten, 2FA, …) oder gleich an der Hardware/Betriebssystem die das ganze vorhersagbar gemacht haben. auch der neue Vorstoß von Großbritanien um Zugang zur iCloud zu bekommen macht das alles nicht besser. Egal wie gut die Vordertüre gesichert ist, wenn man hinten das Fenster auf lässt kann man sich die Mühe sparen. Speziell bei 2FA find ich extrem hinderlich das man das eben nur mit EINEM Zweiterzeuger nutzen kann (macht aber auch Sinn …), so muss man den Schlüsselgenerator immer bei sich haben. Ein Passwort hat man bestenfalls im Kopf und fertig.
Man wird immer Argumente für alles finden und das einzige was sicher ist, das ist die Tatsache das man die Hürde mit beliebig viel Aufwand zwar entsprechend hoch legen kann aber irgendwann wird diese Hürde genommen werden. Es ist definitiv nur eine Frage der Zeit.”