fbpx
mobile-logo

Passwort Stealing: Eine Gefahr für Firmen!

11 Jun

Passwort Stealing: Eine Gefahr für Firmen!

by pfadp
in IT-Sicherheit, Neuigkeiten, optimIT
Comments

Internetkriminalität nimmt mittlerweile leider immer stärkere Ausmaße an. Erschwerend kommt hinzu, dass eine Majorität aller erfolgreichen Internetangriffe auf minderwertige Passwörter begründbar ist. Hierbei sind sogenannte Password Stealer immer öfters das erste Mittel der Wahl vieler Internetkrimineller, um vertrauliche Informationen wie Passwörter abzugreifen. Gleichwohl können Unternehmen die Bedrohung sowie angriffsbedingte Schäden von Password Stealing minimieren, indem sie abgesehen von starken Passwörtern, eine kraftvolle Passwort-Manager-Lösung sowie einen Authentifizierungsprozess mit mehreren Faktoren implementieren.

Die Internetkriminalität steigt jährlich

Jüngsten Analysen zufolge sind 75% der Betriebe deutschlandweit von Datendiebstahl, Industriespionage oder Sabotage betroffen – und der Trend steigt.

Das Schlimme an dieser Tatsache: Entsprechend dem jüngsten „Data Breach Investigations Report 2020“ von Verizon sind 81 Prozent aller erfolgreichen Cyberattacken und Datenskandale auf unsichere oder gestohlene Passwörter zurückzuführen.

Die feindliche Übernahme

Ein Augenmerk auf die zumeist eingesetzten Passwörter im Jahr 2020 zeigt: schlechte und unsichere Passwörter wie „123456“, „password“ und „abc123“ befinden in Deutschland weiterhin hoch im Kurs.

Deswegen ist es also kein Zufall, dass Passwörter nach wie vor ein beliebtes Einfallstor für Internetkriminelle sind, um unauffällig in Netze einzudringen, IT-Systeme zu manipulieren und sensible Daten zu entwenden oder zu verschlüsseln, um später ein horrendes Lösegeld zu erpressen.

Beim Passwortdiebstahl vertrauen Internetkriminelle neben Brute-Force Attacken immer mehr auf bekannte Password Stealer oder Password Stealing Ware, kurz PSW. Dabei handelt es sich um bösartige Schadsoftware, die besonders für das Abgreifen von sensiblen Daten entwickelt wurde. Hierbei nutzt die Schadsoftware verschiedene Ansätze, um zielgerichtet sensible Informationen wie Benutzername, gespeicherte Passwörter, AutoFill-Formularinfomationen oder auch Cookie-Daten direkt aus dem Webbrowser abzugreifen, wenn diese von einem Anwender eingetippt werden.

Mehr Durchblick im Passwort-Dschungel!

Die Anzahl unserer Passwörter steigt kontinuierlich. Ganz gleich ob Internet-Banking, Mailbox, oder Cloud-Dienst – Inzwischen verlangen bald jegliche Onlinedienste, jedoch auch eine Vielzahl von Geschäftsapplikationen, eine gesonderte Anmeldung via Benutzername und Kennwort.

Parallel sollte das Kennwort aus Sicherheitsgründen:

  • bestimmten Bedingungen entsprechen und aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen
  • in regelmäßigen Intervallen gewechselt werden und
  • insbesondere nicht für mehrere Dienste parallel benutzt werden.

Das Ergebnis: Früher oder später kommt es zu einer regelrechten Passwortflut.

Damit Betriebe den Griff zu gewöhnlichen und unsicheren Herangehensweisen wie die Mehrfachnutzung eines einzigartigen Passwortes, Verwaltung der Zugangsdaten auf Post-it-Zetteln oder das automatische Speichern im Browser unterbinden können, empfiehlt sich die Zugangsdatenverwaltung anhand eines Passwort-Managers.

