Kurzworkshop

Passwortmanager und
Generelle IT-Security-Tipps


Zentrum für Lehren und Lernen

HAW Hamburg

Niels Gandraß



2026-01-13

Passwörter und Passwortmanager

Wie man dem digitalen Zoo an Passwörtern wieder Herr:in wird

Was ist ein sicheres Passwort?

  1. Viel zu lang
  2. Hat viele tolle Sonderzeichen
    • Bonuspunkt für Umlaute
    • Großes ẞ zählt doppelt!
    • Schonmal ein Emoji im Passwort probiert? 😎
  3. Besitzt mehr Ziffern als \( ~\pi \)
  4. Ist absolut unmöglich zu merken ...

Aber es gibt doch Abhilfe!

... schwer zu erratende aber leicht zu merkende Passwörter sind möglich ...


xkcd #936

Perfekt - Wir haben eine Lösung für sichere und leicht zu merkende Passwörter!

Perfekt - Wir haben eine Lösung für sichere und leicht zu merkende Passwörter!

Nun benötigen wir nur noch für jede Website ein eigenes sicheres Passwort :)

Perfekt - Wir haben eine Lösung für sichere und leicht zu merkende Passwörter!

für jede Website ein eigenes sicheres Passwort

Perfekt - Wir haben eine Lösung für sichere und leicht zu merkende Passwörter!

FÜR JEDE WEBSITE?!

... und bitte alle im Kopf behalten ;)

Passwortmanager

  • Lösen das Problem sich viele sicherer Passwörter korrekt zu merken
    • ... und generieren einem auch direkt welche!
  • Ermöglichen einen Überblick wo man überall Nutzerkonten hat
  • Bieten viele Erleichterungen im Alltag (z.B. Auto-Fill)
  • Sind kryptographisch hervorragend abgesichert
  • Solide OpenSource-Lösungen halten problemlos mit kommerziellen Anbietern mit
    • ... und das ganz ohne Tracking und Kosten :)


Vergleich von Passwort-Managern vom BSI (Stand: 09.12.2025):
Passwortmanager im Test: IT-Sicherheit und Datenschutz im Fokus

KeePassXC

Nutzerfreundlicher Open-Source Passwortmanager (Win, Mac, Linux)


Web: https://keepassxc.org/

KeePass auf dem Smartphone

Es gibt ebenfalls Apps für Android und iOS


Keepass2Android 		 
KeePassium

Live-Demo

Features und Integration von KeePassXC im Alltag

Multi-Faktor-Authentisierung

Der unverzichtbare Usability-Feind

MFA: Warum tun wir uns das eigentlich an?

Passwörter können erraten werden oder "verloren" gehen.

Weitere Faktoren schützen uns vor Missbrauch durch externe Dritte!

MFA, 2FA, OTP, TOTP, HOTP, HSM, ... wie bitte?

Multi-Faktor-Authentisierung (MFA) bedeutet, dass weitere Faktoren für eine erfolgreiche Authentifizierung notwendig sind. Die Zwei-Faktor-Authentisierung (2FA) beschränkt sich auf einen zweiten Faktor.


In unseren Fällen geht es fast immer um 2FA mit rotierende Zahlencodes (TOTP). Diese basieren auf einem geteilten Geheimnisses ("Secret Key") der häufig einmalig als QR-Code eingelesen wird.

Welche Möglichkeiten gibt es für 2FA per TOTP?

Welche Möglichkeiten gibt es für 2FA per TOTP?

Hinterlegung im Passwortmanager

Das TOTP Geheimnis wird direkt im Passwortmanager hinterlegt


Vorteile Nachteile
  • Alles gesammelt an einem Ort
  • Beste Usability
  • Native Integration (Auto-Fill)
  • Schützt effektiv vor externen Angreifern
    und bei Passwort-Leaks
  • Alles gesammelt an einem Ort
  • Wird effektiv zu "\(1\frac{1}{2}\) Faktoren"
  • Schützt nicht bei kompromittierten Endgeräten

Welche Möglichkeiten gibt es für 2FA per TOTP?

Nutzung einer Authenticator App

Zum Beispiel: Aegis (FOSS), Google Authenticator oder Microsoft Authenticator


Vorteile Nachteile
  • Zweiter Faktor nicht mehr direkt neben Passwörtern abgelegt
  • Echte 2FA durch unabhängiges Gerät
    • Solange nur ein Gerät kompromittiert wird ist kein Zugriff auf die Konten möglich
  • Die beste Lösung für alltägliche Anwendungsfälle
  • Weicht zu "\(1\frac{3}{4}\) Faktoren" auf, sobald die Passwort-Datenbank auf dem Smartphone verwendet wird
    • Willkommen in der Hölle der Banking-Apps 🔥
  • Authenticator App muss zusätzlich gegen Datenverlust gesichert werden (Backup)

Welche Möglichkeiten gibt es für 2FA per TOTP?

Externes Gerät / Hardware Token

Für besonders wichtige / zentrale Zugänge (z.B. wenn Studierendendaten betroffen sind)


Vorteile Nachteile
  • Extern unerreichbarer zweiter Faktor
    • Kann nicht übers Internet kompromittiert werden ♥️
  • Prüft nicht nur "Wissen" sondern auch "Besitz"
  • Die einzige Lösung für besonders
    sicherheitsrelevante Anwendungsfälle
  • Extra Gerät notwendig
  • Usability eher bescheiden
  • Teilweise kompliziert zu konfigurieren
  • Backup nur über zweites Gerät möglich

Die Allround-Empfehlung:
Zwei-Faktor-Authentisierung (2FA) per Authenticator App



Aegis (FOSS)
Google Authenticator
Microsoft Authenticator

Die genannten Apps unterstützen die Hinterlegung mehrerer Dienste.
Bitte installiert euch nicht für jeden Anbieter eine eigene App!

