Vom Laborrechner bis zum Laptop: wie sichere Passwörter die Uni schützen

IT-Security | Studierende

Hochschulen sind immer häufiger Ziele für Cyberangriffe. Passwortsicherheit ist daher mehr als eine Formalität. Sie dient dem Schutz der gesamten Institution. Hier kommen gute Passwortgewohnheiten, Passwort‑Manager und Multi-Faktor-Authentifizierung ins Spiel.

Illustration by Storyset

Warum starke Passwörter unverzichtbar sind

Cyberangriffe laufen heute vollautomatisch: Daher ist es wichtig, dass Passwörter nicht im Wörterbuch stehen und keinem erkennbaren Muster, etwa Geburtsdatum, folgen.

Ein Beispiel zeigt, wie trügerisch Sicherheit wirken kann: Sommer2026! sieht auf den ersten Blick sicher aus – Buchstaben, Zahlen, Sonderzeichen. In Wahrheit ist es ein Klassiker: ein gängiges Wort plus das aktuelle Jahr. Solche Muster sind Angreifer*innen längst bekannt. Ganz anders ein Passwort wie Sommer‑Frittate20:Teich!Akku24. Es ist lang, kombiniert mehrere unabhängige Wörter und nutzt Groß‑ und Kleinbuchstaben, Zahlen und Sonderzeichen. Noch sicherer sind rein zufällige Zeichenfolgen wie QvXr2pKZ!f7m3daN.

Deshalb gilt: Ein starkes Passwort ist zufällig, lang und nicht ableitbar etwa aus persönlichen Informationen.

Ebenso wichtig: Verwenden Sie ein Passwort nicht für mehrere Dienste. Das ist ein häufiger Fehler, der Angreifer*innen Tür und Tor öffnet, wie folgendes Szenario zeigt: Ein*e Nutzer*in registriert sich in einem Fitness‑Forum – bequem mit dem selben Passwort wie für den u:account. Monate später wird das Forum gehackt und alle Zugangsdaten landen in einer öffentlich einsehbaren Liste. Cyberkriminelle probieren diese Daten automatisiert bei großen Diensten oder Institutionen wie der Universität Wien aus – ein Angriff namens Credential Stuffing. Und tatsächlich: Sie gelangen in das Uni‑Postfach, lesen interne Nachrichten, laden Dokumente herunter und verschaffen sich womöglich Zugang zu weiteren Systemen. Aus einer ungewollten, aber harmlos wirkenden Veröffentlichung entsteht eine gefährliche Kettenreaktion.

Eine hohe Gefahr birgt auch das Abfangen von persönlichen Zugangsdaten via E-Mail: das Phishing. In Phishing-E-Mails werden Nutzer*innen dazu aufgefordert, sich auf verlinkten Webseiten und Online-Formularen anzumelden. Diese täuschen vor, eine legitime Webseite bzw. ein legitimes Formular zu sein. Auf den ZID-Webseiten erfahren Sie, wie Sie Phishing-E-Mails erkennen und richtig damit umgehen.

 

Testen Sie mit unserem Quiz, wie gut Sie sich mit Passwortsicherheit auskennen.

Zum Passwort-Quiz

 

Warum Passwort‑Manager hilfreich sind

Kaum jemand kann sich 30 oder mehr komplexe, einzigartige Passwörter merken – und das muss man auch nicht.

Ein Passwort‑Manager schafft hier Abhilfe. Er übernimmt gleich mehrere Funktionen:

  • erstellt starke, zufällige Passwörter
  • speichert sie sicher verschlüsselt
  • füllt automatisch Online‑Formulare aus
  • synchronisiert sie auf Wunsch auf mehreren Geräten

So lässt sich für jeden Dienst ein eigenes, komplexes Passwort verwenden – ohne Zettelwirtschaft oder Wiederverwendung. Für die IT bedeutet das weniger Supportaufwand und eine deutlich stabilere Sicherheitsbasis. Kurz: Ein Passwort-Manager stärkt die gesamte Sicherheitskette – und die ist nur so stark wie ihr schwächstes Glied.

