Wir beraten Sie gerne!

Hotline:
+49 40 38 90 710

E-Mail:
info@secion.de

Kontaktformular

Vorsicht - Passwort-Diebstahl! Wie stehlen Hacker Ihr Passwort?

von

Lesezeit: Minuten ( Wörter)

Identitäts- und Passwortklau im Netz - Wurden Ihre Zugangsdaten dieses Jahr auch gehackt?

Ob E-Mail-Account, Online-Banking oder Online-Shopping: Der Zugang zu den eigenen, sensiblen Daten wird meist per Passwort geschützt. Doch ist dieses wirklich sorgsam genug ausgewählt?

Eine erschreckende Vorstellung: Beim Blick auf Ihre Kontoauszüge stellen Sie fest, dass offensichtlich fremde Personen Zugriff auf Ihre Konten haben und Beträge abgebucht haben. Oder Ihr Account bei Facebook, Instagram oder einem anderen Social Media Portal wurde gehackt und Kriminelle machen sich nun Ihr Profil in den sozialen Netzwerken zu eigen.

In solchen Fällen war möglicherweise Ihr persönliches Kennwort zu unsicher. Laut verschiedener Studien handelt es sich bei den beliebtesten Passwörtern der Deutschen um einfache Zahlenfolgen ("0000", "1234"), Kosenamen oder Wörter mit Bezug auf die eigene Person oder das unmittelbare Umfeld. Auch Kennwörter wie "qwertz" oder "asdfgh" - simplen Kombinationen von nebeneinanderliegenden Buchstaben auf der Tastatur - werden oft der Einfachheit halber gewählt. Hiervon ist dringend abzuraten, denn all diese sind leicht herauszufinden und stellen keine wirkliche Sicherheit dar.*

Alternativ oder zusätzlich können jedoch auch Sicherheitslücken auf den Webseiten der Anbieter, bei denen Sie Ihre Daten hinterlegt haben, auftreten.

Cyberkriminelle bedienen sich verschiedenster Methoden, um Passwörter herauszufinden und Accounts zu knacken. Das Generieren von starken Passwörtern und deren sichere Verwahrung wird eine zunehmende Herausforderung für Unternehmen. Die wichtigsten Fakten zum Thema Passwortschutz lesen Sie in diesem Beitrag.

*https://www.presseportal.de/LKA-RP, 7.2.2020

Wie stehlen Hacker Ihr Passwort? Ein Überblick ihrer wichtigsten Werkzeuge

Erraten

Gängige Passwörter, wie z.B. passwort, abc123 oder 123456 – oder aber solche, die in direktem Zusammenhang mit dem User stehen, z.B. Name, Geburtsdatum oder Hobby, werden besonders schnell geknackt.

Stehlen

Haben Sie sich all Ihre Passwörter gemerkt? Viele Nutzer notieren sich Ihre Passwörter noch immer manuell oder hinterlegen sie in Excel-Tabellen – kriminelle Dritte haben hier ein leichtes Spiel.

Wörterbuch-Angriff

Technik zum Ausspähen von Passwörtern mit Hilfe elektronischer Wörterbü­cher. Hiermit lassen sich insbesondere simpel gestaltete Passwörter in kurzer Zeit ermitteln. Bei komplizierter angelegten Passwörtern hat die Brute Force Methode mehr Aussicht auf Erfolg.

Brute Force Methode

Der Versuch, das Passwort softwarebasiert zu knacken: Oftmals unter Verwendung eines Hochleistungsrechners werden in schneller Abfolge Millionen von Buchstaben- und Zahlenkombinationen ausprobiert, bis das richtige Kennwort gefunden ist.

Sniffing / Keylogger

Die sogenannte Sniffing-Methode umschreibt das Mitschneiden des Datenverkehrs in einem Netzwerk, mit dem Ziel, Passwörter auszulesen. Keylogger (Hard- oder Software-basiert) werden verwendet, um die Tastatur-Eingaben des Benutzers zu überwachen.

Social Engineering

Mithilfe sozialer (oft autoritärer) Methoden wird der Anwender zur Offenlegung sensibler Daten, so auch seines Passwortes, verleitet. Dies kann persönlich, auf telefonischem Wege oder aber per E-Mail (Phishing-Attacke) geschehen.

Viele dieser Methoden führen auch miteinander kombiniert zum schnellstmöglichen Erfolg der Angreifer.

Notwendigkeit von Passwort-Richtlinien

Setzen Sie Passwort-Richtlinien in Ihrem Unternehmen um, z.B. durch deren Implementierung in Ihre IT-Sicherheitsrichtlinien.

So schaffen Sie die notwendigen Voraussetzungen, dass

  • User daran gehindert werden, zu schwache Passwörter anzulegen.
  • bereits verwendete Passwörter erneut vergeben werden. Diese verfallen automatisch nach einer zuvor festgelegten Frist.
  • User ihre Passwörter nicht schriftlich festhalten, unverschlüsselt speichern oder verschicken. Die Gefahr erfolgreicher Social Engineering Angriffe wird an dieser Stelle minimiert.

Weiteres To Do: Sichere Passwortverwaltung erreichen!

  • Kontrollmechanismen einführen. Nach einer bestimmten Anzahl versuchter fehlerhafter Passwort-Eingaben wird der Account gesperrt bzw. Zugriff verweigert.
  • Überprüfung (Auditierung) der Passwörter sicherstellen. So erhalten Sie Aufschluss über die Einhaltung der implementierten Passwort-Richtlinien.
  • Sensibilisierung Ihrer Mitarbeiter. Informieren Sie regelmäßig über die Notwendigkeit der Einhaltung der Regeln zur Passwortsicherheit.
  • Zentraler Ansprechpartner. Wählen Sie für Ihr Unternehmen mindestens einen Mitarbei­ter, der verantwortlich für das Thema Passwortschutz und Datensicherheit ist.