Sicherheitstipps im Browser

Einfache aber effektive Maßnahmen für mehr Sicherheit im Browser

Auf sicherer HTTPS-Verbindung achten


Schützt vor "Mithörern" zwischen eurem Computer und dem Server.
Ohne diese Verschlüsselung können eure Daten im Klartext auf dem Transportweg (z.B. im selben WLAN) mitgelesen werden!

Lesezeichen für wichtige Websites anlegen statt verdächtige Links klicken


Verhindert die Nutzung gefälschter URLs. Niemals Links aus verdächtigen Mails öffnen. Stattdessen über den Browser direkt auf die Website navigieren und dort den Sachstand prüfen!

Auch von Suchmaschinen gelistete Links sollten dank Positionierungsmöglichkeiten (z.B. Google Ad-Sense) kritisch geprüft werden!

Beispiel: Maleware-Werbung über die Google Suche


Verwendung des KeePassXC Browser Addons

Bietet nicht nur praktisches Auto-Fill sondern auch prüft direkt die URL der Website!

Verhindert die versehentliche Eingabe von Zugangsdaten auf betrügerischen Website-Kopien


Für Firefox, Chrome, Edge: https://keepassxc.org/download/#browser

Ad-Blocker nutzen!

Diese Browser-Addons sorgen nicht nur für ein angenehmeres Internet-Erlebnis sondern schützen auch vor betrügerischen Anzeigen ("Malvertising")


Für Firefox, Chrome, Edge, Opera: https://ublockorigin.com/


Bonustip Javscript-Blocker: Super effektiv aber echt anstrengend zu benutzen ...

Beispiel: Jetzt ein Tiramisu 😋

Werbung ist nicht nur nervig sondern kann auch gefährlich sein!

Beispiel: Fake-Captchas

Browser-Empfehlung

Welchen Browser soll ich denn nun nutzen?



Mozilla Firefox

Für den alltäglichen Gebrauch
LibreWolf

Für die besonders engagierten

Bonustip: Tracking verringern für mehr Privatsphäre im Browser

Stellt euren Browser so ein, dass beim Start sämtliche Cookies gelöscht werden. Damit die Usability nicht zu sehr leidet können Cookies einzelner Websites behalten werden (z.B. E-Mail Login, SSO / IDM, ...)


Das Browser-Addon "Privacy Badger" von der EFF blockiert bekannte Tracker ganz automatisch
https://privacybadger.org/

Was tun wenn doch mal etwas passiert?

Falschen Link geklickt, komischen E-Mail Anhang geöffnet oder "Mein Computer tut komische Dinge"?

1. Fehler eingestehen und Probleme anerkennen

Jedem Menschen passieren Fehler. Ob bewusst oder unbewusst. Selbst den Profis :)


Es ist nichts schlimmer als sich in Problemfällen dafür zu schämen den falschen Link geklickt oder den falschen Anhang geöffnet zu haben. Gerade in der IT sorgt das Ignorieren solcher Probleme häufig für eine Verschlimmerung!

2. Sofortmaßnahmen ergreifen

Ein paar Dinge helfen stets den Schaden einzudämmen und weitere Probleme zu verhindern.


  1. Verdächtige E-Mails und Co. nicht löschen (Nachvollziehbarkeit / "Gutprüfung")
    • Wenn ein Anhang geöffnet oder ein Programm ausgeführt wurde ist es eh zu spät
  2. Verdächtige Fenster und Programme schließen
  3. Auf dem Gerät nicht mehr in neue Dienste einloggen
  4. Gerät vom Netzwerk trennen
  5. Gerät herunterfahren
  6. Wenn betroffen: Kritische Zugänge direkt sperren lassen (z.B. Online-Banking)

3. Hilfe suchen

Fragt den IT-Menschen in eurem Umfeld um Rat


Im Normalfall sind IT-Menschen sehr dankbar wenn Nutzende aktiv zu solchen Problemen und Sicherheitsbedenken nachfragen! Seid ihr euch bei einer E-Mail unsicher fragt euren IT-Menschen gerne im Vorfeld.

4. Nachbereitung

Gemeinsam mit der IT prüfen


  • Lag überhaupt eine Kompromittierung vor?
    • Falls ja: Wechsel aller prinzipiell betroffenen Passwörter und Zugänge
  • Welche Daten sind betroffen?
    • Bei dem Verdacht des Datenabflusses ist eine Meldung beim IT-Sicherheitsbeauftragten und Datenschutzbeauftragten der Hochschule notwendig. Das ist nicht schlimm aber zwingend notwendig!


Wenn vorhanden: Rücksetzung auf vorheriges Backup zum Ausschluss weiterer Kompromittierung

-> Backups gerne in einem weiteren Termin
Ihr habt ja hoffentlich alle welche ... ;)

Bonustip: Herausfinden wenn man von Daten- / Passwort-Leaks betroffen ist

Sammlung von öffentlichen Daten-Leaks mit Prüf- und Benachrichtungsfunktion


https://haveibeenpwned.com/

Bonustip: Herausfinden wenn man von Daten- / Passwort-Leaks betroffen ist

Q&A Session

Noch nicht erschlagen? Dann gerne fragen!