Anzeige

Passwortmanagement

Passwort ist gar nicht so schwer. „Am Weltpassworttag sollte man seine Zugangsdaten nicht vergessen.

Auch eine andere Tatsache hat man besser im Kopf: Ein großer Prozentsatz der Cyber-Einbrüche in den letzten Jahren begann mit wiederverwendeten Zugangsdaten und Angriffen, bei denen ein bekanntes Passwort für verschiedene Logins desselben Anwenders zum Einsatz kam (Credential Stuffing). Einmal im Besitz von gestohlenen Zugangsdaten, gehen Hacker schnell einen Schritt weiter und erlangen auf verschiedenen Webseiten Zugriff auf die IT-Infrastruktur in Unternehmen. Automatisierte Login-Versuche finden im großen Maßstab statt und sind äußerst erfolgreich. Selbst ein Sicherheitsexperte wie ich muss davon ausgehen, dass er kompromittiert ist. Eine Analyse ergab, dass meine privaten Informationen auf 40 gehackten Webseiten, auf denen ich mich registriert hatte, offengelegt waren.

Dabei ist es für jeden abends zuhause, im Homeoffice oder in der Firma gar nicht so schwer, sein persönliches Risiko zu reduzieren. Wer einen Passwortmanager verwendet, muss sich nur ein Passwort merken. Single-Sign-On ist - sofern möglich - immer der sichere Weg, sich anzumelden – sowohl beruflich als auch privat. Dienste, die keine Multifaktor-Authentifikation unterstützen, sollten Anwender auf jeden Fall meiden. So etwas ist mittlerweile Standard. Sind biometrische Anmeldemöglichkeiten wie Fingerabdruck oder Gesichtserkennung verfügbar, sollten diese verwendet werden. Ganz wichtig ist aber das persönliche Risikobewusstsein. Wenn Nutzer Zugangsdaten eingeben, ihr Smartphone vorzeigen oder ein Muster auf das Smartphone-Display wischen, ist ihre digitale Identität in diesem Moment verwundbar. Die Gefahr geht dann nicht nur von Schulterblicken aus, sondern auch von Überwachungskameras, die immer häufiger zuschauen, welche man aber nicht immer bemerkt.“

Alex „Jay” Balan, Director Security Research bei Bitdefender

Mehr Sicherheit, weniger Cyber-Müdigkeit: Die Passwörter den Technologien überlassen!

„Für ihre Passwörter verwenden laut dem britischen National Cyber Security Centre (NCSC) 15 Prozent der Nutzer den Namen von Haustieren, 14 Prozent den Namen eines Familienmitglieds und 13 Prozent wählen ein bekanntes Datum. Tatsächlich ist das Problem der schwachen Passwörter so gravierend, dass Großbritannien kürzlich neue Internet- und IoT-Reformen vorgeschlagen hat: password als Passwort zu verwenden wäre dann illegal.

Weltweit sind Zugangsdaten nach wie vor eine der größten Sicherheitsprobleme sowohl für Privatpersonen als auch für Unternehmen. Der SolarWinds-Vorfall Ende 2020 in den USA hat erneut gezeigt, dass eine schlechte Wahl der Kennwörter das eigene und an das Netz angeschlossenen Unternehmen beeinträchtigen kann: Einer der wohl größten Supply-Chain-Cyberangriffe in der Geschichte hatte seine Ursache im schlechten Umgang mit Passwörtern.

Privatpersonen beginnen am besten noch heute damit, einen Passwort-Manager zu verwenden, Unternehmen sollten einen Schritt weitergehen und über eine Privileged-Access-Security-Lösung nachdenken. Denn vor allem das Wechseln und stets neue Auswählen von Passwörtern ermüdet die Mitarbeiter ist eine der Hauptursachen für Cyber-Müdigkeit. Daher können Unternehmen ihre Fachkräfte mit dieser Technologie entlasten, indem die Mitarbeiter nie wieder eindeutige, komplexe Passphrasen für jedes Konto erstellen müssen, da dies das Privileged Access Management (PAM) für sie übernimmt. Somit können Fachkräfte sich produktiveren Aufgaben widmen. Gleichzeitig steigt die Unternehmenssicherheit. Passwörter rücken in den Hintergrund.“

Joseph Carson, Chief Security Scientist & Advisory CISO, ThycoticCentrify

Passwort-Hygiene reicht nicht aus – Analytik des Benutzerverhaltens wird benötigt.

„Der Weltpassworttag ist ein wichtiger Anlass, Nutzer und Unternehmen daran zu erinnern, wie wichtig gute Passwort-Hygiene ist. Denn gestohlene Anmeldedaten sind nach wie vor die häufigste Angriffstechnik von Cyberkriminellen. Folglich sollten Unternehmen ihre Belegschaft regelmäßig zu den Best Practices zur Nutzung von Passwörtern schulen.

Doch allein Passwörter sicher zu erstellen und zu nutzen, reicht heute längst nicht mehr aus. Zu gut sind Kriminelle darin geworden, Netzwerke zu infiltrieren. Um sich besser schützen zu können, benötigen Unternehmen heute auch technologische Lösungen, wie etwa die aktive Untersuchung des Nutzerverhaltens. Lösungen zur Verhaltensanalyse können schnell erkennen, wenn ein legitimer Benutzer ein anormales Verhalten zeigt, das auf kompromittierte Anmeldeinformationen hindeutet. Dieser Ansatz liefert den SOC-Analysten mehr Erkenntnisse über kompromittierte oder böswillige Benutzer, was zu einer schnelleren Reaktionszeit bei einem Vorfall führt und die Möglichkeit bietet, Angreifer auf ihrem Weg zu stoppen, bevor sie Schaden anrichten können.

