Ruhr-Uni-Bochum

Milliarden Nutzer von Passwort-Leaks betroffen

Die Geschichte ist voll von beispiellosen Verbrechen. Im Zeitalter der Digitalisierung hat sich die Bandbreite noch einmal deutlich erweitert. Alena Naiakshina gibt ein Beispiel in der Serie "Die größten Verbrechen".

Foto Alena Naiakshina

Copyright: Damian Gorczany

„Neue Passwort-Leaks: Insgesamt 2,2 Milliarden Accounts betroffen“, lautete die Schlagzeile der Nachrichten-Website „heise online“ vom 25. Januar 2019. Dies war nur eine von vielen Schlagzeilen zu Passwort-Leaks, die in den vergangenen Jahren in regelmäßigen Abständen zu lesen waren. Angriffe auf Datenbanken können dazu führen, dass die Nutzerpasswörter mit zugehörigen E-Mail-Adressen offen im Netz verteilt und für weitere Cyberverbrechen genutzt werden. Oft bekommen Nutzerinnen und Nutzer das gar nicht mit und verwenden ihre Zugangsdaten sorglos weiter.

Passwort-Leaks können einzelne Personen treffen, ganze Unternehmen ruinieren und sogar globale Auswirkungen haben, denn auch Bundestagsabgeordnete werden regelmäßig Opfer von Hackerangriffen; so tauchten ihre Daten etwa in der Passwort-Sammlung Collection #1 auf. Um die Sicherheit der Zugangsdaten zu gewährleisten, sollten Passwörter nicht im Klartext in eine Datenbank gespeichert werden. Warum speichern Softwareentwickler Passwörter dennoch manchmal unsicher ab?

Warum Passwörter unsicher gespeichert werden

Studien mit Softwareentwicklern haben gezeigt, dass fehlende Sicherheitsanforderungen, ein Mangel an IT-Sicherheitsexpertenwissen sowie die hohe Komplexität dieser Aufgabe dazu führen können, dass Passwörter unsicher gespeichert werden. Softwareentwickler nutzen Programmierschnittstellen, sogenannte APIs (application programming interfaces), um Software zu entwickeln. Wenn es diesen APIs jedoch an Benutzerfreundlichkeit mangelt, können auch die erfahrensten Softwareentwickler an sicherheitskritischen Aufgaben scheitern. Anstatt von Softwareentwicklern zu erwarten, dass sie IT-Sicherheitsexpertenwissen zu jeder einzelnen sicherheitskritischen Aufgabe haben, sollten sie durch APIs, Tools und Frameworks ausreichend unterstützt werden. Anbieter müssen diese regelmäßig anpassen, damit sie stets den aktuellen Sicherheitsstandards entsprechen. Nur dann kann gewährleistet werden, dass die Passwörter von heute die Daten von morgen nicht gefährden.

Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.