Abc123 ist eine Kombination aus Ziffern und Buchstaben. Aber ein gutes Passwort? Nein, bestimmt nicht. Doch Fakt ist: Y13ErK ist auch nicht viel besser. Wir erklären, was Apotheken bei einem guten Passwort beachten sollten. Gerne beraten wir Sie hierzu als externer Datenschutzbeauftragter für Apotheken.
Ein Blick auf die Liste der populärsten Passwörter, die jedes Jahr von den Datensicherheitsexperten zusammengestellt wird, zeigt, dass es viele Menschen potenziellen Datendieben viel zu einfach machen. Auf Platz 1: ‚123456‘. Auf Platz 2: ‚password‘. Auf Platz 3: ‚12345678‘. Und so geht es munter weiter.
Was ihre Passwörter angeht, sind die meisten Menschen wenig kreativ. Was auch nicht verwunderlich ist, wird doch häufig suggeriert, unaussprechliche Kombinationen aus Zahlen und Buchstaben seien die sichersten Passwörter. Aber wer kann sich schon so etwas wie ‚YgrZ23C‘ und ähnliches merken? Dabei werden Passwörter beim Datenschutz in der Apotheke immer wichtiger. Schließlich müssen sich Mitarbeiter immer wieder in Systeme einloggen und verschiedene Dienste nutzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die wichtigsten Tipps zusammengefasst:
Passwortlänge
Es macht für einen Computer überhaupt keinen Unterschied, ob ein Passwort sinnvoll ist oder nicht. Mit purer Rechenkraft – brute force – werden solange Kombinationen ausprobiert, bis das Passwort geknackt ist. Je kürzer das Passwort, desto leichter fällt dies der Software. Experten empfehlen deshalb inzwischen ganze Passphrasen. Sätze aus Songs oder auch Wortkombinationen, die nicht unbedingt sinnmachen.
Berühmt geworden ist ein Beispiel des Web-Comics XKCD: Einem Passwort mit vielen Sonderzeichen wird die Phrase „correct horse battery staple“ gegenüber gestellt. Während das herkömmliche Passwort in drei Tagen geknackt wäre, bräuchte ein schneller Rechner für „correct horse battery staple“ rund 550 Jahre. Während es beim herkömmlichen Passwort nahezu unmöglich ist, es sich zu merken, bleibt „correct horse battery staple“ doch ganz gut hängen. (Unter Nerds war das Beispiel so erfolgreich, dass es von manchen Anbietern inzwischen als Passwort abgelehnt wird).
Grundsätzlich gilt: Je länger, desto besser. Ein gutes Passwort sollte mindestens acht Zeichen lang sein. Bei Verschlüsselungsverfahren für WLAN wie zum Beispiel WPA2 oder WPA3 sollte das Passwort beispielsweise mindestens 20 Zeichen lang sein. Hier sind so genannte Offline-Attacken möglich, die auch ohne stehende Netzverbindung funktionieren.
Ein starkes Passwort kann „kürzer und komplex“ oder „lang und weniger komplex“ sein. Doch wie lang und wie komplex sollte es mindestens sein? Folgende Beispiele geben Orientierung: Ein Passwort ist sicher, wenn es beispielsweise
- 20 bis 25 Zeichen lang ist und zwei Zeichenarten genutzt werden (beispielsweise eine Folge von Wörtern). Es ist dann lang und weniger komplex.
- 8 bis 12 Zeichen lang ist und vier Zeichenarten genutzt werden. Es ist dann kürzer und komplex.
- 8 Zeichen lang ist, drei Zeichenarten genutzt werden und es zusätzlich durch eine Mehr-Faktor-Authentisierung abgesichert ist (beispielsweise durch einen Fingerabdruck, eine Bestätigung per App oder eine PIN). Dies ist generell empfehlenswert.
Buchstaben, Ziffern, Sonderzeichen
Für ein Passwort können in der Regel alle verfügbaren Zeichen genutzt werden, beispielsweise Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen (Leerzeichen, ?!%+…). Manche Anbieter von Onlinediensten machen technische Vorgaben für die verwendbaren bzw. zu verwendenden Zeichen. Wenn Ihr System Umlaute zulässt, bedenken Sie bei Reisen ins Ausland, dass auf landestypischen Tastaturen diese eventuell nicht eingegeben werden können.
Keine einfach zu erratenden Passwörter
Nicht als Passwörter geeignet sind Namen von Familienmitgliedern, des Haustiers, des besten Freundes, des Lieblingsstars, Geburtsdaten und so weiter. Das vollständige Passwort sollte möglichst nicht in Wörterbüchern vorkommen. Es sollte zudem nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern wie „asdfgh“ oder „1234abcd“ bestehen. Denn natürlich schauen die Hacker auch auf die populärsten Begriffe und Phrasen. Diese werden zuerst abgetestet. Auch wenn es sich romantisch anhört: „I love you“ ist eines der beliebtesten Passwörter – und damit ungeeignet. Auch „let me in“ bietet sich nicht an. Manche Anbieter gleichen Passwörter gegen eine sogenannte „black list“ ab, in der genau solche nicht geeigneten Passwörter hinterlegt sind. Möchte man sie nutzen, erhält man einen Hinweis, dass das Passwort in dieser Form nicht zugelassen wird bzw. nicht sicher ist. Einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen, ist nicht empfehlenswert.
Kreativ werden
Bei der Wahl eines Passwortes sind Ihrer Kreativität keine Grenzen gesetzt. Wichtig ist, dass Sie sich das Passwort gut merken können. Hierfür gibt es unterschiedliche Hilfsstrategien: Der eine merkt sich einen Satz und benutzt von jedem Wort nur den 1. Buchstaben (oder nur den zweiten oder letzten). Anschließend verwandelt man unter Umständen noch bestimmte Buchstaben in Zahlen oder Sonderzeichen. Die andere nutzt einen ganzen Satz als Passwort oder reiht unterschiedliche Wörter, verbunden durch Sonderzeichen, aneinander. Eine weitere Möglichkeit besteht darin, zufällig 5-6 Worte aus dem Wörterbuch zu wählen und diese mit einem Leerzeichen zu trennen. Dies resultiert in einem leicht zu merkenden, leicht zu tippenden und für Angreifer schwer zu brechenden Passwort.
Beratung zum Datenschutz
Gerne beraten wir Sie hierzu und zu weiteren Themen im Datenschutz in der Apotheke. Sprechen Sie uns als externe Datenschutzbeauftragte für Apotheken an. Sie erreichen uns unter 0511/37388134 oder per Mail über datenschutzbeauftragter@datenschutzundgesundheit.de. Wir freuen auf Ihre Anfrage.