Der berufliche Alltag findet zunehmend Online statt. Daten werden in der Cloud gespeichert, Recherche und Käufe auf Webseiten getätigt und die Kommunikation unter Kollegen und Kolleginnen via E-Mail, WhatsApp oder per Videokonferenz geführt.
Bei all diesen Vorgängen werden große Mengen sensibler Daten anderen Unternehmen und deren IT-Software anvertraut. Dabei hängt die Sicherheit der Daten allzu oft nur von der Wahl des Passwortes ab.
Gerade weil das Passwort häufig die einzige Hürde zwischen sensiblen Daten, Informationen und personenbezogenen Angaben darstellt, zielen viele Malware- und Phishing-Attacken genau darauf ab.
So sind im Januar 2019 im Rahmen der sog. „Collection #1-5“ über zwei Milliarden E-Mail-Adressen inklusive Passwörter veröffentlicht worden. Die Daten stammen aus bis dahin teils bekannten und teils unbekannten Leaks.
Es ist deshalb von großer Bedeutung, dass jede einzelne Person in einem Unternehmen sich mit dem Thema Passwortsicherheit auseinandersetzt.
Leaks entstehen entweder durch Datenschutzpannen oder groß angelegte Hacker-Angriffe. In den meisten Fällen zielen die Angriffe von Cyber-Kriminellen darauf ab, eine möglichst große Menge an Daten abzugreifen, um sie gewinnbringend weiter zu verkaufen oder um einen direkten Zugriff auf Bankkonten, die Kommunikation oder Identitäten Ihrer Opfer zu erhalten. Ca. 80 Prozent aller Hackerangriffe stehen nachweislich im Zusammenhang mit gestohlenen oder unsicheren Passwörtern.
Aufgrund dessen sollten Sie alle Passwörter, die jemals von einer Datenschutzpanne betroffen waren, automatisch als gefährdet angesehen und ändern lassen.
Zum Entschlüsseln von Passwörtern nutzen viele Hacker Spezial-Hardware. Zudem werden verschiedene weitere Methoden angewandt:
Im Falle eines Brute-Force-Angriffs kommt eine Software zum Einsatz, die nacheinander alle möglichen Kombinationen aus Buchstaben, Zahlen und Sonderzeichen einsetzt. Diese Methode führt zwangsläufig irgendwann zum Ziel, ist jedoch ziemlich zeitaufwendig.
Gerade weil viele Nutzer und Nutzerinnen nach wie vor echte Wörter als Passwörter verwenden, verzeichnet auch die Wörterbuch-Methode eine hohe Treffsicherheit. Hierbei probiert die entsprechende Software jedes Wort im Wörterbuch aus.
Es gibt Listen mit den am häufigsten verwendeten Passwörtern. Im deutschsprachigen Raum befinden sich nach wie vor Passwörter wie “123456” oder auch “passwort” auf diesen Listen. Für Software-Programme ist es deshalb ziemlich einfach, Angriffe durchzuführen und alle entsprechenden Passwörter zu entschlüsseln.
Hybridangriffe sind eine Kombination aus den bereits erwähnten Methoden. Sie versuchen durch Variationen aus Wörtern und häufig verwendeten Passwörtern, die menschliche Erstellungsstrategie eines “sicheren Passworts” zu imitieren.
Das Erstellen von starken Passwörtern ermöglicht eine höhere Passwortsicherheit. Starke Passwörter sind lang und enthalten:
Besonders leicht zu entschlüsseln sind Passwörter, die sich ein Nutzer oder eine Nutzerin selbst ausgedacht hat – die also nicht einem software-gesteuerten Zufallsgenerator entsprungen sind. Denn gerade diese werden besonders schnell durch Wörterbuch-Angriffe oder die Eingabe von besonders häufig verwendeten Passwörtern geknackt.
Achtung: Sog. Online-Passwort-Checks sind niemals eine gute Idee. Es sollte kein potentielles Passwort zum Test auf anderen Webseiten oder in Suchmaschinen eingegeben werden.
Viele Webseiten suggerieren, dass ein sicheres Passwort lediglich aus acht Buchstaben und Zeichen bestehen muss, um einen Account ausreichend abzusichern. Dabei bietet ein einzelnes Passwort nicht genügend Sicherheit für den Schutz sensibler Daten. Eine Zwei- oder Multi-Faktor-Authentifizierung stellt das Mindestmaß zur ausreichenden Absicherung dar.