Solange es Passwörter gibt, ist es wichtig, diese möglichst sicher einzusetzen - und Benutzer sollten entsprechend geschult werden. Um sich auch gegen böswillige Insider oder sehr fortschrittliche Angriffe zu schützen, benötigen Unternehmen heute jedoch auch technologische Lösungen, die Attacken nach der Kompromittierung von Anmeldeinformationen schnell aufdecken können.“

Egon Kando, Area Vice President of Sales Central, Southern and Eastern Europe bei Exabeam

Jeder Nutzer könnte zum Türöffner für Kriminelle werden.

„Obwohl niemand gern Cyberkriminelle in seine eigene IT-Infrastruktur schlüpfen lassen will, spiegelt sich dies nicht automatisch in starken Passwörtern wider. Eine Tatsache, die Cyberkriminelle unter anderem mit Brute Force-Attacken ausnutzen. Warum Begriffe wie ‚Passwort‘, ‚Admin‘ oder die Tastaturreihenfolge ‚qwertz‘ unter Usern nach wie vor Dauerbrenner für den Schutz ihrer Accounts sind, hat einerseits mit Bequemlichkeit, andererseits mit einer etwas lässigen Risikoauffassung zu tun. Die Vorstellung, ein Hacker würde sich die Mühe machen, einen einzigen Account zu attackieren, hält sich hartnäckig. Tatsächlich werden derartige Angriffe automatisch auf hunderte von Zielen gleichzeitig ausgeführt.

Selbst in manchen Unternehmen hält man es nahezu für ausgeschlossen, als Ziel für kriminelle Cyberattacken überhaupt ‚interessant‘ zu sein. Eine Haltung, die im digitalen Zeitalter, in denen Daten für eine Vielfalt an kriminellen Zwecken missbraucht werden können und bares Geld wert sind, der Vergangenheit angehören sollte. Denn jeder Nutzer könnte zum Türöffner für Kriminelle werden. Dieses Schicksal lässt sich mit komplexen Passwörtern aus nicht naheliegenden Zeichenfolgen einfach verhindern. Für Unternehmensinfrastrukturen sind Passwörter eine bedeutende Verteidigungslinie und gleichzeitig eine kostengünstige Maßnahme, die in keiner Sicherheitsstrategie fehlen sollte."

Tom Haak, Geschäftsführer und Mitgründer, Lywand Software


Artikel zu diesem Thema

#workathome
Mai 02, 2021

Verschärfte Homeoffice-Pflicht – Was gilt jetzt eigentlich?

Trotz des anhaltenden Lockdowns sowie der Ausweitung entsprechender Impf- und…
Supply Chain
Feb 19, 2021

Cyberangriffe auf Supply Chains – ein Next-Level-Geschäftsrisiko?

Angriffe auf Software-Lieferketten werden zunehmend komplexer, betreffen Unternehmen…
Password
Feb 05, 2021

3,2 Milliarden Passwörter wurden gehackt und veröffentlicht

Cyberkriminelle veröffentlichten kürzlich in einem Online-Hacking-Forum eine…

Weitere Artikel

Digitale Forensik

Digitale Forensik gewinnt an Bedeutung

Die Digital Forensics Umfrage 2021 vor beschäftigt sich mit der Professionalisierung des Berufszweigs und der Bewertung der Fähigkeiten durch die Befragten. Die Umfrage zeigt, dass die meisten der 370 Umfrage-Teilnehmer grundlegende Fähigkeiten und Wissen…
Bundestagswahl

So angreifbar ist die Bundestagswahl

Aufgrund des analogen Wahl- und Auszählverfahrens gilt die Bundestagswahl als relativ sicher gegen direkte Manipulationsversuche durch Hacker. Doch auch wenn es für Cyber-Kriminelle kaum möglich sein dürfte, die Wahl direkt zu beeinflussen, gibt es im Vorfeld…
Cyberangriff

Cyberbedrohungen 2021: Phishing und Identitätsdiebstahl am wichtigsten

Das SANS Institute, Anbieter von Cybersecurity-Trainings und -Zertifizierungen, stellt die Ergebnisse seines SANS 2021 Top New Attacks and Threat Reports vor.
Cyberangriff

Cring-Ransomware nutzt uralte Version von Adobe ColdFusion aus

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.
Hacker

Hacker zielen verstärkt auf kritische Infrastrukturen

Kritische Infrastrukturen (KRITIS) sind für das reibungslose Funktionieren unserer Gesellschaft und Wirtschaft unerlässlich. Da diese Strukturen hochsensibel sind, stellen sie für Cyberkriminelle ein ganz besonderes Ziel dar und sie unternehmen große…
Ransomware

Die Ransomware-Krise braucht einen globalen Lösungsansatz

Ransomware hat sich mittlerweile zu einem globalen Problem entwickelt. Cyberkriminelle Gruppen operieren von Ländern aus, die ihnen einen sicheren Unterschlupf bieten und es ihnen ermöglichen, sogar raffinierteste Angriffe zu starten. Um eine Eskalation zu…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.