Passwort Stealing: Gelegenheit macht Passwortdiebe!

Internetkriminalität nimmt mittlerweile unglücklicherweise immer größere Ausmaße an.

Erschwerend kommt hinzu, dass ein Hauptteil aller gelungenen Internetangriffe auf schlechte Passwörter begründbar ist. Dabei sind sogenannte Password Stealer immer öfters das erste Mittel der Wahl vieler Internetkrimineller, um vertrauliche Daten wie Passwörter abzugreifen. Dennoch können Unternehmen das Risiko sowie angriffsbedingte Schädigungen von Password Stealing vermindern, indem sie neben guten Passwörtern, eine leistungsstarke Passwort-Manager-Lösung sowie einen Authentifizierungsprozess mit mehreren Faktoren umsetzen.

Die Internetkriminalität nimmt von Jahr zu Jahr zu.

Neusten Analysen nach sind 75% der Unternehmen in diesem Land von Informationsdiebstahl, Industriespionage oder Zerstörung betroffen – und der Entwicklungsverlauf steigt.

Das Schlimme an dieser Tatsache: Laut dem aktuellen „Data Breach Investigations Report 2020“ von Verizon sind 81 Prozent aller erfolgreichen Internetangriffe und Informationsskandale auf schlechte oder gestohlene Passwörter zurückzuführen.

Die feindliche Übernahme

Ein Blick auf die meist eingesetzten Passwörter im Jahr 2020 betont: schlechte und unsichere Passwörter wie „123456“, „password“ und „abc123“ sind hierzulande nach wie vor hoch im Kurs.

Folglich ist es also keine Überraschung, dass Passwörter nach wie vor ein populäres Einfallstor für Internetkriminelle sind, um unbemerkt in Netze einzudringen, IT-Systeme zu manipulieren und sensible Informationen zu stehlen oder zu verschlüsseln, um danach ein horrendes Lösegeld zu erpressen.

Beim Passwortdiebstahl setzen Internetkriminelle abgesehen von Brute-Force Attacken immer öfters auf bekannte Password Stealer oder Password Stealing Ware, kurz PSW. Hierbei handelt es sich um bösartige Schadsoftware, die besonders für das Abgreifen von vertraulichen Daten konzipiert wurde. Hierbei nutzt die Malware vielfältige Maßnahmen, um gezielt sensible Informationen wie Benutzername, gespeicherte Zugangsdaten, AutoFill-Formularinfomationen oder auch Cookie-Informationen direkt aus dem Webbrowser abzugreifen, sobald diese von einem Anwender eingegeben werden.

Mehr Durchblick im Passwort-Dschungel!

Die Zahl der von uns verwendeten Passwörter wächst kontinuierlich.
Ganz gleich ob Online-Banking, Mail-Postfach, oder Cloud-Dienst – Heute fordern so ziemlich jegliche Onlinedienste, allerdings auch eine Fülle von Geschäftsanwendungen, eine gesonderte Anmeldung via Benutzername und Passwort.

Parallel sollte das Kennwort aus Sicherheitsgründen:

• bestimmten Bedingungen gerecht werden und aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen bestehen
• in regelmäßigen Zeitabständen gewechselt werden und
• insbesondere nicht für diverse Lösungen parallel verwendet werden.

Das Ergebnis: Eines Tages kommt es zu einer regelrechten Passwortflut.

Damit Firmen den Griff zu klassischen und gefahrvollen Herangehensweisen wie die wiederkehrende Nutzung eines einmaligen Passwortes, Organisation der Passwörter auf Post-it-Zetteln oder das automatische Speichern im Webbrowser verhindern können, empfiehlt sich die Zugangsdatenverwaltung mittels eines Passwort-Managers.

Passwort-Tresore sind Softwarelösungen, mit deren Hilfe Firmen Zugangsdaten in verschlüsselter Form abspeichern, organisieren und verwenden können. Gleichzeitig besitzen die meisten Passwort-Manager eine Passwortgenerator-Funktionalität, um anspruchsvolle und sichere Passwörter aus wahllos zusammengewürfelten Buchstaben, Zahlen und Sonderzeichen zu erstellen.
Während die Datenbank des Passwort-Managers mit jedem neu hinzugefügten Zugangscode wächst, verwendet der User nichts weiter als ein Master-Passwort, um sich bei den unterschiedlichen Diensten anmelden zu können.

Der Benefit: Anstelle von unzählig unterschiedlichen Passwörtern muss sich der Anwender nur noch das Master-Passwort merken. Dank der vollautomatischen Verschlüsselung der Zugangsdaten und der Datenbank beschützen Passwort-Manager die Zugangsdaten auch dann, wenn ein Eindringling Zugang auf ein System erhalten hat.

Demnach stellen Passwort-Manager einen relevanten Grundpfeiler einer ganzheitlichen IT-Sicherheitsstrategie dar.

Multi-Faktor-Authentifizierung liefert einen noch besseren Schutz!

Entsprechend einer neusten Analyse von Kaspersky zufolge ist die Anzahl der Opfer von Passwort-Klau von nahezu 600.000 im ersten Halbjahr 2018 auf über 940.000 im Vergleichszeitraum 2019 angestiegen.

Wenngleich starke und einzigartige Passwörter einen besonders starken Schutz gewährleisten und der Einsatz von Passwort-Managern bereits zu einer verbesserten Passwortverwaltung führt, liefert eine Multi-Faktor-Authentifizierung, kurz MFA, deutlich mehr Absicherung als die simple Abfrage von Benutzername und Passwort.

Bei einer Multi-Faktor-Authentifizierung werden zwei oder mehrere separate Authentifizierungsfaktoren gebraucht, um die Echtheit eines Users nachzuweisen. Dabei werden zumindest zwei der folgenden Punkte miteinander kombiniert:

• Faktor Wissen mit Hilfe von PIN, Passwort, Benutzernamen, Antworten auf Sicherheitsfragen
• Faktor Besitz mit Hilfe von SecurID-Tokens, mTAN-Code, Smartphone, Kreditkarte
• Faktor Biometrie unter Einsatz von Fingerabdruck, Irismuster, Retinamuster, Venenmuster, Stimme

Zusätzlich zu den drei genannten Authentifizierungsfaktoren Wissen, Besitz und Biometrie können sogenannte risikobasierte Authentifizierungsfaktoren oder auch adaptive oder kontextbezogene Authentifizierungsfaktoren zur Anwendung kommen wie zum Beispiel Standort, Uhrzeit der Anmeldung oder Anmeldung über ein privates oder ein öffentliches Netzwerk.

Geben Sie Passwortdieben keine Möglichkeit!

Inzwischen vergeht keine Woche ohne einen aufsehenerregenden Datenraub.
Unsichere Passwörter ebenso wie eine mangelhafte IT- Sicherheitsumgebung begünstigen diese Entwicklung. Vor diesem Hintergrund empfiehlt es sich mit starken Passwörtern sowie einer leistungsstarken Passwort-Manager-Lösung und einer Multi-Faktor-Authentifizierung Password Stealern einen Riegel vorzuschieben. Nicht zuletzt sind Firmen gemäß Art. 24 EU-DSGVO dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, die den Schutz und die Absicherung personenbezogener Daten sicherstellen.

Möchten auch Sie einen leistungsstarken Passwort-Manager einsetzen und/oder die Authentifizierungsprozesse in Ihrem Unternehmen optimieren und so Ihre Datensicherheit erhöhen? Sprechen Sie uns gerne an.