8 Tipps um Passwörter und Zugänge sicher an andere zu versenden

Alle Zeitschriften, Plattformen, Blogs und sogar die Nachrichten warnen davor:
DU SOLLST DEIN PASSWORT NIEMALS HERGEBEN!

Dass das nicht funktioniert, wird dir wohl schnell klar, sobald du deinen Rechner von einem IT-Fachmann überprüfen lassen musst.

Wir können uns einfach nicht erlauben, unsere Passwörter vor externen Dienstleister vorzuhalten, da diese ihre Arbeit an unseren Computern oder Webseiten erledigen sollen. Dabei sind sie natürlich auf unsere Kennwörter angewiesen.

Aber gibt es eine Möglichkeit, bei dem du sicherstellen kannst, dass deine wertvollen Zugänge nicht etwa an Dritte oder gar an einen Hacker weitergegeben werden?

Mit diesen Tipps und Tricks zur Passwort-Übertragung kannst du sicherstellen, dass deine Passwörter nur bei den richtigen Personen ankommen.

Passwort auf Smartphone

Fragen und Antworten zur sicheren Übertragung von Passwörtern

 
Frage:

In welchen Fällen müssen Passwörter versendet werden?

 
Antwort:

Es wurde schon ein großer Fall genannt, den jeder Nicht-Informatiker kennt, oder vielleicht noch kennen lernen muss: Ein Fachmann möchte deinen Rechner inspizieren.

Natürlich kannst du die ganze Zeit daneben stehen, aber die Reparatur deines Rechners kann oft nicht sofort vorgenommen werden. Gerade, wenn dein Rechner einen schwerwiegenden Fehler besitzt. Das kann ein langwieriger Prozess werden, der mehrere Stunden oder sogar Tage in Anspruch nimmt, damit deine geliebte Maschine endlich wieder läuft.

In diesem Prozess muss der Informatiker mit einer sehr hohen Wahrscheinlichkeit einen Neustarten an deinem Computer durchführen. Und nein, ein Informatiker kann nicht einfach einen Rechner hacken.

Es gibt natürlich auch den Fall, dass du Informatiker bist, der einen Account oder ein Email-Postfach für einen Kunden einrichten muss. Die Zugänge können (noch) nicht Mental übertragen werden. Und die Post ist zu langsam für deinen wartenden Klienten.

Oder du bist Zocker und möchtest deinen World of Warcraft Account an den meistbietenden Benutzer auf eBay verkaufen. Auch hier brauchst du eine sichere Möglichkeit den Zugang an den Käufer zu übertragen. Andernfalls kann dich das eine 100%-Positiv-Bewertung kosten.

Du siehst: Es gibt einige Fälle, in denen du ein Passwort an jemand anders hergeben musst. Das waren natürlich auch nur ein paar wenige Beispiele.

 
Frage:

Warum sollte ich Passwörter nicht wahllos und ungeschützt an andere weitergeben?

 
Antwort:

Jeder weiß, dass man sein Passwort nicht einfach ohne Grund weitergeben sollte. Manchen ist aber gar nicht so richtig klar, warum das so ist.

Sobald eine Person den Zugang zu deinem Account erhält, der es eigentlich nicht soll, kann er damit anstellen was er möchte. Wenn er böse Absichten hat, kann er auf manchen Plattformen dein Passwort zurücksetzen und hat freie Bahn für alle üblen Machenschaften.

Viel Schlimmer ist es, wenn er den Zugang zu einem Email-Postfach erhält. Dann kann er die Passwörter von allen damit verknüpften Accounts ganz einfach zurücksetzen. Einschließlich des Postfachs natürlich.

Mit einem Passwort kann ein Untäter zum Beispiel ...

  • ... das Verhältnis zu deinen Kunden stören, indem er fantasievolle E-Mails mit Scam sendet.
  • ... mit deiner Finanz-Beraterin flirten, um dich beim nächsten Treffen in eine peinliche Lage zu versetzen.
  • ... auf den sozialen Netzwerken mit deiner Freundin Schluss machen und deine Mutti beleidigen.

Und das alles in deinem Namen! Diese Beispiele klingen vielleicht ein bisschen witzig, wenn man sie liest, aber versuch mal wieder aus diesem Chaos heraus zu kommen.

Es gibt natürlich auch Fälle, in denen jemand mit deinem Passwort deinen PayPal Account benutzt um sich Dinge zu kaufen, oder Geld auf sein eigenes Konto transferiert.

 
Frage:

Wie dürfen Zugänge laut DSGVO übertragen werden?

 
Antwort:

Für den geschäftlichen Versand von Passwörtern ist die Rechtslage durch die DSGVO eindeutig geklärt. Um Zugänge zu einem Account oder einem Postfach zu zusenden müssen zwei getrennte Kanäle verwendet werden.

