bearbeitet: 23.05.2020     

Der fragwüdige Umgang mit Kennwörtern
bei zahlreichen Unternehmen

Kennwörter, auch Paßwörter genannt, sind einzugebende Sicherheitssequenzen, die die eigenen Daten vor Fremdzugriff schützen, weil die Kennwortsequenz nur mir allein bekannt ist.

Wirklich? Meine Erfahrungen sehen aber ganz anders aus. Bei Microsoft zum Beispiel findet man einen völlig anderen, für mein Verständnis absurden Umgang mit Kennwörtern vor. Bei der Anmeldung auf meinem Microsoft-Konto bin ich zur Festlegung eines Kennwortes verpflichtet. Akzeptiert, völlig richtig. Nun gebe ich ein Kennwort ein und erhalte unverzüglich die Antwort: "Ihr Paßwort ist zu einfach. Verwenden Sie ein sicheres Paßwort." Dann wird mir beschrieben, wie ein Paßwort auszusehen hat. Ich werde also bei der Eingabe meines Paßwortes überwacht. Nun kann man ja sagen, es werden nur Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen unterschieden, das Paßwort werde nicht erkannt. Schön. Wer die Ausrede glaubt! - es kommt nämlich gleich noch schlimmer. Ich habe nun die Absicht, mein Paßwort zu ändern. Ich gebe also ein anderes ein und erhalte sofort die Antwort: "Sie haben ein altes Paßwort verwendet. Geben Sie ein neues ein, das Sie noch nicht verwendet haben." Hallo!? Jetzt funktioniert aber die Ausrede nicht mehr: Alle Paßwörter, die ich jemals verwendet habe, sind folglich bei Microsoft nachgewiesen. Ich stelle also fest: Stasiüberwachung war früher - heute gibt es Microsoft. Meine Kennwörter unterliegen dort der lückenlosen Überwachung. Und ich kann nichts dagegen tun.

Die gleichen Sitten herrschen bei Vodafone. Ich komme in die Filiale, sage meine Kundennummer an, der Mitarbeiter öffnet meine Kundendatei und liest mir mein Kennwort vor. Das heißt also, die Kennwörter Hunderter Kunden liegen auf den Computern in der Vodafone-Filiale unverschlüsselt im Klartext vor. Die Computer sind alle vernetzt, wo also liegen sie noch herum? Es ist nicht zu widerlegen, daß Hacker sich dafür interessieren.

All diese Verfahrensweisen führen die Einrichtung von Paßwörtern ad absurdum. Noch mehr Unsinn: Schon in Windows der verschiedensten Versionen wird man bei der Eingabe eines Paßwortes gefragt, ob man das Paßwort speichern will. Mit Verlaub: Paßwort speichern kommt mir vor wie die Tür zuschließen und den Schlüssel steckenlassen. Oder käme etwa jemand auf die Idee, die PIN seines Bankkontos auf die Kontenkarte zu schreiben und die dann gleich neben dem Geldautomaten zu deponieren, damit sie immer da ist, wenn er kommt?

Ich bin der Meinung, daß für den Umgang mit Paßwörtern ganz grundsätzliche Änderungen herbeigeführt werden müssen. All die vielen Erklärungen über die Sicherheit meiner Daten bei den großen Firmen und Einrichtungen entlarven sich doch als sinnentleertes Geschwätz unter dem Eindruck solcher Praktiken. Der große Aufwand, der bei der Wiederherstellung verlorener Paßwörter betrieben wird, begonnen beim Versand von Sicherheitscodes auf Mobiltelefone oder an E-Mail-Adressen bis hin zur selektiven Auswahl vorgegebener Bildeigenschaften in gerasterten Bildern, mit denen erkannt werden soll, daß ich kein Roboter bin, alles zur Identifizierung meiner Person als berechtigte, sind doch reine Augenauswischerei. Bei den beschriebenen Umgangsmethoden mit den Paßwörtern kann man sie auch gleich unverschlüsselt über einen offenen Kanal versenden. Was nützen denn die hochgestochenen Paßwortmanager mit all den ausgeklügelten Sicherheitsroutinen, wenn danach die Paßwörter möglicherweise überall auf der Welt im Klartext herumliegen?

Das gesamte System, das mit Paßwörtern und ihrer Handhabung umzugehen hat, ist völlig undurchdacht und läßt jegliche Logik vermissen. In diesem Instrumentarium müssen zwingend neue, wissenschaftlich tragfähige Grundsätze erarbeitet werden, damit ein Paßwort auch ein Paßwort ist, mit dem ich ganz persönlich in der Lage bin, meine Daten für mich behalten zu können, weil es außer mir niemand kennt. Mit dem gegenwärtigen System ist das in keiner Weise garantiert. Die wichtigsten Grundsätze dazu könnte ich nennen, würde man mich danach fragen.