Fußballfans scheitern am Passwort – Password Spraying nennt sich diese Technik – Cyberkriminelle probieren etwa als Zugangsdaten …

Fuß­ball­fans schei­tern am Passwort

  • Schal­ke schlägt BVB – bei­de haben kei­nen Grund zum Feiern
  • Belieb­tes­te Pass­wör­ter noch nicht ein­mal zweitklassig
  • Bayer04Lev ist Meis­ter, aber trotz­dem unsicher

End­spurt – Noch rund 50 Tage bis zum Start der EM 2024 und nicht nur der Bun­des­trai­ner möch­te sei­ne Schütz­lin­ge ins Trai­nings­la­ger schi­cken. Auch die deut­schen Fuß­ball­fans gehö­ren dort hin, sagen die Sicher­heits-Exper­tin­nen und Exper­ten der Tele­kom. Trai­nings­ziel: Das Abwehr­ver­hal­ten beim Pass­wort. Wer einen Blick auf die 30 gestoh­le­nen Pass­wör­ter wirft, die am häu­figs­ten in frei zugäng­li­chen öffent­li­chen Quel­len zu fin­den sind, sieht das Pro­blem sofort. Schon der zwei­te Platz gehört einer Fuß­ball­mann­schaft. In die­ser Tabel­le ist „Schalke04“ zur Abwechs­lung mal fast spit­ze. Nur „Passwort1“ ist öfter anzu­tref­fen, so trau­rig das auch ist.

Für die Anhän­ger des Revier-Riva­len Borus­sia Dort­mund ist das kein Grund hämisch zu lachen. Denn „Borus­sia“ fin­det sich immer noch in den Top 10, „Dortmund09“ auf Rang 18. Wobei „Borus­sia“ auch gut und ger­ne von den Fans von Borus­sia Mön­chen­glad­bach genutzt wer­den könn­te. Um die Schal­ker von ihrem zwei­fel­haf­ten Platz zwei zu ver­drän­gen, hat die links­rhei­nisch-west­fä­li­sche Co-Pro­duk­ti­on den­noch nicht ausgereicht.

Die Begeis­te­rung für die­sen Sport kennt bei der Sicher­heit von Kon­ten lei­der kei­ne Gren­zen. „Fuss­ball“ belegt den 20. Platz die­ser Lis­te. Und der belieb­tes­te Ein­zel­ak­teur hat sich auf Rang 26 gespielt. Sein Geld ver­dient er mitt­ler­wei­le in Sau­di-Ara­bi­en, die deut­schen Fans haben (Chris­tia­no) „Ronaldo1“ den­noch noch nicht ver­ges­sen. Ein­zi­ger Wehr­muts­trop­fen für ihn – ein US-Bas­ket­bal­ler, der seit mehr als 20 Jah­ren im Ruhe­stand ist, scheint als Pass­wort noch belieb­ter zu sein. (Micha­el) „Jordan23“ belegt Platz 25 die­ser Tabel­le geklau­ter Kenn­wör­ter, die im ers­ten Quar­tal 2024 beson­ders häu­fig im Netz zu fin­den waren.

Ein­fach zu gefährlich

Sicher, solch eine Lis­te ist ledig­lich als eine Stich­pro­be anzu­se­hen ohne wirk­li­che Aus­sa­gen­kraft. Trotz­dem lässt sie tief bli­cken, sagt Tele­kom Sicher­heits­chef Tho­mas Tscher­sich: „Wir sehen, dass deut­sche Nut­ze­rin­nen und Nut­zer wei­ter­hin zu oft das für sie Nahe­lie­gends­te zum Pass­wort machen. Und genau das macht sie ver­wund­bar. Wenn ich die Tabel­le der Fuß­ball-Bun­des­li­ga – Ver­ein für Ver­ein ‑zusam­men mit sämt­li­chen E‑Mails aus­pro­bie­re, die ich mit ein­fa­chen Mit­teln im Netz fin­den kann, so gene­rie­re ich damit lei­der zehn­tau­sen­de von akti­ven Zugangs­schlüs­seln. Und das ist zu ein­fach und war noch nie zeitgemäß.“

Pass­word Spray­ing nennt sich die­se Tech­nik. Cyber­kri­mi­nel­le pro­bie­ren etwa als Zugangs­da­ten von Nut­zer­kon­ten ein­fach eine Rei­he von belieb­ten Pass­wör­tern mit E‑Mails aus, die sie fin­den kön­nen. Und da vie­le Men­schen die Ange­wohn­heit haben, mehr als ein E‑Mailkonto zu besit­zen, fließt auch die­se Tat­sa­che in die Stra­te­gie mit ein. Was bei E‑Mail-Anbie­ter Num­mer eins funk­tio­niert hat, kann auch mit dem­sel­ben Nut­zer­na­men bei ande­ren Anbie­tern funk­tio­nie­ren. Das Tele­kom Sicher­heits­team sieht sol­che Ver­su­che Pass­wör­ter zu spray­en regel­mä­ßig, wenn Alar­me von Anoma­lie-Erken­nungs­sys­te­men aus­ge­wer­tet wer­den. Dabei rächt es sich zusätz­lich, dass beque­me Zeit­ge­nos­sen ihr Lieb­lings­pass­wort für mehr als ein Kon­to ein­set­zen. Auch das lässt sich mit schlich­tem „Durch­pro­bie­ren“ mas­sen­haft austesten.

Die Erfolgs-Stra­te­gie für Fans

Aktu­el­le Richt­li­ni­en for­dern von einem Pass­wort bes­ten­falls einen Groß­buch­sta­ben, einen Klein­buch­sta­ben, eine Zahl und ein Son­der­zei­chen zu ent­hal­ten. Deut­scher Fuß­ball­meis­ter in die­sem Jahr wird Bay­er 04 Lever­ku­sen. Müs­sen wir uns wirk­lich dar­über wun­dern, dass ein Pass­wort „Bayer04Lev!“ aktu­ell immer häu­fi­ger bei Samm­lun­gen von geklau­ten Pass­wör­tern auftaucht?

Tipp der Sicher­heits-Exper­tin­nen und Exper­ten der Tele­kom für die Fuß­ball­be­geis­ter­ten: Nehmt eure Lieb­lings­pas­sa­ge der Ver­eins­hym­ne oder des Fan­kur­ven­ge­sangs und davon jeweils die Anfangs­buch­sta­ben der Wor­te. Ach­tet auf Groß- und Klein­schrei­bung. Idea­ler­wei­se kommt eine Zahl in die­ser Pas­sa­ge vor. Setzt ein Son­der­zei­chen vor oder hin­ter die­se Kom­bi­na­ti­on, etwa eine Klam­mer als Meis­ter­scha­le ( und fer­tig ist ein indi­vi­du­el­les Pass­wort, das nicht ganz so ein­fach zu erra­ten ist. Aber wo trotz­dem jede Men­ge Fan-Herz­blut drinsteckt.

________________

Quel­le: Deut­sche Tele­kom AG
Foto­credits: Deut­sche Telekom/​ iStock/​ Foto­gra­fie­Link; Mon­ta­ge: Eve­lyn Ebert Meneses