Anzeige

Passwortmanagement

Passwort ist gar nicht so schwer. „Am Weltpassworttag sollte man seine Zugangsdaten nicht vergessen.

Auch eine andere Tatsache hat man besser im Kopf: Ein großer Prozentsatz der Cyber-Einbrüche in den letzten Jahren begann mit wiederverwendeten Zugangsdaten und Angriffen, bei denen ein bekanntes Passwort für verschiedene Logins desselben Anwenders zum Einsatz kam (Credential Stuffing). Einmal im Besitz von gestohlenen Zugangsdaten, gehen Hacker schnell einen Schritt weiter und erlangen auf verschiedenen Webseiten Zugriff auf die IT-Infrastruktur in Unternehmen. Automatisierte Login-Versuche finden im großen Maßstab statt und sind äußerst erfolgreich. Selbst ein Sicherheitsexperte wie ich muss davon ausgehen, dass er kompromittiert ist. Eine Analyse ergab, dass meine privaten Informationen auf 40 gehackten Webseiten, auf denen ich mich registriert hatte, offengelegt waren.

Dabei ist es für jeden abends zuhause, im Homeoffice oder in der Firma gar nicht so schwer, sein persönliches Risiko zu reduzieren. Wer einen Passwortmanager verwendet, muss sich nur ein Passwort merken. Single-Sign-On ist - sofern möglich - immer der sichere Weg, sich anzumelden – sowohl beruflich als auch privat. Dienste, die keine Multifaktor-Authentifikation unterstützen, sollten Anwender auf jeden Fall meiden. So etwas ist mittlerweile Standard. Sind biometrische Anmeldemöglichkeiten wie Fingerabdruck oder Gesichtserkennung verfügbar, sollten diese verwendet werden. Ganz wichtig ist aber das persönliche Risikobewusstsein. Wenn Nutzer Zugangsdaten eingeben, ihr Smartphone vorzeigen oder ein Muster auf das Smartphone-Display wischen, ist ihre digitale Identität in diesem Moment verwundbar. Die Gefahr geht dann nicht nur von Schulterblicken aus, sondern auch von Überwachungskameras, die immer häufiger zuschauen, welche man aber nicht immer bemerkt.“

Alex „Jay” Balan, Director Security Research bei Bitdefender

Mehr Sicherheit, weniger Cyber-Müdigkeit: Die Passwörter den Technologien überlassen!

„Für ihre Passwörter verwenden laut dem britischen National Cyber Security Centre (NCSC) 15 Prozent der Nutzer den Namen von Haustieren, 14 Prozent den Namen eines Familienmitglieds und 13 Prozent wählen ein bekanntes Datum. Tatsächlich ist das Problem der schwachen Passwörter so gravierend, dass Großbritannien kürzlich neue Internet- und IoT-Reformen vorgeschlagen hat: password als Passwort zu verwenden wäre dann illegal.

Weltweit sind Zugangsdaten nach wie vor eine der größten Sicherheitsprobleme sowohl für Privatpersonen als auch für Unternehmen. Der SolarWinds-Vorfall Ende 2020 in den USA hat erneut gezeigt, dass eine schlechte Wahl der Kennwörter das eigene und an das Netz angeschlossenen Unternehmen beeinträchtigen kann: Einer der wohl größten Supply-Chain-Cyberangriffe in der Geschichte hatte seine Ursache im schlechten Umgang mit Passwörtern.

Privatpersonen beginnen am besten noch heute damit, einen Passwort-Manager zu verwenden, Unternehmen sollten einen Schritt weitergehen und über eine Privileged-Access-Security-Lösung nachdenken. Denn vor allem das Wechseln und stets neue Auswählen von Passwörtern ermüdet die Mitarbeiter ist eine der Hauptursachen für Cyber-Müdigkeit. Daher können Unternehmen ihre Fachkräfte mit dieser Technologie entlasten, indem die Mitarbeiter nie wieder eindeutige, komplexe Passphrasen für jedes Konto erstellen müssen, da dies das Privileged Access Management (PAM) für sie übernimmt. Somit können Fachkräfte sich produktiveren Aufgaben widmen. Gleichzeitig steigt die Unternehmenssicherheit. Passwörter rücken in den Hintergrund.“

Joseph Carson, Chief Security Scientist & Advisory CISO, ThycoticCentrify

Passwort-Hygiene reicht nicht aus – Analytik des Benutzerverhaltens wird benötigt.

„Der Weltpassworttag ist ein wichtiger Anlass, Nutzer und Unternehmen daran zu erinnern, wie wichtig gute Passwort-Hygiene ist. Denn gestohlene Anmeldedaten sind nach wie vor die häufigste Angriffstechnik von Cyberkriminellen. Folglich sollten Unternehmen ihre Belegschaft regelmäßig zu den Best Practices zur Nutzung von Passwörtern schulen.