Das bedeutet, dass du zum Beispiel den Benutzernamen in einer E-Mail versenden und das Passwort telefonisch durchgeben sollst.

Eine weitere Möglichkeit ist, den kompletten Zugang mit Benutzername und Passwort in eine verschlüsselte ZIP-Datei zu packen, diese per E-Mail zu übertragen und das Passwort der Datei telefonisch durch gibst.

Anders sieht es bei der Übertragung eines einfachen Passworts aus. Nachfolgend findest du aber ein paar Möglichkeiten, wie du ein Passwort verschlüsselt und sicher an eine andere Person weitergeben kannst.

Wie kann ich Passwörter sicher übertragen?

Wie kann ich Passwörter sicher übertragen?

Es gibt viele verschiedene Kanäle, mit denen du ein Passwort oder einen kompletten Zugang versenden könntest. Ich habe einige Möglichkeiten zur sicheren Übertragung von Passwörtern notiert.

Passwort per Telefon übergeben

Eine der sichersten Methoden ist die Durchgabe eines Passworts per Telefon.

Bei einem Telefonat kann kein Man-in-the-Middle Angriff stattfinden und eine Aufzeichnung gibt es in den meisten Fällen auch nicht. Ausgenommen sind natürlich Telefonate, die explizit darauf hinweisen (und Telefonate, die von der NSA überwacht werden).

Wenn du ein sicheres Passwort erstellen und telefonisch durchgeben möchtest, kann es etwas kompliziert werden. Denn manche Begriffe für Sonderzeichen sind vielen Endanwendern nicht vertraut. Das fängt schon bei der Tilde (~) an und endet beim Zirkumflex (^). Ich kenne sogar ein paar Programmierer und Informatiker, die diese Benennungen nicht kennen.

Daher empfehle ich das Passwort in einer verschlüsselten ZIP-Datei zu übergeben. Das Passwort der Verschlüsselung ist eine einfache Zahlenfolge, die man dann leicht über das Telefon durchgeben kann. Dann kann das Passwort auch ohne Probleme länger werden.

Übertragung eines Passworts per TeamViewer

TeamViewer baut eine Peer-To-Peer Verbindung zwischen zwei Clients auf. Das bedeutet, dass keine Instanz die Verbindung dazwischen überwacht. Dadurch können Dateien einfach und sicher übertragen werden.

Ziehe die Passwort-Datei einfach per Drag&Drop auf den Desktop deines Verbindungspartners.

In den meisten Fällen spricht man mit dem gegenüberliegenden Partner per Telefon oder Skype. Wenn du die Datei übertragen hast, kannst du ihm das Passwort der Verschlüsselung verbal mitteilen.

Du wirst dich vielleicht Fragen, warum du die Datei verschlüsseln solltest, obwohl eine Peer-To-Peer Verbindung aufgebaut ist? Das hat zwei einfache Gründe.

Zum Ersten ist es sicherer, da eine Verwechslung von TeamViewer-Sitzungen ausgeschlossen werden kann. Der Empfänger hätte die verschlüsselte ZIP-Datei, kann aber nichts damit anfangen.

Zweitens baut das ein wenig mehr Vertrauen zu deinem Kunden auf. Auch wenn er ein bisschen genervt von dem verlängerten Prozess ist, so kann er doch sicher sein, dass du mit seinen Daten verantwortungsvoll umgehst.

Versand eines Passworts über das Smartphone

Bitte mache nicht den Fehler und versende Passwörter oder andere sensible Daten per WhatsApp. Die Daten, die du versendest werden auf einem Server von Facebook gesichert. Das macht sie angreifbar.

In der Vergangenheit ist es schon ein paar Mal vorgekommen, dass die Server von Facebook gehackt wurden. Die WhatsApp-Server sind für einen Angriff keine Ausnahme.

Verwende lieber Threema oder Telegram, wenn du Zugänge wirklich nur über das Smartphone versenden musst.

Diese beiden Apps bauen wie TeamViewer eine Peer-To-Peer Verbindung zwischen den beiden Klienten auf.

Aber auch wie bei TeamViewer solltest du den Zugang oder das Passwort in einer verschlüsselten ZIP-Datei verpacken.

Versand eines Passworts über Social Media Plattformen

Tu es nicht.

Die sozialen Netzwerke sind nicht dazu geeignet, um Passwörter oder Zugänge sicher zu übertragen. Du solltest unter allen Umständen vermeiden sensible Daten über Facebook, Twitter oder andere an jemanden zu senden.

Hacker konnten bereits häufiger in soziale Netzwerke einfallen. Man kann niemals ausschließen, dass der eigene Account nicht gehackt werden könnte.