Effektiver Schutz durch Passwortmanagement-Software

Unsere IT-Sicherheitsexperten empfehlen die Einführung einer Passwortmanagement-Software, die Ihnen die automatisierte Generierung und Verwaltung von Passwörtern ermöglicht. Sie erreichen damit u.a.:

  • Sicherheit durch komplexe Passwörter
  • Durchsetzung einer unternehmensweiten Passwort-Richtlinie
  • Effektivität durch zentralisierte Passwortverwaltung
  • Kontrolle vor unautorisiertem Zugriff
  • Zeit- und Kostenersparnis
  • Gewährleistung des „Passwortschutz für IT-Systeme“ (IT-Grundschutz-Standard BSI, Punkt 4.1 des Maßnahmenkatalogs)

Checkliste Passwortschutz

Sechs Tipps für eine solide Passwort-Gestaltung!

✅ 1

Erstellen Sie keine Passwörter, die in einem Zusammenhang mit Ihrer Person stehen! Durch Social Engineering Angriffe, Social Media Recherche oder auch durch simples Raten sind diese Passwörter diejenigen, die am einfachsten zu knacken sind.

✅ 2

Das Passwort sollte nicht zu kurz sein. Auch kryptische Zeichenketten knacken Brute Force Angriffe in weniger als einer Minute, wenn Sie eine Länge von nur 6 Zeichen haben. Die Empfehlung unserer IT-Sicherheitsexperten liegt bei 12 alphanumerischen Zeichen.

✅ 3

Wählen Sie idealerweise mehrere Wörter oder auch Sätze und bilden durch Aneinanderreihung der Anfangsbuchstaben ein sicheres Passwort, z.B.: Meine Katze mag es, jeden Tag 8 Stunden zu schlafen! Passwort: MKme,jT8Szs!

✅ 4

Setzen Sie bei externen Angeboten (Webshop, Cloud Services, Office 365 etc.) für jeden Dienst ein eigenes, sicheres Passwort. Achten Sie darauf, dass der Dienstleister eine 2-Faktor-Authentifizierung zur Verfügung stellt. Der zweite Faktor sollte darüber hinaus immer auf einem zusätzlichen Device (z.B. Token oder Mobiltelefon) generiert/angezeigt werden.

✅ 5

Alle 90 Tage sollte ein Passwort geändert werden, diese Frist gilt als allgemeingültige Empfehlung, die auch unsere IT Security Consultants herausgeben. Dem Nutzer sollte es dabei möglich sein, das Passwort schnell und einfach zu ändern.

✅ 6

Machen Sie sich technische Lösungen zur sicheren Generierung von Passwörtern zunutze. Je umfangreicher die zu verwaltenden Passwörter in Ihrem Unternehmen sind, desto größer wird die Herausforderung die o.g. Passwort-Regeln einzuhalten.

Fazit

Hacker bedienen sich verschiedenster Methoden, um Passwörter herauszufinden und Accounts zu knacken. Das Generieren von starken Passwörtern und deren sichere Verwahrung wird eine zunehmende Herausforderung für Unternehmen. Beachten Sie daher unbedingt die wichtigsten Fakten zum Thema Passwortschutz und sorgen Sie für eine sorgfältige Umsetzung von Passwort-Richtlinien in Ihrem Unternehmen!

Zurück

Zum Thema passende Artikel

IT Security Ausblick 2023: Zeiten der Unsicherheit, 9 Prognosen

Der IT Security Ausblick 2023 | Allgeier secion

Das vergangene Jahr 2022 lässt sich knapp umschreiben: wenig vorhersehbar. Eine herausfordernde Wirtschaftslage, politische Umwälzungen, die mit sich rapide ändernden Rahmenbedingungen einhergehen, Inflation, Fachkräftemangel und steigende Energiepreise haben zu einem nicht gekannten Unsicherheitsgefühl geführt, dessen Auswirkungen auch in der IT Security Branche deutlich zu spüren sind. Wo werden in den nächsten 12 Monaten die zentralen Herausforderungen liegen? Wir haben uns hierzu einige Gedanken gemacht und diese anhand der folgenden 9 Punkte zusammengefasst, denn eines ist schon jetzt absehbar: Die Gefahrenlage bleibt hoch und wird sich in 2023 weiter verschärfen.

Vorsicht, Quishing: Kriminelle nutzen QR-Codes für Phishing-Attacken

Vorsicht, Quishing: Kriminelle nutzen QR-Codes für Phishing-Attacken

QR-Codes gibt es bereits seit fast 30 Jahren. Heute scannen wir die viereckigen Codes ganz selbstverständlich mit unserem Smartphone, um Bankaufträge freizugeben, einen digitalen Impfnachweis zu erstellen oder Gutscheine abzurufen. Da QR-Codes jedoch auch von Cyberkriminellen für betrügerische Zwecke genutzt werden, sollten Sie den kleinen Quadraten nicht grenzenlos vertrauen. Vorsicht ist vor allem dann geboten, wenn Sie einen QR-Code per E-Mail erhalten: Dahinter könnte sich ein raffinierter Phishing-Angriff verstecken. Wir zeigen Ihnen, wie Sie Quishing-Attacken erkennen und sich vor ihnen schützen können.