Passwort Stealing: Gelegenheit macht Passwortdiebe!
Internetkriminalität nimmt mittlerweile unglücklicherweise immer größere Ausmaße an.
Erschwerend kommt dazu, dass ein Hauptteil aller gelungenen Internetangriffe auf schwache Passwörter begründbar ist. Hierbei sind sogenannte Password Stealer immer häufiger das erste Mittel der Wahl vieler Internetkrimineller, um sensible Informationen wie Passwörter abzugreifen. Dennoch können Betriebe die Gefahr sowie angriffsbedingte Folgeschäden von Password Stealing reduzieren, indem sie abgesehen von starken Passwörtern, eine starke Passwort-Manager-Lösung und einen Authentifizierungsprozess mit mehreren Faktoren umsetzen.
Die Internetkriminalität steigt jährlich.
Neusten Studien nach sind 75% der Betriebe in Deutschland von Datendiebstahl, Industriespionage oder Zerstörung betroffen – und der Entwicklungsverlauf steigt.
Das Schlimme daran: Zufolge dem jüngsten „Data Breach Investigations Report 2020“ von Verizon sind 81 Prozent aller erfolgreichen Internetangriffe und Datenskandale auf unsichere oder gestohlene Passwörter begründbar.
Mit einem Kinderspiel – das Passwort geklaut!
Ein Augenmerk auf die meist eingesetzten Passwörter im Jahr 2020 verdeutlicht: Schwache und unsichere Passwörter wie „123456“, „password“ und „abc123“ sind in Deutschland immer noch hoch im Kurs.
Aufgrund dessen ist es also keine Verwunderung, dass Passwörter nach wie vor ein gefragtes Einfallstor für Internetkriminelle sind, um versteckt in Netze einzudringen, IT-Systeme zu manipulieren und vertrauliche Informationen zu entwenden oder zu verschlüsseln, um später ein horrendes Lösegeld zu erpressen.
Bei einem Passwortdiebstahl vertrauen Internetkriminelle zusätzlich zu Brute-Force Attacken immer mehr auf bekannte Password Stealer oder Password Stealing Ware, kurz PSW. Hier handelt es sich um bösartige Schadsoftware, die besonders für das Abgreifen von vertraulichen Informationen entwickelt wurde. Hierbei nutzt die Schadsoftware diverse Ansätze, um zielgerichtet sensible Informationen wie Benutzername, gespeicherte Zugangsdaten, AutoFill-Formularinfomationen oder auch Cookie-Informationen direkt aus dem Internetbrowser abzugreifen, sobald diese von einem Anwender eingetippt werden.
Besserer Durchblick im Passwort-Dickicht!
Die Zahl der von uns benutzten Passwörter steigt stetig.
Ganz gleich ob Internet-Banking, Mail-Postfach, oder Cloud-Dienst – Heutzutage verlangen annähernd alle Onlinedienste, allerdings auch eine Vielzahl von Geschäftsanwendungen, eine gesonderte Anmeldung durch Benutzername und Passwort.
Zeitgleich sollte das Passwort aus Sicherheitsgründen:
• speziellen Anforderungen gerecht werden und aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen
• in regelmäßigen Intervallen angepasst werden und
• vor allen Dingen nicht für diverse Dienste parallel genutzt werden.
Die Konsequenz: Irgendwann kommt es zu einer regelrechten Passwortflut.
Damit Firmen den Griff zu klassischen und unsicheren Herangehensweisen wie die Mehrfachnutzung eines einzigen Passwortes, Verwaltung der Passwörter auf Post-it-Zetteln oder das automatische Speichern im Internetbrowser unterbinden können, empfiehlt sich die Zugangsdatenverwaltung mittels eines Passwort-Managers.
Passwort-Tresore sind Softwarelösungen, mit deren Hilfe Firmen Zugangsdaten in codierter Struktur speichern, organisieren und benutzen können. Gleichzeitig offerieren die meisten Passwort-Manager eine Passwortgenerator-Funktionalität, um komplexe und verlässliche Passwörter aus zufällig zusammengewürfelten Buchstaben, Zahlen und Sonderzeichen zu erstellen.
Während die Datenbank des Passwort-Managers mit jedem neu hinzugefügten Zugangscode wächst, benötigt der User einzig und allein ein Master-Passwort, um sich bei den unterschiedlichen Lösungen anmelden zu können.
Der Nutzen: Anstelle von etlich verschiedenen Passwörtern muss sich der Anwender nur noch das Master-Passwort einprägen. Dank der automatischen Verschlüsselung der Passwörter und der Datenbank schützen Passwort-Manager die Daten auch dann, wenn ein Eindringling Zugang auf ein System erlangt hat.
Dadurch stellen Passwort-Manager einen wichtigen Grundpfeiler einer ganzheitlichen IT-Sicherheitsstrategie dar.
Multi-Faktor-Authentifizierung beinhaltet einen noch stärkeren Schutz!
Entsprechend einer neusten Auswertung von Kaspersky zufolge ist die Anzahl der Opfer von Passwort-Diebstahl von nahezu 600.000 im ersten Halbjahr 2018 auf über 940.000 im Vergleichszeitraum 2019 angestiegen.
Obgleich starke und einzigartige Passwörter einen besonders großen Schutz gewährleisten und der Einsatz von Passwort-Managern schon zu einer optimierten Passwortverwaltung führt, schafft eine Multi-Faktor-Authentifizierung, kurz MFA, deutlich mehr Sicherheit als die simple Abfrage von Benutzername und Kennwort.
Bei einer Multi-Faktor-Authentifizierung werden zwei oder mehrere separate Authentifizierungsfaktoren benötigt, um die Identität eines Users nachzuweisen. Dabei werden mindestens zwei der nachfolgenden Faktoren miteinander kombiniert:
• Faktor Wissen unter Zuhilfenahme von PIN, Kennwort, Benutzernamen, Antworten auf Sicherheitsfragen
• Faktor Besitz unter Zuhilfenahme von SecurID-Tokens, mTAN-Code, Handy, Kreditkarte
• Faktor Biometrie mittels Fingerabdruck, Irismuster, Retinamuster, Venenmuster, Stimme
Zusätzlich zu den drei genannten Authentifizierungsfaktoren Wissen, Besitz und Biometrie können sogenannte risikobasierte Authentifizierungsfaktoren oder auch adaptive oder kontextbezogene Authentifizierungsfaktoren zur Anwendung kommen wie zum Beispiel Standort, Zeitpunkt der Anmeldung oder Anmeldung über ein privates oder ein öffentliches Netz.
Geben Sie Passwortdieben keine Chance!
Gegenwärtig verstreicht keine Woche ohne einen spektakulären Datenraub.
Unsichere Passwörter und eine mangelhafte IT- Sicherheitsumgebung fördern diese Entwicklung. Vor diesem Hintergrund wird empfohlen mit guten Passwörtern sowie einer leistungsstarken Passwort-Manager-Lösung und einer Multi-Faktor-Authentifizierung Password Stealern einen Riegel vorzuschieben. Nicht zuletzt sind Unternehmen gemäß Art. 24 EU-DSGVO dazu in der Verpflichtung, geeignete technische und organisatorische Maßnahmen zu ergreifen, die den Schutz und die Absicherung personenbezogener Informationen sicherstellen.
Möchten auch Sie einen leistungsstarken Passwort-Manager einsetzen und/oder die Authentifizierungsprozesse in Ihrem Betrieb verbessern und so Ihre Datensicherheit steigern? Sprechen Sie uns gerne an.