Im Falle eines Leaks kann der Schaden minimiert werden, wenn für jeden Online-Account ein eigenes Passwort erstellt wurde.
Für die Passwort-Erstellung sollten möglichst viele Zeichen inklusive Groß- und Kleinschreibung, Zahlen und Sonderzeichen verwendet werden. Auch Wort-Sequenzen mit eingesetzten Zahlen sind schwer zu hacken.
Wie zum Beispiel: „Recht-Einfach-VerstehenUnsere3Versprechen“
„Recht1Einfach-Verstehen-Unsere3Versprechen2“
Am besten eignen sich jedoch von sog. Passwort-Managern generisch erzeugte Kennwörter mit maximaler Länge, die in ein sicheres Passwort-Management-System abgelegt werden.
Die Anforderungen an sichere Passwörter hinsichtlich ihrer Komplexität und Länge steigen. Während dies den Menschen als Einzelnen zunehmend vor Herausforderungen stellt, wird es für Computer immer einfacher, vermeintlich sichere Passwörter zu entschlüsseln.
Laut einer repräsentativen Umfrage zum Tag der Passwortsicherheit 2019 setzen 59 Prozent der Befragten dieselben Passwörter für verschiedene Anwendungen ein. Dies ist meist der Unmöglichkeit geschuldet, sich für jede einzelne Anwendung ein eigenes Passwort merken zu können. Eine Lösung für dieses Problem bieten Passwort-Manager-Dienste. Diese Dienste generieren komplexe, schwer zu hackende Passwörter und speichern sie verschlüsselt ab. Der Nutzer oder die Nutzerin muss sich lediglich das Master-Passwort für den Passwort-Manager merken sowie ggf. die Anmeldung durch eine Zwei-Faktor-Authentifizierung bestätigen, um Zugang zu den verschiedenen Accounts zu erhalten. Dann gilt es nur noch die wichtigsten Passwörter für den Notfall parat zu haben.
Legen Sie diese Passwörter in keinem Fall in einer Word-Datei oder ähnlichem auf den Servern Ihres Unternehmens ab. Bei Hacker-Angriffen wird zielgenau auch nach solchen Dateien gesucht. Wenn Sie nicht auf eine Niederschrift verzichten wollen, sollten Sie entsprechende handschriftliche Dokumente sicher in einem Safe aufbewahren.
Passwort-Manager werden als Online- und als Offline-Varianten angeboten. Während bei einem Offline-Manager nach jeder Kennwort-Änderung eine Aktualisierung durchgeführt werden muss, synchronisieren Online-Passwort-Manager alle Passwörter geräteunabhängig.
Die Deutsche Telekom arbeitet beispielsweise mit sog. Honeypots, die vermeintliche Schwachstellen in der IT vortäuschen und Hacker dazu verführen diese auszunutzen. Angelehnt an den Honigköder bei der Bärenjagd versucht das Unternehmen auf diese Weise mehr über die Methoden der Hacker und das Vorgehen bei Cyber-Angriffen zu erfahren.
Dies führt zwar zu nachweislich mehr Angriffen, erhöht allerdings auch das hausinterne Know-How zum Ausbau der Widerstandsfähigkeit gegen Cyber-Angriffe.
Falls Ihnen das etwas zu weit geht, sollten Sie neben der Multi-Faktor-Authentifizierung und dem Einsatz sicherer und unterschiedlicher Passwörter auch das regelmäßige Update von firmeninternen Geräten und die kontinuierliche Sicherung in Form von Back-Ups fördern und nutzen. Es ist von großer Bedeutung, dass allen Mitarbeitern die Relevanz der Datensicherheit bewusst ist. Neben unserer Online-Schulung zum Umgang mit Passwörtern, bieten wir auch eine umfassendere Schulung zum Thema Informationssicherheit an, die neben der Abwehr von Phishing-Attacken viele weitere Datensicherheits-Aspekte anspricht. So sorgt das wachsende Know-How Ihrer Mitarbeiterschaft für einen besseren Schutz Ihres Unternehmens.
Quellen: