Die Gefahr der simplen PIN

Für viele Menschen ist der vierstellige PIN-Code die letzte Verteidigungslinie ihrer digitalen Identität. Ob Smartphone-Entsperrung, Bankautomat oder Online-Konto – dieser kurze Zahlenkombination soll Schutz bieten. Doch wie sicher ist sie wirklich?

Eine Analyse von 29 Millionen PINs hat erschreckende Ergebnisse zutage gefördert: Fast jeder zehnte Mensch nutzt denselben Code – 1234. Auch andere Kombinationen wie 0000, 1111 oder einfache wie 1212 sind auffällig oft vertreten. Diese Codes sind so vorhersehbar, dass sie kaum als Sicherheitsmaßnahme durchgehen.

Ein offenes Einfallstor für Kriminelle – und Ermittler

Die Gefahr liegt auf der Hand: Wer auf simple PINs setzt, macht es Angreifern leicht. Gerät ein Smartphone in die falschen Hände, reichen oft wenige Versuche, um die Sperre zu umgehen. Studien zeigen, dass man mit nur fünf Versuchen eine Trefferchance von 12,5 % hat – eine beunruhigend hohe Zahl.

Doch nicht nur Kriminelle profitieren von dieser Nachlässigkeit. Auch Strafverfolgungsbehörden setzen auf diese Erkenntnisse. Spezialsoftware wie GrayKey ist darauf ausgelegt, iPhones mit Brute-Force-Angriffen zu entsperren. Dabei werden nicht wahllos alle 10.000 möglichen Kombinationen durchprobiert – stattdessen beginnen solche Systeme gezielt mit den am häufigsten genutzten Codes. Wer also auf 1234 oder sein Geburtsjahr setzt, macht es Ermittlern unnötig einfach.

Warum Menschen schlechte PINs wählen

Dass so viele Menschen auf unsichere Codes setzen, liegt an vertrauten Denkmustern. Menschen neigen dazu, Muster zu erkennen und einfache, leicht merkbare Kombinationen zu wählen. Geburtstage, aufeinanderfolgende Zahlen oder Tastaturmuster wie 2580 (eine vertikale Linie auf dem Ziffernblock) sind bequem – aber eben auch vorhersehbar.

Ein weiteres Problem ist die Mehrfachverwendung. Viele Menschen nutzen dieselbe PIN für mehrere Geräte oder Konten. Ist sie einmal kompromittiert, öffnet sie Tür und Tor für weitere Angriffe.


Die Top20 der PIN-Codes

Eine Top20-Übersicht zeigt deutlich, dass viele Menschen immer wieder auf dieselben simplen Muster zurückgreifen. Wer eine sichere PIN will, sollte keine Zahlenfolgen, Wiederholungen oder Geburtsjahre verwenden:

RangPIN-CodeBeliebtheit (%)
1️⃣12349,0 %
2️⃣11111,6 %
3️⃣00001,1 %
4️⃣13420,6 %
5️⃣12120,4 %
6️⃣22220,3 %
7️⃣44440,3 %
8️⃣11220,3 %
9️⃣19860,3 %
🔟20200,3 %
1177770,3 %
1255550,3 %
1319890,3 %
1499990,2 %
1569690,2 %
1620040,2 %
1710100,2 %
1843210,2 %
1966660,2 %
2019840,2 %

Was Sie tun können

Die gute Nachricht: Es ist nie zu spät, schlechte Gewohnheiten zu ändern. Wählen Sie eine PIN, die nicht aus aufeinanderfolgenden oder wiederholten Zahlen besteht. Vermeiden Sie Geburtstage oder andere persönliche Daten, die leicht erraten werden können. Je zufälliger, desto besser.

Noch sicherer ist es, wenn Ihr Gerät eine sechsstellige PIN zulässt; oft wird empfohlen, eine biometrische Sperre wie Fingerabdruck oder Gesichtserkennung zu nutzen, das sehe ich aber kritisch, weil Ermittler hier Zwangsmittel haben können. Und vor allem: Ändern Sie Ihre PIN regelmäßig – denn bei Smartphones gilt dasselbe wie bei echten Schlössern: Je älter der Schlüssel, desto wahrscheinlicher, dass jemand ihn schon kennt.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Letzte Artikel von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht) (Alle anzeigen)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Ich bin zertifizierter Experte für Krisenkommunikation & Cybersecurity; zudem Autor sowohl in Fachzeitschriften als auch in einem renommierten StPO-Kommentar zum IT-Strafprozessrecht und zur EU-Staatsanwaltschaft. Ich bin Softwareentwickler, in Python zertifiziert und habe IT-Handbücher geschrieben.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.