Und sobald sensible Daten im Profil hinterlegt wurden, kann der Angreifer diese natürlich ohne Probleme entnehmen.

Tipps und Tricks zum Versand von Passwörtern

Weitere Tipps zum Versand von Passwörtern

Neben der reinen Übertragung von Passwörtern gibt es noch andere Punkte auf die du achten solltest. Welche Punkte das genau sind, erkläre ich dir hier.

Kommentarlose Übertragung eines Passworts

Durch eine Kommentarlose Übertragung des Passworts oder eines Zugangs kannst du sicherstellen, dass ein Hacker nichts mit den Daten anfangen kann.

Das ist natürlich nur für den äußersten Fall gedacht, der aber trotzdem vorkommen könnte.

Mit "Kommentarlos" meine ich, dass weder ein Link zu der Plattform hinterlegt ist, noch irgendein Hinweis in den Dateien zu finden ist, der auf die Plattform hinweisen könnte.

Das bedeutet auch, dass in einem Passwort oder im Benutzernamen kein Hinweis austreten sollte. Also kein "MaxHuber@Twitter" oder ähnliches. Gleiches gilt für die Benennung der Dateien.

Erstelle im besten Fall generische Passwörter. Generische Passwörter kannst du gerne mit meinem Passwort-Generator erstellen.

Wie sollte der Empfänger mit einem Passwort umgehen?

Man sollte den Empfänger jedes Mal darauf hinweisen, dass die Daten vertraulich behandelt werden sollen. Egal, ob die Zugangsdaten dir oder dem Kunden gehören.

Dieser Hinweis ist wohl am besten in der Passwort-Datei aufgehoben.

Das dient nicht nur der Sicherheit des Empfängers, sondern auch deiner. Sollte dein Kunde seinen Zugang doch hergeben, bist du mehr vor einer Abmahnung des Kunden gesichert. Denn du hast ihn schriftlich und somit nachweislich auf einen sicheren Umgang des Zugangs hingewiesen.

Kleine Randnotiz: Solltest du für deinen Kunden einen Zugang erstellt haben, den nur er benötigt, empfehle ich dir keine Kopie auf deinem Rechner zu verwahren. Das ist zwar eine nette Geste, wenn der Kunde den Zugang verschlampt hat. Sollte der Zugang jedoch gehackt werden, kann dein Kunde dich verantwortlich machen, wenn nicht nachgewiesen werden kann wie der Zugang gehackt werden konnte.

Wie kann ich den Versand von Passwörtern ganz verhindern?

In vielen Fällen lässt sich der Versand eines Passworts nicht verhindern.

Wenn du zum Beispiel ein Angestellter bist und einen Informatiker deinen Zugang zu deinem Email-Postfach senden musst, damit er Einstellungen vornehmen kann, kommst du nicht daran vorbei, dein Passwort an ihn zu senden.

Die einzige Alternative, um eine verbindungslose Übertragung zu erhalten ist der postalische Versand des Zugangs. Das ist auch recht sicher, sofern die richtige Adresse des Empfängers angegeben ist.

Leider dauert der Versand per Post ca. 3 Tage innerhalb eines Landes. Diese Zeit möchten die meisten Kunden nicht warten.

Wie verschlüssele ich eine ZIP-Datei?

Meine erste Wahl für die Archivierung von ZIP-Dateien ist 7-Zip. Lade dir zunächst 7-Zip herunter, sofern du das Programm noch nicht auf deinem Rechner haben solltest.

Nachdem du das Programm auf deinem Rechner installiert hast, kannst du einen Rechtsklick auf deine Passwort-Datei (z.B. eine einfache Text-Datei) machen. Im Kontext-Menü findest du den Befehl "7-Zip > Zu einem Archiv hinzufügen ...".

7-Zip Kontextmenü

Die meisten Einstellungen kannst du belassen, wie sie sind. Achte darauf, dass du das Format "zip" gewählt hast, damit der Empfänger die Datei öffnen kann. Das Zip-Format unterstützen die meisten Rechner.

Rechts Unten im Fenster findest du eine Passwort-Eingabe. Bestätige das Passwort, nachdem du es eingegeben hast.

Lässt du diese Felder leer, ist kein Passwort gesetzt.

7-Zip Verschlüsselung

Klicke nun auf den Button "OK", um die Komprimierung mit Verschlüsselung zu starten. Da du nur eine einzelne Datei mit einem Passwort komprimierst, sollte das nicht lange dauern.

Bei größeren oder vielen Dateien dauert eine Komprimierung schon etwas länger.

Gibt es weitere Methoden, mit denen du ein Passwort sicher überträgst? Behalte deine Geheimnisse nicht für dich - Teile sie in den Kommentaren.

 

Codepalm
Passwörter sicher versenden