Passwort Stealing: Gelegenheit macht Passwortdiebe!

Internetkriminalität nimmt mittlerweile unglücklicherweise immer größere Ausmaße an.

Erschwerend kommt hinzu, dass eine Majorität aller gelungenen Internetangriffe auf unzureichende Passwörter zurückzuführen ist. Hierbei sind sogenannte Password Stealer immer häufiger das erste Mittel der Wahl vieler Internetkrimineller, um vertrauliche Informationen wie Passwörter abzugreifen. Dennoch können Betriebe die Gefahr sowie angriffsbedingte Folgeschäden von Password Stealing vermindern, indem sie abgesehen von starken Passwörtern, eine kraftvolle Passwort-Manager-Lösung und einen Authentifizierungsprozess mit mehreren Faktoren einbinden.

Die Internetkriminalität nimmt von Jahr zu Jahr zu.

Aktuellsten Studien zufolge sind 75% der Betriebe national von Datendiebstahl, Industriespionage oder Zerstörung betroffen – und der Entwicklungsverlauf steigt.

Das Schlimme daran: Entsprechend dem aktuellen Data Breach Investigations Report 2020 von Verizon sind 81 Prozent aller erfolgreichen Internetangriffe und Datenskandale auf schlechte oder gestohlene Passwörter begründbar.

Mit einem Kinderspiel – das Kennwort geklaut!

Ein Augenmerk auf die meistens verwendeten Passwörter im Jahr 2020 zeigt: schlechte und unsichere Passwörter wie „123456“, „password“ und „abc123“ stehen national nach wie vor hoch im Kurs.

Folglich ist es also keine Verwunderung, dass Passwörter nach wie vor ein gefragtes Einfallstor für Internetkriminelle sind, um unbemerkt in Netze einzudringen, IT-Systeme zu manipulieren und sensible Daten zu entwenden oder zu verschlüsseln, um hinterher ein horrendes Lösegeld zu erpressen.

Bei einem Passwortdiebstahl vertrauen Internetkriminelle zusätzlich zu Brute-Force Attacken immer häufiger auf sogenannte Password Stealer oder Password Stealing Ware, kurz PSW. Dabei handelt es sich um bösartige Malware, die speziell für das Abgreifen von sensiblen Informationen entwickelt wurde. Hierbei nutzt die Malware verschiedene Methoden, um gezielt sensible Informationen wie Benutzername, gespeicherte Passwörter, AutoFill-Formularinfomationen oder auch Cookie-Daten direkt aus dem Browser abzugreifen, sobald diese von einem User eingegeben werden.

Mehr Durchblick im Passwort-Dickicht!

Die Anzahl unserer Passwörter steigt kontinuierlich.
Ganz gleich ob Internet-Banking, Mail-Postfach, oder Cloud-Dienst – Heutzutage verlangen so ziemlich jegliche Onlinedienste, jedoch auch eine Menge von Geschäftsanwendungen, eine gesonderte Anmeldung mittels Benutzername und Kennwort.

Zeitgleich sollte das Passwort aus Sicherheitsgründen:

• bestimmten Anforderungen gerecht werden und aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen
• in regelmäßigen Intervallen verändert werden und
• insbesondere nicht für diverse Services gleichzeitig verwendet werden.

Das Ergebnis: Eines Tages kommt es zu einer regelrechten Passwortflut.

Damit Betriebe den Griff zu verbreiteten und gefahrvollen Methoden wie die wiederkehrende Nutzung eines einmaligen Passwortes, Organisation der Passwörter auf Post-it-Zetteln oder das automatische Abspeichern im Browser unterbinden können, empfiehlt sich die Passwortverwaltung anhand eines Passwort-Managers.

