10.2 Passwörter, 2FA & Kontosicherheit

Datenschutz beginnt mit Kontosicherheit. Wer Ihr Konto übernimmt, hat Zugriff auf all Ihre dort gespeicherten persönlichen Daten — E-Mails, Fotos, Dokumente, Zahlungsdetails. Eine Kontoübernahme ist deshalb per definitionem ein Datenleck — und in vielen Fällen ist ein schwaches Passwort der Hauptgrund.

Warum einzigartige Passwörter unverzichtbar sind

Das häufigste Angriffsszenario heißt Credential Stuffing: Angreifer nehmen geleakte Passwort-Listen aus einem Datenleck und testen dieselben Kombination automatisiert bei Hunderten anderer Dienste. Wer dasselbe Passwort für E-Mail, Online-Banking und Shopping nutzt, riskiert nach einem einzigen Datenleck den Verlust aller Konten. Die Lösung ist einfach: für jeden Dienst ein einzigartiges, starkes Passwort.

Passwort-Manager: das wichtigste Datenschutz-Tool

Da niemand Dutzende komplexe Passwörter im Kopf behalten kann, ist ein Passwort-Manager die empfohlene Lösung. Empfehlenswerte Optionen sind Bitwarden (Open Source, kostenlos, mit optionalem Cloud-Sync) und 1Password (kostenpflichtig, sehr benutzerfreundlich). Ein Passwort-Manager generiert, speichert und füllt starke Passwörter automatisch aus — Sie merken sich nur ein einziges Master-Passwort. Gute Passwörter haben mindestens 12 Zeichen, enthalten Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen, und ergeben kein sinnvolles Wort.

Zwei-Faktor-Authentifizierung (2FA)

Selbst ein kompromittiertes Passwort nützt einem Angreifer nichts, wenn ein zweiter Faktor erforderlich ist. 2FA kombiniert etwas, das Sie wissen (Passwort) mit etwas, das Sie besitzen (Smartphone, Hardware-Schlüssel). Die sicherste und empfohlene Methode sind Authenticator-Apps mit TOTP (Time-based One-Time Password): Google Authenticator, Authy oder den in Bitwarden integrierten TOTP-Generator. Diese Apps erzeugen alle 30 Sekunden einen neuen 6-stelligen Code. SMS-basiertes 2FA ist weniger sicher, da Angreifer durch SIM-Swapping (betrügerische Übertragung einer Rufnummer) SMS abfangen können — es ist aber immer noch besser als kein 2FA.

Passkeys: der nächste Standard

Passkeys ersetzen Passwörter durch kryptografische Schlüsselpaare. Sie sind phishing-resistent, erfordern kein Passwort und funktionieren mit biometrischer Entsperrung (Fingerabdruck, Gesichtserkennung). Google, Apple, Microsoft und viele Websites unterstützen Passkeys bereits. Langfristig werden sie das Passwort ablösen.

Was tun nach einem Datenleck?

Wenn Sie erfahren, dass Ihre Daten in einem Leck aufgetaucht sind: (1) Ändern Sie das betroffene Passwort sofort — und jedes andere Konto, bei dem Sie dasselbe Passwort verwendet haben. (2) Aktivieren Sie 2FA auf dem betroffenen Konto, falls noch nicht geschehen. (3) Widerrufen Sie den Zugriff aller Drittanbieter-Apps, die über den betroffenen Dienst autorisiert wurden. (4) Prüfen Sie haveibeenpwned.com auf weitere betroffene Konten. Passwort-Manager wie Bitwarden und 1Password bieten eine integrierte Datenleck-Überprüfung an und warnen Sie automatisch, wenn ein gespeichertes Passwort kompromittiert wurde.

Ihr Fazit

Ein Passwort-Manager und aktivierte 2FA auf allen wichtigen Konten (E-Mail, Banking, soziale Medien) sind die zwei wirksamsten Einzelmaßnahmen für die persönliche Datensicherheit. Der Aufwand für die Einrichtung beträgt ein bis zwei Stunden — der Schutz gilt dauerhaft.