Passwort-Tresore sind Softwarelösungen, mit deren Hilfe Betriebe Zugangsdaten in verschlüsselter Struktur sichern, organisieren und benutzen können. Gleichzeitig bieten die überwiegende Zahl der Passwort-Manager eine Passwortgenerator-Funktion, um anspruchsvolle und verlässliche Passwörter aus beliebig zusammengewürfelten Buchstaben, Ziffern und Sonderzeichen zu erstellen. Während die Datenbank des Passwort-Managers mit jedem neu hinzugefügten Zugangscode wächst, verwendet der Anwender einzig ein Master-Passwort, um sich bei den verschiedenen Diensten einloggen zu können.

Der Nutzen: Anstelle von zahlreich verschiedenen Passwörtern muss sich der Anwender nur noch das Master-Passwort einprägen. Dank der vollautomatischen Verschlüsselung der Zugangsdaten und der Datenbank schützen Passwort-Manager die Zugangsdaten auch dann, wenn ein Eindringling Zugang auf ein System erhalten hat.

Dadurch stellen Passwort-Manager einen wichtigen Grundpfeiler einer vollständigen IT-Sicherheitsstrategie dar.

Multi-Faktor-Authentifizierung liefert einen noch besseren Schutzmechanismus!

Gemäß einer neusten Analyse von Kaspersky zufolge ist die Anzahl der Opfer von Passwort-Klau von fast 600.000 im ersten Halbjahr 2018 auf über 940.000 im Vergleichszeitraum 2019 angestiegen.

Obwohl starke und einmalige Passwörter einen besonders außergewöhnlichen Schutz sicherstellen und die Nutzung von Passwort-Managern bereits zu einer geeigneteren Passwortverwaltung führt, bietet eine Multi-Faktor-Authentifizierung, kurz MFA, erheblich mehr Sicherheit als die triviale Abfrage von Benutzername und Kennwort.

Bei einer Multi-Faktor-Authentifizierung werden zwei oder mehrere separate Authentifizierungsfaktoren benötigt, um die Echtheit eines Users nachzuweisen. In diesem Fall werden wenigstens zwei der nachfolgenden Faktoren miteinander kombiniert:

  • Faktor Wissen mit Hilfe von PIN, Kennwort, Benutzernamen, Antworten auf Sicherheitsfragen
  • Faktor Besitz mittels SecurID-Tokens, mTAN-Code, Mobilfunktelefon, Kreditkarte
  • Faktor Biometrie unter Zuhilfenahme von Fingerabdruck, Irismuster, Retinamuster, Venenmuster, Stimme

Zusätzlich zu den drei angesprochenen Authentifizierungsfaktoren Wissen, Besitz und Biometrie können sogenannte risikobasierte Authentifizierungsfaktoren oder auch adaptive oder kontextbezogene Authentifizierungsfaktoren zum Einsatz kommen wie zum Beispiel Standort, Uhrzeit der Anmeldung oder Anmeldung über ein privates oder ein öffentliches Netzwerk.

Geben Sie Passwortdieben keine Möglichkeit!

Inzwischen verstreicht keine Woche ohne einen extravaganten Datenraub. Unsichere Passwörter und eine mangelhafte IT- Sicherheitsumgebung fördern diese Entwicklung. Vor diesem Hintergrund wird empfohlen mit starken Passwörtern sowie einer leistungsfähigen Passwort-Manager-Lösung und einer Multi-Faktor-Authentifizierung Password Stealern einen Riegel vorzuschieben. Nicht zuletzt sind Betriebe gemäß Art. 24 EU-DSGVO dazu verpflichtet, passende technische und organisatorische Maßnahmen zu ergreifen, die den Schutz und die Absicherung personenbezogener Informationen gewährleisten.

Möchten auch Sie einen leistungsstarken Passwort-Manager einsetzen und/oder die Authentifizierungsprozesse in Ihrem Unternehmen optimieren und so Ihre Datenintegrität erhöhen? Sprechen Sie uns gerne an.