„Black Hat“ (schwarzer Hut) und „White Hat“ (weißer Hut) sind ursprünglich Begriffe aus der Zeit, als Western noch in Schwarz-Weiß gedreht wurden und man anhand der Hüte leicht „böse“ Cowboys von „guten“ unterscheiden konnte. Heute teilt man mit diesen Bezeichnungen Hacker ein in jene, die aus ideologischen Beweggründen, zum Zwecke der Spionage oder zum persönlichen finanziellen Wohle in Computer-Systeme eindringen, und in solche, die die Sicherheit testen und Angriffe verhindern wollen. Wie Umfragen zeigen, ist dem normalen Computer-Nutzer durchaus bewusst, dass die Wahl seiner Passwörter für den eigenen Rechner und die verschiedenen Accounts eine Schlüsselstellung bei der Sicherheit seiner Daten einnimmt. Leider aber liegt zwischen „Weiß ich schon“ und „Mach‘ ich auch“ der breite, tiefe Graben der Alltagstauglichkeit bzw. Bequemlichkeit.
Daher war es Herrn Christian Jaschke, einem unserer Schülerväter, ein besonderes Anliegen, die Folgen schwacher Passwörter anschaulich vorzuführen. Am Montag, dem 4.5.2026, luden Elternbeirat und Direktorat zu seinem Vortrag zur „Cyber-Sicherheit“ ein. Nach einer kurzen Einleitung mit kleinen Umfragen innerhalb des Publikums, die ein ähnliches Ergebnis zeigten wie die oben erwähnten, erklärte uns Herr Jaschke, dass die von uns eingegebenen Passwörter nicht im Klartext gespeichert, sondern verschlüsselt (bei der Eingabe an einem kleinen Schloss erkennbar) übermittelt werden, so dass statt eines Passworts beliebiger Länge ein Zeichensatz gespeichert wird, dessen Länge nicht vom Passwort abhängt, sondern vom verwendeten Verschlüsselungsprogramm vorgegeben ist. Derartige, „Hash“ genannte (von engl. „to hash“ = „zerhacken“), Verschlüsselungsprogramme werden seit Beginn der 1990er entwickelt. Die ältesten, „MD5 — Hash“ und „SHA 1 — Hash“, erfüllen heutzutage ihre eigenen Anforderungen nicht mehr und sollten daher auch nicht mehr verwendet werden (worauf der Normal-User i. A. keinen Einfluss hat).
Es gibt zwar keine Möglichkeit, vom gespeicherten Zeichensatz zum verwendeten Passwort zurückzurechnen. Wie dennoch das verwendete Passwort „erraten“ werden kann, führte uns Herr Jaschke mit Hilfe eines Simulationsprogramms am fiktiven Fall einer Firma vor: Diese musste die Passwörter für ihr System zurücksetzen und die Mitarbeiter mussten sich mit einem vorgegebenen 8-stelligen Initial-Passwort einloggen und anschließend ein neues Passwort wählen. Nach einiger Zeit gelangten Hacker an die Liste der durch das Hash-Programm erzeugten Zeichensätze. Dabei fielen 3 gleiche Zeichensätze auf. Diese können (bei verschiedenen Personen) eigentlich nur vom damals ausgegebenen Initial-Passwort stammen, das offenbar noch nicht verwendet und durch jeweils ein individuelles Passwort ersetzt worden war. Nun greift ein entsprechendes Hacker-Programm auf seine Bibliothek aller ihm bekannten Passwörter zurück und verschlüsselt alle diese Passwörter mit dem Hash-Programm, bis der Zeichensatz entsteht, der mit den 3 gleichen Zeichensätzen identisch ist. Das von Herrn Jaschke mitgebrachte Simulations-Programm benötigte für diesen Vorgang ca. 1 s (!!). Damit ist das Passwort gefunden und die Hacker können ins System eindringen und anfangen, horizontal (Suche nach Konten gleicher Berechtigung) und vertikal (Suche nach Konten mit höherer Berechtigungs-Stufe) ihre Rechte auszuweiten.
Gegen diese Hacker-Angriffe helfen nur Passwörter, die keine bekannten Wörter (z. B. Namen) sind, sondern „wilde“ Zeichensätze von mindestens 14 Zeichen, die die inzwischen weit verbreiteten Forderungen erfüllen: jeweils mindestens 1 Großbuchstabe, 1 Klein-Buchstabe, 1 Ziffer, 1 Sonderzeichen. Bei der Wahl der Sonderzeichen sollte man nicht zu kreativ sein, da international nicht alle Tastaturen und Systeme alle Sonderzeichen erlauben und zur Hacker-Erschwernis die wenigen Standard-Sonderzeichen durchaus genügen. Herr Jaschke zeigte uns an einer Tabelle, dass die Rechenzeit zum „Erraten“ so konstruierter, entsprechend langer Passwörter schnell in die Jahrhunderte (!) geht, so dass es sich für die Hacker nicht mehr lohnt. Dagegen hat sich ein regelmäßiges Ändern der Passwörter nicht bewährt: Die Passwörter werden dadurch nicht besser.
Da aber jedes Passwort nur einmal verwendet werden soll, stellt sich schnell die Frage, wie man sich all diese Passwörter merken soll. Herr Jaschke empfahl käuflich erwerbbare Schlüsselsticks (zur Sicherheit in mehrfacher Ausfertigung an verschiedenen Orten) oder (meist kostenlose) Passwort-Manager. Letztere sollten auf jeden Fall Open-Source-Programme sein, da Closed-Source-Programme, die meist von Firmen vertrieben werden, die Gefahr bergen, dass bei einem Verschwinden der Firma auch der Zugriff auf die Passwörter entschwindet ...
Eine zusätzliche Sicherheit beim Zugang zu Internet-Accounts bieten Mehr-Faktoren-Sicherungen (Passwort, Chipkarte o.ä., Biometrie).
Zahlreiche Nachfragen während und nach dem Vortrag zeigten den großen Informations-Bedarf in punkto „Cyber-Sicherheit“. Nach ca. 1 ½ Stunden dankte OStD Pfeifenberger Herrn Jaschke für seine sehr interessanten und eindrucksvollen Ausführungen.

(Bericht und Fotos: W. Bischoff)