Internetkriminalität nimmt inzwischen leider immer stärkere Ausmaße an.
Erschwerend kommt dazu, dass eine Majorität aller erfolgreichen Internetangriffe auf schwache Passwörter begründbar ist. Dabei sind besagte Password Stealer immer häufiger das erste Mittel der Wahl vieler Internetkrimineller, um vertrauliche Informationen wie Passwörter abzugreifen. Allerdings können Unternehmen die Bedrohung sowie angriffsbedingte Schädigungen von Password Stealing reduzieren, indem sie abgesehen von starken Passwörtern, eine starke Passwort-Manager-Lösung und einen Authentifizierungsprozess mit mehreren Faktoren einbinden.
Die Internetkriminalität nimmt jährlich zu.
Neusten Studienergebnisse nach sind 75% der Firmen (bitkom – Studienbericht 2020) deutschlandweit von Informationsdiebstahl, Industriespionage oder Sabotage betroffen – und der Trend steigt.
Das Schlimme an dieser Tatsache: Laut dem neusten (Risikofaktor Passwortspeicherung) von Verizon (https://www.verizon.com ) sind 81 Prozent aller erfolgreichen Internetangriffe und Informationsskandale auf unzureichende oder gestohlene Passwörter begründbar.
Mit Leichtigkeit – das Kennwort geklaut!
Ein Augenmerk auf die meistens benutzten Passwörter im Jahr 2020 (Top 200 – Passwörter) zeigt: schlechte und unsichere Passwörter wie „123456“, „password“ und „abc123“ befinden in Deutschland weiterhin hoch im Kurs.
Aus diesem Grund ist es also keine Überraschung, dass Passwörter nach wie vor ein populäres Einfallstor für Internetkriminelle sind, um versteckt in Netze einzudringen, IT-Systeme zu beeinflussen und sensible Daten zu stehlen oder zu verschlüsseln, um später ein horrendes Lösegeld zu erpressen.
Bei einem Passwortdiebstahl setzen Internetkriminelle abgesehen von Brute-Force Attacken immer öfters auf bekannte Password Stealer oder Password Stealing Ware, kurz PSW. Hier handelt es sich um bösartige Schadsoftware, die speziell für das Abgreifen von sensiblen Daten konzipiert wurde. Dabei nutzt die Malware diverse Methoden, um gezielt vertrauliche Informationen wie Benutzername, gespeicherte Passwörter, AutoFill-Formularinfomationen oder auch Cookie-Informationen direkt aus dem Internetbrowser abzugreifen, wenn diese von einem Benutzer eingegeben werden.
Besserer Durchblick im Passwort-Dickicht!
Die Menge der von uns verwendeten Passwörter steigt kontinuierlich.
Ganz gleich ob Online-Banking, Mailbox, oder Cloud-Dienst – Inzwischen verlangen beinahe alle Onlinedienste, jedoch auch eine Menge von Geschäftsanwendungen, eine gesonderte Anmeldung durch Benutzername und Kennwort.
Parallel sollte das Kennwort aus Sicherheitsgründen:
- bestimmten Vorgaben entsprechen und aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen
- in periodischen Zeitabständen angepasst werden und
- vor allen Dingen nicht für mehrere Dienste parallel angewendet werden.
Das Ergebnis: Früher oder später kommt es zu einer regelrechten Passwortflut.
Damit Unternehmen den Griff zu klassischen und unsicheren Methoden wie die Mehrfachnutzung eines einzigartigen Passwortes, Organisation der Passwörter auf Post-it-Zetteln oder das automatische Speichern im Webbrowser verhindern können, empfiehlt sich die Passwortverwaltung mithilfe eines Passwort-Managers.
Passwort-Manager sind Softwarelösungen, mit deren Hilfe Unternehmen Zugangsdaten in verschlüsselter Form speichern, organisieren und verwenden können. Parallel offerieren die meisten Passwort-Manager eine Passwortgenerator-Funktionalität, um komplizierte und sichere Passwörter aus zufälligerweise zusammengewürfelten Buchstaben, Ziffern und Sonderzeichen zu erstellen.
Während die Datenbank des Passwort-Managers mit jedem neu hinzugefügten Zugangscode wächst, braucht der Anwender nur ein Master-Passwort, um sich bei den vielen unterschiedlichen Lösungen anmelden zu können.
Der Nutzen: Anstelle von vielen unterschiedlichen Passwörtern muss sich der User nur noch das Master-Passwort merken. Dank der vollautomatischen Codierung der Zugangsdaten und der Datenbank beschützen Passwort-Manager die Zugangsdaten auch dann, wenn ein Angreifer Zugang auf ein System erhalten hat.
Demnach stellen Passwort-Manager einen elementaren Grundpfeiler einer ganzheitlichen IT-Sicherheitsstrategie dar.
Multi-Faktor-Authentifizierung bringt einen noch besseren Schutz!
Entsprechend einer aktuellen Auswertung von Kaspersky (Art. 24 DSGVOVerantwortung des für die Verarbeitung Verantwortlichen) zufolge ist die Zahl der Opfer von Passwort-Diebstahl von knapp 600.000 im ersten Halbjahr 2018 auf über 940.000 im Vergleichszeitraum 2019 angestiegen.
Wenngleich starke und einmalige Passwörter einen besonders großen Schutz gewährleisten und die Verwendung von Passwort-Managern bereits zu einer besseren Passwortverwaltung führt, bietet eine Multi-Faktor-Authentifizierung, kurz MFA, deutlich mehr Absicherung als die simple Abfrage von Benutzername und Passwort.
Bei einer Multi-Faktor-Authentifizierung werden zwei oder mehrere unterschiedliche Authentifizierungsfaktoren benötigt, um die Echtheit eines Anwenders nachzuweisen. Hierbei werden zumindest zwei der nachfolgenden Punkte miteinander kombiniert:
- Faktor Wissen unter Zuhilfenahme von PIN, Passwort, Benutzernamen, Antworten auf Sicherheitsfragen
- Faktor Besitz durch SecurID-Tokens, mTAN-Code, Handy, Kreditkarte
- Faktor Biometrie anhand Fingerabdruck, Irismuster, Retinamuster, Venenmuster, Stimme
Zusätzlich zu den drei genannten Authentifizierungsfaktoren Wissen, Besitz und Biometrie können sogenannte risikobasierte Authentifizierungsfaktoren oder auch adaptive oder kontextbezogene Authentifizierungsfaktoren zur Anwendung kommen wie zum Beispiel Aufenthaltsort, Zeitpunkt der Anmeldung oder Anmeldung über ein privates oder ein öffentliches Netz.
Geben Sie Passwortdieben keine Möglichkeit!
Inzwischen verstreicht keine Woche ohne einen aufsehenerregenden Datenraub.
Unsichere Passwörter und eine ungenügende IT- Sicherheitsumgebung begünstigen diese Entwicklung. Vor diesem Hintergrund ist es empfehlenswert mit guten Passwörtern sowie einer leistungsfähigen Passwort-Manager-Lösung und einer Multi-Faktor-Authentifizierung Password Stealern einen Riegel vorzuschieben. Nicht zuletzt sind Betriebe gemäß Art. 24 EU-DSGVO (Art. 24 DSGVOVerantwortung des für die Verarbeitung Verantwortlichen) dazu verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, die den Schutz und die Absicherung personenbezogener Daten garantieren.
Möchten auch Sie einen leistungsfähigen Passwort-Manager einsetzen und/oder die Authentifizierungsprozesse in Ihrem Unternehmen verbessern und so Ihre Datenintegrität erhöhen? Sprechen Sie uns gerne an.
