Pass­wör­ter sind der Schlüssel zu deiner digitalen Identität. Ein sicheres Passwort ist deine erste Ver­tei­di­gungs­li­nie gegen Cy­ber­kri­mi­na­li­tät. Dennoch zeigen Sta­tis­ti­ken, dass viele Nutzer:innen unsichere Pass­wör­ter verwenden oder Si­cher­heits­lü­cken in ihren digitalen Ge­wohn­hei­ten übersehen.

Welche Vor­aus­set­zun­gen für Pass­wort­si­cher­heit musst du beachten?

Viele setzen bei ihren Pass­wör­tern noch immer auf schwache oder leicht zu erratende Kom­bi­na­tio­nen. Um ein hohes Maß an Si­cher­heit zu ge­währ­leis­ten, solltest du ver­schie­de­ne Faktoren be­rück­sich­ti­gen. Die Wahl eines starken Passworts sowie die Nutzung ge­eig­ne­ter Passwort-Manager gehören zu den Grund­vor­aus­set­zun­gen für deinen Schutz.

Was macht ein sicheres Passwort aus?

Obwohl ein Passwort allein keinen absoluten Schutz bietet, ist die Er­stel­lung eines sicheren Passworts es­sen­zi­ell, um deine Accounts ab­zu­si­chern. Anhand folgender Kriterien kannst du prüfen, ob dein gewähltes Passwort stabil ist:

  • Länge: Die Länge ist ent­schei­dend. Je länger, desto schwie­ri­ger ist es zu knacken. Ein gutes Passwort sollte min­des­tens 12 bis 16 Zeichen haben.

  • Kom­ple­xi­tät: Nutze Groß- und Klein­buch­sta­ben, Zahlen sowie Son­der­zei­chen wie @, # oder $. Diese Mischung erschwert au­to­ma­ti­sier­ten Tools das Erraten.

  • Keine Logik: Vermeide einfache Muster oder bekannte Begriffe. Cy­ber­kri­mi­nel­le nutzen oft Wör­ter­buch­an­grif­fe, um gängige Kom­bi­na­tio­nen zu testen.

  • Ein­zig­ar­tig­keit: Verwende niemals dasselbe Passwort für ver­schie­de­ne Dienste. Setze für jede Plattform auf ein in­di­vi­du­el­les Kennwort.

  • Re­gel­mä­ßi­ge Updates: Bei kri­ti­schen Diensten ist es klug, Pass­wör­ter re­gel­mä­ßig zu erneuern. So ver­rin­gerst du das Risiko durch un­be­merk­te Da­ten­lecks.

Wahl eines passenden Passwort-Managers

Passwort-Manager sind ideale Helfer, um komplexe Kenn­wör­ter zu ge­ne­rie­ren und sicher zu verwahren. Achte bei der Wahl auf Ende-zu-Ende-Ver­schlüs­se­lung und nützliche Zu­satz­funk­tio­nen wie Warnungen bei Da­ten­lecks. Auch laufende Software-Updates sind ein Zeichen für ein ver­trau­ens­wür­di­ges Tool.

Große Passwort-Leaks der ver­gan­ge­nen Jahre

Täglich vertrauen wir große Mengen sensibler Daten Un­ter­neh­men an. Dabei sind Pass­wör­ter oft der einzige Schutz – ein Schutz, der häufig un­ter­schätzt wird. Die zahl­rei­chen Da­ten­lecks der jüngeren Ge­schich­te belegen das. Immer wieder gelangen Cy­ber­kri­mi­nel­le durch Malware, Phishing-Mails oder Brute-Force-Attacken an ver­trau­li­che In­for­ma­tio­nen. Hier sind einige der be­kann­tes­ten Vorfälle:

