Acht Zeichen wirkten einmal solide. Großbuchstabe, Zahl, Sonderzeichen. Fertig.
Diese Zeit ist vorbei. Zumindest nach Einschätzung von Cem Karakaya. Im Gespräch beschreibt er sehr klar, wie stark sich die Bewertung von Passwörtern verändert hat. Was vor einigen Jahren noch als ausreichend galt, kann heute erschreckend schwach sein. Nicht weil Menschen plötzlich fahrlässiger geworden wären, sondern weil Rechenleistung, Datenlecks und Angriffswerkzeuge besser geworden sind.
Digitale Sicherheit beginnt deshalb oft dort, wo niemand gern hinsieht: bei Passwörtern, Updates und Zwei-Faktor-Authentifizierung.
Länge schlägt Routine
Karakaya nennt eine einfache Größenordnung: Ein achtstelliges Passwort mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sei aus seiner Sicht heute nicht mehr sicher. Ein deutlich längeres Passwort verändert die Lage erheblich. Bei 13 oder 14 Zeichen wächst der Aufwand für Angreifer massiv.
Wichtig ist dabei nicht nur Komplexität, sondern Länge. Ein kryptischer Acht-Zeichen-Code kann schwächer sein als eine deutlich längere Passphrase. Entscheidend ist, dass Passwörter nicht wiederverwendet werden. Denn der praktische Schaden entsteht häufig nicht durch das Knacken eines einzelnen Passworts, sondern durch Datenlecks bei einem Anbieter und die anschließende Wiederverwendung desselben Passworts bei vielen anderen Diensten.
Was bedeutet das konkret? Wer überall dasselbe Passwort nutzt, koppelt seine Risiken. Ein Leck bei einer unbedeutenden Plattform kann dann plötzlich E-Mail, Shopping, Cloud, soziale Netzwerke oder Finanzzugänge berühren. Wer dagegen für jeden Dienst ein eigenes Passwort verwendet, begrenzt den Schaden. Das ist kein elegantes Thema. Aber es ist Vermögensschutz im Alltag.
Updates sind keine lästige Unterbrechung
Viele Nutzer verschieben Updates. Später. Morgen. Nach dem Termin. Nach der Reise. Karakaya ordnet Updates anders ein: Eine Aktualisierung schließt eine bekannte Lücke. Wird sie nicht installiert, bleibt diese Lücke offen.
Diese Erklärung ist einfach, aber wirkungsvoll. Updates sind nicht nur neue Funktionen oder kosmetische Änderungen. Häufig sind sie Reparaturen an bekannten Schwachstellen. Sobald eine Lücke öffentlich oder in Fachkreisen bekannt ist, können auch Täter gezielt danach suchen. Wer dann noch nicht aktualisiert hat, bleibt länger verwundbar.
Für wirtschaftlich gebildete Leser lässt sich das mit einem bekannten Prinzip vergleichen: Ein erkanntes Risiko, das ohne großen Aufwand reduziert werden kann, sollte nicht aus Bequemlichkeit im System bleiben. Im Depot würde man ein solches Klumpenrisiko zumindest prüfen. Beim Smartphone oder Computer wird es oft ignoriert.
Doch genau hier liegt ein Missverhältnis. Der digitale Zugang ist inzwischen häufig der Zugang zum Vermögen. Banking, Depotkommunikation, Steuerunterlagen, E-Mail-Postfächer, Vollmachten, Rechnungen, Identitätsdaten. Wer diese Infrastruktur vernachlässigt, behandelt einen zentralen Teil seines privaten Risikomanagements nebenbei.
Zwei Faktoren verändern die Spielregeln
Karakaya sieht Zwei-Faktor-Authentifizierung als Mindeststandard. Ein Passwort allein genügt ihm nicht. Der zweite Faktor kann eine App, ein Hardwaregerät, eine SMS oder ein anderes Verfahren sein. Seine persönliche Präferenz liegt bei möglichst getrennten oder auch offline verfügbaren Lösungen. Zugleich macht er deutlich, dass die konkrete Umsetzung vom Anbieter abhängt.
Hier sollte man nicht so tun, als gäbe es eine perfekte Lösung für alle. SMS kann Vorteile haben, etwa durch die Bindung an einen regulierten Telefonanbieter. Authenticator-Apps sind verbreitet. Hardwarelösungen können zusätzliche Trennung schaffen. Jede Variante hat eigene Stärken und Schwächen.
Entscheidend ist: Ein zweiter Faktor verhindert, dass ein gestohlenes Passwort allein genügt. Er macht Betrug nicht unmöglich, aber schwieriger. Und Sicherheit besteht selten aus einer einzigen perfekten Maßnahme. Sie besteht aus Schichten.
Für Anleger ist diese Denkweise vertraut. Man diversifiziert nicht, weil jede Anlage einzeln risikolos wäre, sondern weil mehrere voneinander unabhängige Schutzmechanismen das Gesamtrisiko verändern. In der digitalen Sicherheit gilt etwas Ähnliches. Unterschiedliche Passwörter, Updates, Gerätehygiene und Zwei-Faktor-Authentifizierung ersetzen einander nicht. Sie ergänzen sich.
Bequemlichkeit ist der eigentliche Gegner
Karakaya bringt es im Gespräch zugespitzt auf zwei Ursachen: menschliche Faulheit oder Unwissenheit über Gefahren. Das klingt hart. Aber es trifft einen wunden Punkt. Viele Menschen wissen inzwischen, dass Passwörter wichtig sind. Sie wissen, dass Updates sinnvoll sind. Sie wissen, dass verdächtige Links problematisch sein können. Und doch bleibt es im Alltag liegen. Nicht aus Dummheit. Sondern weil digitale Sicherheit selten dringend wirkt, bis sie dringend wird.
Das ist bei finanziellen Risiken ähnlich. Solange Märkte steigen, wirken Risikogespräche abstrakt. Solange kein Betrugsversuch stattfindet, wirken Schutzmaßnahmen pedantisch. Erst der Vorfall verändert die Wahrnehmung. Dann aber ist der Handlungsspielraum kleiner.
Ein ruhiger Umgang mit digitaler Sicherheit bedeutet deshalb nicht, sich von Angst treiben zu lassen. Es bedeutet, Routinen zu schaffen, die nicht jedes Mal neu verhandelt werden müssen. Das gilt für private Haushalte ebenso wie für Unternehmerfamilien, Freiberufler oder Anleger mit komplexeren Vermögensstrukturen.
Sicherheit bleibt eine laufende Aufgabe
Karakaya betont, dass es keine hundertprozentige Sicherheit gibt. Auch für Experten nicht. Diese Aussage ist wichtig, weil sie falsche Versprechen vermeidet. Wer absolute Sicherheit erwartet, wird entweder enttäuscht oder anfällig für Produkte, die zu viel versprechen.
Realistischer ist ein anderer Anspruch: den Schaden unwahrscheinlicher machen, Angriffe erschweren, Folgen begrenzen. Das ist weniger spektakulär als die Vorstellung einer perfekten digitalen Festung. Aber es ist näher an der Wirklichkeit.
Vielleicht ist digitale Sicherheit deshalb für Privatanleger ein Thema, das künftig stärker neben Steuern, Nachfolge und Vermögensstruktur gehört. Nicht als Panikfeld. Sondern als nüchterner Bestandteil privater Resilienz.
Denn das Vermögen liegt längst nicht mehr nur im Depot. Der Zugang dazu liegt in Geräten, Passwörtern, E-Mail-Konten und Routinen. Und diese Routinen entscheiden immer häufiger darüber, ob aus einem digitalen Fehler ein finanzieller Schaden wird.