Passwort-Manager sind Softwarelösungen, mit deren Hilfe Unternehmen Zugangsdaten in verschlüsselter Struktur abspeichern, organisieren und anwenden können. Gleichzeitig besitzen die meisten Passwort-Manager eine Passwortgenerator-Funktionalität, um komplexe und verlässliche Passwörter aus durch Zufall zusammengewürfelten Buchstaben, Ziffern und Sonderzeichen zu erstellen.
Während die Datenbank des Passwort-Managers mit jedwedem neu hinzugefügten Zugangscode wächst, benötigt der Anwender nichts weiter als ein Master-Passwort, um sich bei den verschiedenen Services authentifizieren zu können.

Der Vorteil: Anstelle von unzählig verschiedenen Passwörtern muss sich der Anwender nur noch das Master-Passwort merken. Dank der automatischen Codierung der Passwörter und der Datenbank beschützen Passwort-Manager die Daten auch dann, wenn ein Angreifer Zugriff auf ein System bekommen hat.

Demnach stellen Passwort-Manager einen elementaren Grundpfeiler einer ganzheitlichen IT-Sicherheitsstrategie dar.

Multi-Faktor-Authentifizierung bietet einen noch besseren Schutzmechanismus!

Nach einer neusten Analyse von Kaspersky zufolge ist die Zahl der Opfer von Passwort-Klau von beinahe 600.000 im ersten Halbjahr 2018 auf über 940.000 im Vergleichszeitraum 2019 angestiegen.

Wenngleich starke und einzigartige Passwörter einen besonders außergewöhnlichen Schutzmechanismus versprechen und der Einsatz von Passwort-Managern schon zu einer verbesserten Passwortverwaltung führt, bringt eine Multi-Faktor-Authentifizierung, kurz MFA, deutlich mehr Schutz als die einfache Abfrage von Benutzername und Kennwort.

Bei einer Multi-Faktor-Authentifizierung werden zwei oder mehrere unterschiedliche Authentifizierungsfaktoren benötigt, um die Echtheit eines Besitzers nachzuweisen. Hierbei werden mindestens zwei der folgenden Punkte miteinander kombiniert:

• Faktor Wissen mittels PIN, Passwort, Benutzernamen, Antworten auf Sicherheitsfragen
• Faktor Besitz anhand SecurID-Tokens, mTAN-Code, Mobiltelefon, Kreditkarte
• Faktor Biometrie mittels Fingerabdruck, Irismuster, Retinamuster, Venenmuster, Stimme

Zusätzlich zu den drei angesprochenen Authentifizierungsfaktoren Wissen, Besitz und Biometrie können sogenannte risikobasierte Authentifizierungsfaktoren oder auch adaptive oder kontextbezogene Authentifizierungsfaktoren zur Anwendung kommen wie zum Beispiel Aufenthaltsort, Uhrzeit der Anmeldung oder Anmeldung über ein privates oder ein öffentliches Netzwerk.

Machen Sie Passwortdieben den Garaus!

Gegenwärtig verstreicht keine Woche ohne einen aufsehenerregenden Datenraub.
Unsichere Passwörter wie auch eine mangelhafte IT-Sicherheitsumgebung begünstigen diese Entwicklung. Vor diesem Hintergrund empfiehlt es sich mit starken Passwörtern sowie einer leistungsstarken Passwort-Manager-Lösung und einer Multi-Faktor-Authentifizierung Password Stealern einen Riegel vorzuschieben. Nicht zuletzt sind Firmen gemäß Art. 24 EU-DSGVO dazu verpflichtet, passende technische und organisatorische Maßnahmen zu ergreifen, die den Schutz und die Absicherung personenbezogener Informationen garantieren.

Möchten auch Sie einen leistungsfähigen Passwort-Manager einsetzen und/oder die Authentifizierungsprozesse in Ihrem Unternehmen besser machen und so Ihre Datensicherheit erhöhen? Sprechen Sie uns gerne an.

Sie erreichen uns Telefonisch unter: +49 221 7880 59-200 oder per Mail unter beratung@coretress.de