Passwort Stealing: Gelegenheit macht Passwortdiebe!
Internetkriminalität nimmt inzwischen unglücklicherweise immer größere Ausmaße an.
Erschwerend kommt hinzu, dass eine Majorität aller erfolgreichen Internetangriffe auf schlechte Passwörter zurückzuführen ist. Dabei sind besagte Password Stealer immer häufiger das erste Mittel der Wahl vieler Internetkrimineller, um vertrauliche Informationen wie Passwörter abzugreifen. Dennoch können Unternehmen das Risiko sowie angriffsbedingte Schäden von Password Stealing minimieren, indem sie zusätzlich zu starken Passwörtern, eine leistungsstarke Passwort-Manager-Lösung sowie einen Authentifizierungsprozess mit mehreren Faktoren implementieren.
Die Internetkriminalität steigt von Jahr zu Jahr.
Neusten Studien nach sind 75% der Firmen deutschlandweit von Informationsdiebstahl, Industriespionage oder Zerstörung betroffen – und der Entwicklungsverlauf steigt.
Das Schlimme daran: Gemäß dem neusten „Data Breach Investigations Report 2020“ von Verizon sind 81 Prozent aller gelungenen Cyberattacken und Informationsskandale auf schlechte oder gestohlene Passwörter zurückzuführen.
Die feindliche Übernahme
Ein Blick auf die überwiegend genutzten Passwörter im Jahr 2020 zeigt: Schwache und unsichere Passwörter wie „123456“, „password“ und „abc123“ stehen in Deutschland weiterhin hoch im Kurs.
Aus diesem Grund ist es also keine Verwunderung, dass Passwörter nach wie vor ein beliebtes Einfallstor für Internetkriminelle sind, um unbemerkt in Netze einzudringen, IT-Systeme zu beeinflussen und vertrauliche Informationen zu stehlen oder zu verschlüsseln, um hinterher ein horrendes Lösegeld zu erpressen.
Beim Passwortdiebstahl vertrauen Internetkriminelle zusätzlich zu Brute-Force-Attacken immer häufiger auf bekannte Password Stealer oder Password Stealing Ware, kurz PSW. Hierbei handelt es sich um bösartige Schadsoftware, die speziell für das Abgreifen von sensiblen Informationen entwickelt wurde. Dabei nutzt die Malware verschiedene Methoden, um zielgerichtet sensible Informationen wie Benutzername, gespeicherte Passwörter, AutoFill-Formularinformationen oder auch Cookie-Informationen direkt aus dem Webbrowser abzugreifen, wenn diese von einem User eingetippt werden.
Mehr Durchblick im Kennwort-Dickicht!
Die Menge der von uns benutzten Passwörter wächst kontinuierlich.
Egal ob Online-Banking, Mail-Postfach, oder Cloud-Dienst – Heute verlangen fast alle Onlinedienste, aber auch eine Menge von Geschäftsapplikationen, eine gesonderte Anmeldung via Benutzername und Kennwort.
Parallel sollte das Kennwort aus Sicherheitsgründen:
- speziellen Anforderungen genügen und aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen
- in turnusmäßigen Intervallen modifiziert werden und
- vor allen Dingen nicht für verschiedene Dienste parallel benutzt werden.
Die Konsequenz: Früher oder später kommt es zu einer regelrechten Passwortflut.
Damit Firmen den Griff zu gewöhnlichen und unsicheren Methoden wie die wiederkehrende Nutzung eines einzigen Passwortes, Organisation der Zugangsdaten auf Post-it-Zetteln oder das automatische Speichern im Internetbrowser unterbinden können, empfiehlt sich die Zugangsdatenverwaltung anhand eines Passwort-Managers.
Passwort-Tresore sind Softwarelösungen, mit deren Hilfe Unternehmen Zugangsdaten in verschlüsselter Struktur abspeichern, verwalten und anwenden können. Gleichzeitig offerieren die überwiegende Zahl der Passwort-Manager eine Passwortgenerator-Funktionalität, um komplizierte und verlässliche Passwörter aus beliebig zusammengewürfelten Buchstaben, Ziffern und Sonderzeichen zu generieren.
Während die Datenbank des Passwort-Managers mit jedem neu hinzugefügten Zugangscode wächst, braucht der Anwender nichts weiter als ein Master-Passwort, um sich bei den diversen Diensten authentifizieren zu können.
Der positive Aspekt: Anstelle von vielen verschiedenen Passwörtern muss sich der Anwender nur noch das Master-Passwort einprägen. Dank der automatischen Codierung der Zugangsdaten und der Datenbank beschützen Passwort-Manager die Daten auch dann, wenn ein Angreifer Zugang auf ein System bekommen hat.
Dadurch stellen Passwort-Manager einen sehr wichtigen Grundpfeiler einer ganzheitlichen IT-Sicherheitsstrategie dar.
Multi-Faktor-Authentifizierung schafft einen noch stärkeren Schutz!
Entsprechend einer neusten Analyse von Kaspersky zufolge ist die Menge der Opfer von Passwort-Klau von beinahe 600.000 im ersten Halbjahr 2018 auf über 940.000 im Vergleichszeitraum 2019 angestiegen.
Obgleich starke und einmalige Passwörter einen besonders großen Schutzmechanismus sicherstellen und der Einsatz von Passwort-Managern bereits zu einer geeigneteren Passwortverwaltung führt, liefert eine Multi-Faktor-Authentifizierung, kurz MFA, wesentlich mehr Absicherung als die einfache Abfrage von Benutzername und Passwort.
Bei einer Multi-Faktor-Authentifizierung werden zwei oder mehrere separate Authentifizierungsfaktoren gebraucht, um die Echtheit eines Anwenders nachzuweisen. Dabei werden mindestens zwei der nachfolgenden Faktoren miteinander kombiniert:
- Faktor Wissen unter Zuhilfenahme von PIN, Kennwort, Benutzernamen, Antworten auf Sicherheitsfragen
- Faktor Besitz mithilfe von SecurID-Tokens, mTAN-Code, Handy, Kreditkarte
- Faktor Biometrie mithilfe von Fingerabdruck, Irismuster, Retinamuster, Venenmuster, Stimme
Zusätzlich zu den drei erwähnten Authentifizierungsfaktoren Wissen, Besitz und Biometrie können sogenannte risikobasierte Authentifizierungsfaktoren oder auch adaptive oder kontextbezogene Authentifizierungsfaktoren zur Anwendung kommen, wie zum Beispiel Aufenthaltsort, Zeitpunkt der Anmeldung oder Anmeldung über ein privates oder ein öffentliches Netzwerk.
Machen Sie Passwortdieben den Garaus!
Gegenwärtig verstreicht keine Woche ohne einen aufsehenerregenden Datenraub.
Unsichere Passwörter sowie eine mangelhafte IT-Sicherheitsumgebung begünstigen diese Entwicklung. Vor diesem Hintergrund wird empfohlen, mit guten Passwörtern sowie einer leistungsstarken Passwort-Manager-Lösung und einer Multi-Faktor-Authentifizierung Password Stealern einen Riegel vorzuschieben. Nicht zuletzt sind Betriebe gemäß Art. 24 EU-DSGVO dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, die den Schutz und die Absicherung personenbezogener Informationen sicherstellen.
Sie sind Endkunde: Möchten auch Sie einen leistungsstarken Passwort-Manager verwenden und/oder die Authentifizierungsprozesse in Ihrem Unternehmen optimieren und so Ihre Datensicherheit steigern? Sprechen Sie uns gerne an.
Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an ingo.luecker@itleague.de.
