Vorsicht - Passwort-Diebstahl! Wie stehlen Hacker Ihr Passwort?
von Svenja Koch
Identitäts- und Passwortklau im Netz - Wurden Ihre Zugangsdaten dieses Jahr auch gehackt?
Ob E-Mail-Account, Online-Banking oder Online-Shopping: Der Zugang zu den eigenen, sensiblen Daten wird meist per Passwort geschützt. Doch ist dieses wirklich sorgsam genug ausgewählt?
Eine erschreckende Vorstellung: Beim Blick auf Ihre Kontoauszüge stellen Sie fest, dass offensichtlich fremde Personen Zugriff auf Ihre Konten haben und Beträge abgebucht haben. Oder Ihr Account bei Facebook, Instagram oder einem anderen Social Media Portal wurde gehackt und Kriminelle machen sich nun Ihr Profil in den sozialen Netzwerken zu eigen.
In solchen Fällen war möglicherweise Ihr persönliches Kennwort zu unsicher. Laut verschiedener Studien handelt es sich bei den beliebtesten Passwörtern der Deutschen um einfache Zahlenfolgen ("0000", "1234"), Kosenamen oder Wörter mit Bezug auf die eigene Person oder das unmittelbare Umfeld. Auch Kennwörter wie "qwertz" oder "asdfgh" - simplen Kombinationen von nebeneinanderliegenden Buchstaben auf der Tastatur - werden oft der Einfachheit halber gewählt. Hiervon ist dringend abzuraten, denn all diese sind leicht herauszufinden und stellen keine wirkliche Sicherheit dar.*
Alternativ oder zusätzlich können jedoch auch Sicherheitslücken auf den Webseiten der Anbieter, bei denen Sie Ihre Daten hinterlegt haben, auftreten.
Cyberkriminelle bedienen sich verschiedenster Methoden, um Passwörter herauszufinden und Accounts zu knacken. Das Generieren von starken Passwörtern und deren sichere Verwahrung wird eine zunehmende Herausforderung für Unternehmen. Die wichtigsten Fakten zum Thema Passwortschutz lesen Sie in diesem Beitrag.
*https://www.presseportal.de/LKA-RP, 7.2.2020
Wie stehlen Hacker Ihr Passwort? Ein Überblick ihrer wichtigsten Werkzeuge
Erraten
Gängige Passwörter, wie z.B. passwort, abc123 oder 123456 – oder aber solche, die in direktem Zusammenhang mit dem User stehen, z.B. Name, Geburtsdatum oder Hobby, werden besonders schnell geknackt.
Stehlen
Haben Sie sich all Ihre Passwörter gemerkt? Viele Nutzer notieren sich Ihre Passwörter noch immer manuell oder hinterlegen sie in Excel-Tabellen – kriminelle Dritte haben hier ein leichtes Spiel.
Wörterbuch-Angriff
Technik zum Ausspähen von Passwörtern mit Hilfe elektronischer Wörterbücher. Hiermit lassen sich insbesondere simpel gestaltete Passwörter in kurzer Zeit ermitteln. Bei komplizierter angelegten Passwörtern hat die Brute Force Methode mehr Aussicht auf Erfolg.
Brute Force Methode
Der Versuch, das Passwort softwarebasiert zu knacken: Oftmals unter Verwendung eines Hochleistungsrechners werden in schneller Abfolge Millionen von Buchstaben- und Zahlenkombinationen ausprobiert, bis das richtige Kennwort gefunden ist.
Sniffing / Keylogger
Die sogenannte Sniffing-Methode umschreibt das Mitschneiden des Datenverkehrs in einem Netzwerk, mit dem Ziel, Passwörter auszulesen. Keylogger (Hard- oder Software-basiert) werden verwendet, um die Tastatur-Eingaben des Benutzers zu überwachen.
Social Engineering
Mithilfe sozialer (oft autoritärer) Methoden wird der Anwender zur Offenlegung sensibler Daten, so auch seines Passwortes, verleitet. Dies kann persönlich, auf telefonischem Wege oder aber per E-Mail (Phishing-Attacke) geschehen.
Viele dieser Methoden führen auch miteinander kombiniert zum schnellstmöglichen Erfolg der Angreifer.
Notwendigkeit von Passwort-Richtlinien
Setzen Sie Passwort-Richtlinien in Ihrem Unternehmen um, z.B. durch deren Implementierung in Ihre IT-Sicherheitsrichtlinien.