Browser wie Chrome, Firefox, Edge oder Safari bieten eingebaute Passwort‑Manager, die Passwörter speichern und bei Bedarf automatisch ausfüllen. Sie sind bequem, kostenlos und plattformübergreifend nutzbar. Viele Browser generieren zudem sichere Passwörter, prüfen gespeicherte Logins auf Sicherheitsprobleme und synchronisieren Daten zwischen Geräten. Dienstliche Passwörter sollten jedoch nicht auf privaten Geräten synchronisiert werden, besonders wenn diese von mehreren Personen genutzt werden. 

Für den universitären Einsatz sind deshalb eigenständige Passwort‑Manager wie KeePass oder KeePassXC oft die bessere Wahl. Sie speichern Passwörter lokal oder auf einem sicheren Netzlaufwerk, bieten mehr Kontrolle und lassen sich auch für PINs, Recovery‑Keys oder andere vertrauliche Informationen nutzen. 

Zu den Vor- und Nachteilen von eingebauten und eigenständigen Passwort-Manager

 

Wie ein Passwort‑Manager funktioniert

Im Kern ist ein Passwort‑Manager ein verschlüsselter Datentresor. Er lässt sich nur mit einem einzigen Schlüssel – dem Hauptpasswort – öffnen. Dieses sollte besonders stark sein, denn es schützt alle anderen Zugangsdaten.

Der Ablauf ist einfach:

  1. Beim ersten Start wird ein verschlüsselter Datentresor angelegt.
  2. Das Hauptpasswort dient als Schlüssel, um ihn zu öffnen.
  3. Neue Passwörter werden automatisch generiert und gespeichert.
  4. Beim Login erkennt der Passwort-Manager die Webseite oder Anwendung und trägt die entsprechenden Zugangsdaten ein.
  5. Optional können die Daten verschlüsselt zwischen Geräten synchronisiert werden.

Das bedeutet: Selbst wenn jemand die Passwortdatei stiehlt, bleibt sie ohne das Hauptpasswort wertlos.

 

Im Video erfahren Sie, wie Sie ein sicheres Passwort erstellen und dieses schützen

Warum Multi-Faktor-Authentifizierung effektiv ist

Ein Passwort allein reicht oft nicht mehr aus. Es kann gestohlen, erraten oder durch Datenlecks öffentlich werden. Multi-Faktor-Authentifizierung (MFA) fügt eine zusätzliche Barriere hinzu, die selbst dann greift, wenn ein Passwort kompromittiert wurde. Für den Zugriff benötigt man 2 voneinander unabhängige Informationen – ein Passwort und einen zweiten Faktor. Das kann etwa ein generierter Einmal-Code über eine Handy-App sein. Ein*e Angreifer*in, der*die nur das Passwort besitzt, bleibt draußen – selbst wenn es korrekt eingegeben wird. Einige IT-Services der Universität Wien nutzen bereits MFA: Dazu zählen das VPN-Service und Microsoft 365.

 

Fazit 

  • Nutzen Sie für jeden Dienst ein eigenes, starkes Passwort – idealerweise generiert und verwaltet von einem Passwort‑Manager – oder nutzen Sie die Passwort-Tipps.
  • Aktivieren Sie, wo möglich, Multi-Faktor-Authentifizierung.
  • Ändern Sie Passwörter sofort, wenn ein Gerät verloren geht, ein Virus entdeckt wurde oder der Verdacht besteht, dass jemand eines Ihrer Passwörter kennt.
  • Über die Webseite Have I Been Pwned können Sie prüfen, ob für Ihre E-Mail-Adresse ein Sicherheitsvorfall (data breach) vorliegt.
  • Bleiben Sie auf dem Laufenden, wie Sie betrügerische E-Mails erkennen.

Noch mehr Tipps finden Sie auf den ZID-Webseiten IT sicher nutzen.

Verwandte Nachrichten

Zurück