Passwortsicherheit: Online-Anbieter müssen nachbessern

Pressemitteilung vom
Marktstichprobe der Verbraucherzentrale NRW deckt niedrige Anforderungen an Passwortsicherheit bei Online-Kundenkonten auf
  • Gängige Standards für starke Passwörter selten angewandt
  • Nutzung einfacher Passwörter wie „12345678“ oder „password“ teilweise immer noch möglich
  • Verbraucherzentrale NRW mahnt zu konsequenter Anwendung von gängigen Mindeststandards bei Passworterstellung
Off

Ob E-Mail-Provider, soziale Netzwerke oder Online-Shops – überall haben Nutzer:innen heutzutage ein Konto. Starke Passwörter sollen diese vor dem ungewollten Zugriff durch Fremde schützen. Doch viele Menschen setzen zum Schutz ihrer Accounts noch immer auf zu schwache Passwörter – und viele Online-Anbieter lassen dies zu. Anlässlich des Welt-Passwort-Tages am 4. Mai hat die Verbraucherzentrale NRW eine branchenübergreifende Marktstichprobe verschiedener, nutzerstarker Online-Anbieter zur Umsetzung von Passwortrichtlinien durchgeführt. „Die Anforderungen an die zu vergebenden Passwörter fallen unterschiedlich und bei vielen Anbietern eindeutig zu niedrig aus“, sagt Ayten Öksüz, Expertin für Digitalisierung und Datenschutz bei der Verbraucherzentrale NRW. „Online-Anbieter sollten sich in der Verantwortung sehen, auf ihren Plattformen höhere Anforderungen an Passwörter zu implementieren, um die Nutzung starker Passwörter bei der Einrichtung eines Kundenkontos zu erwirken.“

Trotz Sicherheitsrisiko: Verwendung einfacher Passwörter bei einigen Anbietern möglich

Nach Angaben des Hasso-Plattner-Instituts wurden im Jahr 2022 die Kombinationen „12345678“ und „password“ mitunter am häufigsten als Passwort genutzt. Auch die Marktstichprobe der Verbraucherzentrale NRW bestätigt, dass einige Anbieter diese Passwörter immer noch zulassen. „Passwörter wie diese sind zwar beliebt, öffnen Kriminellen aber allzu leicht Tür und Tor. Das darf nicht sein“, so Öksüz. „Deren Verwendung sollte daher auf Seiten der Anbieter von vornherein unterbunden werden, damit einfache Passwörter wie ‚12345678‘ oder ‚qwertz‘ der Vergangenheit angehören.“ Empfehlungen für starke Passwörter stellt unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Verfügung. Grundsätzlich gilt: Je länger ein Passwort, desto stärker ist es. Hat es mindestens 20-25 Zeichen, reichen zwei Zeichenarten. Bei weniger Zeichen (aber mindestens acht) sollte es dafür komplexer sein, also aus vier Zeichenarten bestehen (Klein- und Großbuchstaben, Zahlen und Sonderzeichen). Die Marktstichprobe zeigt: Diese Anforderungen erfüllen gerade einmal zwei der 48 geprüften Anbieter. Bei 33 Anbietern beträgt die Mindestlänge zwar acht Zeichen, jedoch reichen hier bei der überwiegenden Mehrheit nur ein bis zwei verschiedene Zeichenarten zur Erstellung eines Passwortes aus. Alarmierend: Neun Anbieter erlauben sogar Passwörter von nur sechs Zeichen und einer Zeichenart (z.B. Kleinbuchstaben). „Damit unterschreiten sie gängige Empfehlungen für starke Passwörter erheblich“, so Öksüz. „Das Thema Passwortsicherheit sollte nicht nur im Interesse der Verbraucher:innen liegen, sondern auch im Interesse der Anbieter selbst, um Sicherheitsrisiken zu minimieren.“

Feedback zur Passwortsicherheit mitunter irreführend

Erfüllt das gewählte Passwort nicht die Kriterien des Anbieters, bekommen Nutzer:innen bei allen Anbietern eine entsprechende Meldung angezeigt (z.B. „Das Passwort ist zu kurz“). Viele Anbieter geben darüber hinaus auch Feedback zum Sicherheitsniveau des gewählten Passworts. Das geschieht entweder über eine Checkliste oder mit einer Art Ampelsystem, das je nach Sicherheitsniveau des Passwortes einen roten (schwach), gelben (mittel) oder grünen (stark) Balken anzeigt. Allerdings ist in einigen Fällen trotzdem das Anlegen eines Accounts mit einem – teilweise sogar aus Sicht des Anbieters – nur mittelstarken Passwort möglich. Zudem fällt auf: Wird ein Passwort als stark eingestuft, erfüllt es in einigen Fällen lediglich die Vorgaben des jeweiligen Anbieters – nicht aber unbedingt die gängigen Mindeststandards. „Das kann für Nutzer:innen irreführend sein“, so Öksüz. „Anbieter sollten sich beim Nutzer-Feedback zur Passwortsicherheit an den gängigen Empfehlungen für starke Passwörter orientieren.“

Zum Presseportal der Verbraucherzentrale NRW

Serviceangebote und Informationsquellen für Journalistinnen und Journalisten

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung wiedergibt.
Person mit Mobiltelefon in der Hand

BGH-Urteil gegen Parship: Vertragsverlängerungen teilweise unwirksam

Der Bundesgerichtshof (BGH) hat über die Sammelklage des Verbraucherzentrale Bundesverbands (vzbv) und eine Unterlassungsklage der Verbraucherzentrale Brandenburg gegen die Online-Partnervermittlung entschieden. Automatische Verlängerungen von Sechs-Monats-Verträgen waren unwirksam. Betroffenen stehen Rückzahlungen zu.
Das neue Logo der Verbraucherzentrale

Ein neuer Look für die Verbraucherzentrale

Die Verbraucherzentralen setzen sich tagtäglich für Ihre Rechte ein: mit unabhängiger Beratung, verlässlichen Informationen und einem klaren Ziel – Ihre Interessen zu schützen. Damit Sie uns noch leichter finden und überall direkt erkennen, treten wir seit Mitte Juli 2025 in einem neuen Look auf.
Person mit Mobiltelefon in der Hand

BGH ebnet Weg für Erstattungen nach Sammelklage gegen Parship

Der vzbv hatte mit einer Sammelklage automatische Vertragsverlängerungen von Parship angegriffen. Der Bundesgerichtshof hat die Verlängerungen teilweise für unwirksam erklärt. Verbraucher:innen können Rückzahlungen verlangen. Ein fristloses Kündigungsrecht hat das Gericht nicht anerkannt.