Das Hasso-Plattner-Institut veröffentlicht eine Liste mit den meistgenutzten Passwörtern der Deutschen. Erschreckend: Wie schon in den Vorjahren sind die einfältigsten Varianten auch die beliebtesten.

Wie alljährlich zum Jahresende veröffentlicht das Hasso-Plattner-Institut (HPI) eine Liste mit den meistgenutzten deutschsprachigen Passwörtern der Deutschen. Wer einen Blick auf die Liste wirft, dem kommt vielleicht ein Zitat von Albert Einstein in den Sinn, in dem er zwei Dingen die Unendlichkeit attestiert haben soll - dem Universum und der menschlichen Dummheit. Nur beim Universum sei er sich noch nicht sicher. Tatsächlich möchte man nur ungern vielen Internet-Nutzern auf einmal und ganz pauschal Dummheit unterstellen, aber wie soll man es dann bezeichnen, wenn auch im Jahr 2016 noch das meistgenutzte Passwort lautet: "hallo". 

Nun, vielleicht ist es auch Unwissenheit oder schlicht Faulheit. Man weiß es nicht. Aber die Liste des HPI ist erschreckend und deutet darauf hin, dass sich viele Internetnutzer nicht ernsthaft Gedanken über ihre Sicherheit im Netz machen. Dabei gab es im Jahr 2016 besonders viele Fälle von großangelegten Hackerangriffen, Ransomware-Attacken und Datenlecks (unter anderem bei LinkedIn, MySpace und Yahoo), die die Sensibilität der Nutzer eigentlich hätten steigern können. Sicher, nicht immer waren daran unsichere Nutzerpasswörter schuld, aber die machen es nicht besser.

123456 ist ungeschlagen

Das HPI hat bei seiner Untersuchung rund eine Milliarde Nutzerkonten analysiert. Die Informationen stammen aus 31 im Netz frei verfügbaren Datenlecks. Die "Top Ten" wurde aus rund 30 Millionen Nutzerkonten ermittelt, die als .de-Domain registriert sind. Zahlenkombinationen wurden nicht berücksichtigt - denn dann wäre "123456" nicht nur in Deutschland, sondern weltweit nach wie vor das beliebteste Passwort. Einschränkend muss dazu gesagt werden: Nicht alle Passwörter, die bei den Datenlecks veröffentlicht wurden, sind aktuell, teilweise liegen die Hackerangriffe schon Jahre zurück. Ob sich inzwischen viel geändert hat, darf man aber bezweifeln.

HPI-Direktor Christoph Meinel betont: "Es gibt keinen 100-prozentigen Schutz vor Identitätsdiebstahl. Aber wer sein Passwort auf dieser Liste entdeckt, sollte es schnellstmöglich ändern." Denn schwache Passwörter sind für Hacker, die es auf persönliche Informationen und Accounts abgesehen haben, wie ein offenes Scheunentor.

"hallo", "hallo1", "hallo123"

Und schwach sind sie alle, die Passwörter in den Top Ten des HPI. Erschreckend: Die Varianten "hallo", "hallo1", "hallo123", "passwort" oder "passwort1" machen schon die Hälfte der Liste aus. Auch die beliebte Buchstabenreihe "qwertz" findet sich wie jedes Jahr in der Liste. Dass vulgär nicht gleich sicher bedeutet, sollte man vielleicht den Nutzern von "arschloch" und "ficken" erklären. Erstaunlich: Offenbar sind Fans des FC Schalke 04 besonders leichtsinnig oder einfach ihrem Verein so treu ergeben, dass ihre Fan-Liebe sich im Passwort manifestiert: "schalke04" steht auf Platz 4 der beliebtesten Passwörter.

Die komplette Liste des HPI:

1. hallo
2. passwort
3. hallo123
4. schalke04
5. passwort1
6. qwertz
7. arschloch
8. schatz
9. hallo1
10. ficken

Komplexe Codes und Zwei-Faktor-Bestätigung

Meinel sieht das Problem in der Unbedarftheit der Nutzer: "Vielen ist nicht bewusst, dass Kriminelle mit dem Handel gestohlener Identitäten sehr viel Geld verdienen und welcher Schaden ihnen entstehen kann". Sein Ratschlag ist nicht neu, kann aber vor diesem Hintergrund nur erneut wiederholt werden: Man sollte niemals das gleiche Passwort für mehr als ein Internetkonto verwenden, seine Passwörter möglichst oft wechseln und sie so komplex wie möglich machen - eine Kombination aus Buchstaben, Ziffern und/oder Sonderzeichen ist bei vielen Diensten inzwischen ohnehin Pflicht.

Wer es noch komplexer mag, kann sich sein Passwort auch von einem Passwortmanager generieren lassen und es dort abspeichern. Denn hier gilt: Viel hilft viel, je komplexer, desto besser. Zusätzliche Sicherheit gibt es mit der Zwei-Faktor-Authentifizierung, denn hier sind Hacker sogar dann machtlos, wenn sie ein Passwort ergattern konnten.