Das beliebteste Passwort in Deutschland ist die Ziffernfolge ‚123456‘, auf Platz 2 folgt das englische ‚password‘. Zu diesem Ergebnis kommt eine aktuelle Auswertung des Bonner Startups Identeco. Das Unternehmen hat dazu Zugangsdaten analysiert, die im Jahr 2024 neu in illegalen Online-Börsen aufgetaucht sind. Kriminelle erwerben diese Informationen, um damit Accounts von Userinnen oder Usern zu übernehmen.
„Wir verfügen über eine riesige Datenbank von kriminell erbeuteten Zugangsdaten“, erklärt Identeco-Mitarbeiter Dr. Frank Zickenheiner. „Diese ergänzen wir ständig um neue gestohlene Informationen.“ Mehr als 50 Milliarden Datensätze hat das Startup nach eigenen Angaben inzwischen gesammelt. Davon stammen mehr als 4 Milliarden aus diesem Jahr. „Alle diese Daten werden aktuell im Internet gehandelt“, sagt Zickenheiner. „Wir gehen also davon aus, dass es sich zumindest zu einem großen Teil um Email-Passwort-Kombinationen handelt, die tatsächlich noch genutzt werden.“
Identeco hat nun knapp 30 Millionen dieser 2024 aufgetauchten Datensätze ausgewertet. „Wir haben uns dabei auf drei verschiedene Arten von Einträgen konzentriert“, sagt Zickenheiner. „Solche, von denen wir glauben, dass sie im privaten Kontext genutzt werden. Solche, die man Mitarbeiterinnen und Mitarbeitern von DAX-Unternehmen zuordnen kann. Und solche, die zu Einrichtungen des Öffentlichen Dienstes gehören.“
Als Indikator galt dabei die E-Mail-Adresse, der das jeweilige Passwort in den gestohlenen Daten zugeordnet war. So deuten Adressen, die auf gmx.de, web.de oder posteo.de enden, auf eine Nutzung für private Zwecke hin, anders als etwa uni-bonn.de-Adressen. „Unabhängig vom Kontext landeten Ziffernfolgen wie 123456 stets unter den beliebtesten Passwörtern“, sagt Zickenheiner. „Beschäftigte von Unternehmen oder Behörden nutzten zudem oft den Namen ihres Arbeitgebers als Passwort, meist ergänzt um einige zusätzliche Zeichen.“ Laut Auswertung wurden auch häufig Hinweise auf persönliche Vorlieben wie Filmnamen (starwars) oder Fußballvereine (schalke04) gefunden.
Vier Regeln für mehr Sicherheit
Identeco empfiehlt Benutzerinnen und Benutzern mit den genannten bzw. ähnlichen Passwörtern, diese so schnell wie möglich zu ändern. Zudem rät der Security-Spezialist, die vier folgenden Regeln zu beherzigen:
Jedes Passwort möglichst nur für einen bestimmten Dienst verwenden – also ein Passwort für Banking, ein anderes für das Mail-Postfach und ein drittes für das Amazon-Konto.
Ein Passwortmanager ermöglicht, die genutzten Passwörter verschlüsselt zu speichern und kann komplexe Passwörter automatisiert vorschlagen. Nutzer müssen sich lediglich das Masterpasswort des Managers merken, um die gespeicherten Passwörter einzusehen.
Passwörter sollten möglichst lang und komplex sein. Sie sollten Sonderzeichen, Groß- und Kleinbuchstaben und Zahlen beinhalten.
Wo möglich, sollten Nutzer eine sogenannte Multi-Faktor-Authentifizierung nutzen. Es gibt etwa Apps, mit denen sich auf dem Smartphone eine temporäre PIN generieren lässt, die beim Einloggen in ein Online-Konto zusätzlich zum Passwort angegeben werden muss.
Identeco ist als Ausgründung aus einem Forschungsprojekt der Universität Bonn zur Cybersicherheit hervorgegangen. Dabei wurde es vom Transfer Center enaCom der Universität begleitet und unterstützt. EnaCom bietet Gründungsservices für Startups aus der Forschung an – insbesondere aus dem KI- oder DeepTech-Bereich.