So schaffen Sie die notwendigen Voraussetzungen, dass
- User daran gehindert werden, zu schwache Passwörter anzulegen.
- bereits verwendete Passwörter erneut vergeben werden. Diese verfallen automatisch nach einer zuvor festgelegten Frist.
- User ihre Passwörter nicht schriftlich festhalten, unverschlüsselt speichern oder verschicken. Die Gefahr erfolgreicher Social Engineering Angriffe wird an dieser Stelle minimiert.
Weiteres To Do: Sichere Passwortverwaltung erreichen!
- Kontrollmechanismen einführen. Nach einer bestimmten Anzahl versuchter fehlerhafter Passwort-Eingaben wird der Account gesperrt bzw. Zugriff verweigert.
- Überprüfung (Auditierung) der Passwörter sicherstellen. So erhalten Sie Aufschluss über die Einhaltung der implementierten Passwort-Richtlinien.
- Sensibilisierung Ihrer Mitarbeiter. Informieren Sie regelmäßig über die Notwendigkeit der Einhaltung der Regeln zur Passwortsicherheit.
- Zentraler Ansprechpartner. Wählen Sie für Ihr Unternehmen mindestens einen Mitarbeiter, der verantwortlich für das Thema Passwortschutz und Datensicherheit ist.
Effektiver Schutz durch Passwortmanagement-Software
Unsere IT-Sicherheitsexperten empfehlen die Einführung einer Passwortmanagement-Software, die Ihnen die automatisierte Generierung und Verwaltung von Passwörtern ermöglicht. Sie erreichen damit u.a.:
- Sicherheit durch komplexe Passwörter
- Durchsetzung einer unternehmensweiten Passwort-Richtlinie
- Effektivität durch zentralisierte Passwortverwaltung
- Kontrolle vor unautorisiertem Zugriff
- Zeit- und Kostenersparnis
- Gewährleistung des „Passwortschutz für IT-Systeme“ (IT-Grundschutz-Standard BSI, Punkt 4.1 des Maßnahmenkatalogs)
Checkliste Passwortschutz
Sechs Tipps für eine solide Passwort-Gestaltung!
✅ 1
Erstellen Sie keine Passwörter, die in einem Zusammenhang mit Ihrer Person stehen! Durch Social Engineering Angriffe, Social Media Recherche oder auch durch simples Raten sind diese Passwörter diejenigen, die am einfachsten zu knacken sind.
✅ 2
Das Passwort sollte nicht zu kurz sein. Auch kryptische Zeichenketten knacken Brute Force Angriffe in weniger als einer Minute, wenn Sie eine Länge von nur 6 Zeichen haben. Die Empfehlung unserer IT-Sicherheitsexperten liegt bei 12 alphanumerischen Zeichen.
✅ 3
Wählen Sie idealerweise mehrere Wörter oder auch Sätze und bilden durch Aneinanderreihung der Anfangsbuchstaben ein sicheres Passwort, z.B.: Meine Katze mag es, jeden Tag 8 Stunden zu schlafen! Passwort: MKme,jT8Szs!
✅ 4
Setzen Sie bei externen Angeboten (Webshop, Cloud Services, Office 365 etc.) für jeden Dienst ein eigenes, sicheres Passwort. Achten Sie darauf, dass der Dienstleister eine 2-Faktor-Authentifizierung zur Verfügung stellt. Der zweite Faktor sollte darüber hinaus immer auf einem zusätzlichen Device (z.B. Token oder Mobiltelefon) generiert/angezeigt werden.
✅ 5
Alle 90 Tage sollte ein Passwort geändert werden, diese Frist gilt als allgemeingültige Empfehlung, die auch unsere IT Security Consultants herausgeben. Dem Nutzer sollte es dabei möglich sein, das Passwort schnell und einfach zu ändern.
✅ 6
Machen Sie sich technische Lösungen zur sicheren Generierung von Passwörtern zunutze. Je umfangreicher die zu verwaltenden Passwörter in Ihrem Unternehmen sind, desto größer wird die Herausforderung die o.g. Passwort-Regeln einzuhalten.
Fazit
Hacker bedienen sich verschiedenster Methoden, um Passwörter herauszufinden und Accounts zu knacken. Das Generieren von starken Passwörtern und deren sichere Verwahrung wird eine zunehmende Herausforderung für Unternehmen. Beachten Sie daher unbedingt die wichtigsten Fakten zum Thema Passwortschutz und sorgen Sie für eine sorgfältige Umsetzung von Passwort-Richtlinien in Ihrem Unternehmen!