  • LinkedIn (2012, 2016): Bereits 2012 wurden über 6,5 Millionen Pass­wör­ter gestohlen. 2016 tauchten dann weitere 117 Millionen Login-Daten im Darknet auf.
  • Yahoo (2013, 2014): Einer der größten Vorfälle betraf Yahoo, wobei drei Mil­li­ar­den Konten inklusive Si­cher­heits­fra­gen kom­pro­mit­tiert wurden.
  • Adobe (2013): Über 150 Millionen Konten waren betroffen. Das Problem: Viele Pass­wör­ter waren nur schwach ver­schlüs­selt.
  • Facebook (2019): Hier wurden Millionen Pass­wör­ter im Klartext auf internen Servern ge­spei­chert. Auch wenn die Daten intern blieben, zeigt es die Risiken auf Un­ter­neh­mens­sei­te.
  • Coll­ec­tion #1-#5 (2019): Bei diesem Megaleak wurden über zwei Mil­li­ar­den E-Mail-Adressen samt Pass­wör­tern aus diversen Quellen ver­öf­fent­licht.
  • Twitter (2022): Durch einen Soft­ware­feh­ler wurden per­sön­li­che Daten von über 5,4 Millionen Konten öf­fent­lich zu­gäng­lich.
  • RockYou (2024): RockYou2024 gilt mit über 9,9 Mil­li­ar­den Pass­wör­tern als eine der um­fang­reichs­ten Samm­lun­gen, die je geleakt wurden.

Diese Er­eig­nis­se zeigen, wie wichtig Cy­ber­si­cher­heit heute ist. Er­staun­lich ist jedoch das Ergebnis einer Umfrage zum Tag der Pass­wort­si­cher­heit: Nur etwa jede:r zweite Internet-Nutzer:in (53 %) nimmt Da­ten­lecks zum Anlass, das eigene Verhalten zu ändern – und nur ein Viertel passt daraufhin Pass­wör­ter an.

Bild: Grafik: Passwortgewohnheiten der Nutzer:innen
In­fo­gra­fik zum Thema Pass­wort­si­cher­heit.

So prüfst du deine Pass­wort­si­cher­heit

Die re­gel­mä­ßi­ge Kontrolle deiner Pass­wör­ter schützt deine Konten vor un­be­fug­ten Zugriffen. Es gibt einfache Methoden und Tools, um zu sehen, ob deine Daten bereits in einem Leak auf­ge­taucht sind oder ob deine Kenn­wör­ter den aktuellen Standards ent­spre­chen.

Online-Checks für Da­ten­lecks

  • Have I Been Pwned (HIBP): Auf der Plattform Have I Been Pwned erfährst du sofort, ob deine E-Mail-Adresse oder dein Passwort in einem bekannten Leak vorkommen. Die Abfrage erfolgt an­ony­mi­siert durch moderne Ver­schlüs­se­lung.
  • Google Si­cher­heits­check: Im Chrome-Browser ist eine Pass­wort­prü­fung in­te­griert, die dich warnt, wenn ge­spei­cher­te Daten unsicher sind. Dein Google-Konto bietet zudem eine Übersicht über schwache oder mehrfach genutzte Pass­wör­ter.
  • Tools in Passwort-Managern: Viele moderne Manager scannen deine Einträge au­to­ma­tisch auf Schwach­stel­len oder bekannte Si­cher­heits­vor­fäl­le und geben dir Tipps zur Op­ti­mie­rung.

Pass­wort­stär­ke testen

Zu­sätz­lich zur Leak-Prüfung solltest du die Kom­ple­xi­tät deiner Kenn­wör­ter bewerten. Ver­schie­de­ne Dienste testen Länge und Zu­fäl­lig­keit und si­mu­lie­ren, wie schnell ein Brute-Force-Angriff er­folg­reich wäre. Während simple Folgen wie „123456“ sofort geknackt sind, halten komplexe Kom­bi­na­tio­nen wie „X$4g8JwQ!a_%j“ über Jahre stand.

Mo­ni­to­ring und schnelles Handeln

Erfährst du von einem Leak bei einer von dir genutzten Plattform, handle sofort und ändere dein Passwort. Nutzt du dasselbe Kennwort woanders, ak­tua­li­sie­re es auch dort umgehend. Bleibe über Cy­ber­se­cu­ri­ty-News in­for­miert, um früh­zei­tig auf neue Gefahren reagieren zu können. Dienste wie HIBP bieten zudem E-Mail-Be­nach­rich­ti­gun­gen an, die dich proaktiv in­for­mie­ren, falls deine Adresse in einem neuen Datensatz auftaucht.

Zum Hauptmenü