Doch allein Passwörter sicher zu erstellen und zu nutzen, reicht heute längst nicht mehr aus. Zu gut sind Kriminelle darin geworden, Netzwerke zu infiltrieren. Um sich besser schützen zu können, benötigen Unternehmen heute auch technologische Lösungen, wie etwa die aktive Untersuchung des Nutzerverhaltens. Lösungen zur Verhaltensanalyse können schnell erkennen, wenn ein legitimer Benutzer ein anormales Verhalten zeigt, das auf kompromittierte Anmeldeinformationen hindeutet. Dieser Ansatz liefert den SOC-Analysten mehr Erkenntnisse über kompromittierte oder böswillige Benutzer, was zu einer schnelleren Reaktionszeit bei einem Vorfall führt und die Möglichkeit bietet, Angreifer auf ihrem Weg zu stoppen, bevor sie Schaden anrichten können.

Solange es Passwörter gibt, ist es wichtig, diese möglichst sicher einzusetzen - und Benutzer sollten entsprechend geschult werden. Um sich auch gegen böswillige Insider oder sehr fortschrittliche Angriffe zu schützen, benötigen Unternehmen heute jedoch auch technologische Lösungen, die Attacken nach der Kompromittierung von Anmeldeinformationen schnell aufdecken können.“

Egon Kando, Area Vice President of Sales Central, Southern and Eastern Europe bei Exabeam

Jeder Nutzer könnte zum Türöffner für Kriminelle werden.

„Obwohl niemand gern Cyberkriminelle in seine eigene IT-Infrastruktur schlüpfen lassen will, spiegelt sich dies nicht automatisch in starken Passwörtern wider. Eine Tatsache, die Cyberkriminelle unter anderem mit Brute Force-Attacken ausnutzen. Warum Begriffe wie ‚Passwort‘, ‚Admin‘ oder die Tastaturreihenfolge ‚qwertz‘ unter Usern nach wie vor Dauerbrenner für den Schutz ihrer Accounts sind, hat einerseits mit Bequemlichkeit, andererseits mit einer etwas lässigen Risikoauffassung zu tun. Die Vorstellung, ein Hacker würde sich die Mühe machen, einen einzigen Account zu attackieren, hält sich hartnäckig. Tatsächlich werden derartige Angriffe automatisch auf hunderte von Zielen gleichzeitig ausgeführt.

Selbst in manchen Unternehmen hält man es nahezu für ausgeschlossen, als Ziel für kriminelle Cyberattacken überhaupt ‚interessant‘ zu sein. Eine Haltung, die im digitalen Zeitalter, in denen Daten für eine Vielfalt an kriminellen Zwecken missbraucht werden können und bares Geld wert sind, der Vergangenheit angehören sollte. Denn jeder Nutzer könnte zum Türöffner für Kriminelle werden. Dieses Schicksal lässt sich mit komplexen Passwörtern aus nicht naheliegenden Zeichenfolgen einfach verhindern. Für Unternehmensinfrastrukturen sind Passwörter eine bedeutende Verteidigungslinie und gleichzeitig eine kostengünstige Maßnahme, die in keiner Sicherheitsstrategie fehlen sollte."

Tom Haak, Geschäftsführer und Mitgründer, Lywand Software


Artikel zu diesem Thema

#workathome
Mai 02, 2021

Verschärfte Homeoffice-Pflicht – Was gilt jetzt eigentlich?

Trotz des anhaltenden Lockdowns sowie der Ausweitung entsprechender Impf- und…
Supply Chain
Feb 19, 2021

Cyberangriffe auf Supply Chains – ein Next-Level-Geschäftsrisiko?

Angriffe auf Software-Lieferketten werden zunehmend komplexer, betreffen Unternehmen…
Password
Feb 05, 2021

3,2 Milliarden Passwörter wurden gehackt und veröffentlicht

Cyberkriminelle veröffentlichten kürzlich in einem Online-Hacking-Forum eine…

Weitere Artikel

Supply Chain

Attacken auf die Software-Supply-Chain haben sich verdreifacht

Aqua Security, ein Anbieter cloudnativer Security, gab heute die Ergebnisse der aktuellen Studie „Software Supply Chain Security Review“ über Angriffe auf Software-Supply-Chains bekannt. Die Experten konnten über einen Zeitraum von sechs Monaten feststellen,…
Bankkarten

Eine gehackte deutsche Zahlungskarte kostet 16 Euro im Dark Web

Eine neue Studie von NordVPN hat 31.000 deutsche Zahlungskarten analysiert, die im Dark Web verkauft werden. Laut dieser Untersuchung liegt der angebotene Durchschnittspreis einer deutschen Zahlungskarte bei 15 Euro und 79 Cent.
Spionage

DazzleSpy attackiert Besucher von pro-demokratischer Nachrichtenseite in Hongkong

Die Webseite des Radiosenders D100 in Hongkong wurde kompromittiert. Ein Safari-Exploit wird ausgeführt, der eine Spionagesoftware auf die Macs der Besucher des Nachrichtenportals installiert.
Mond Rot

MoonBounce: Gefährliches Rootkit schlummert in der Firmware

Sicherheitsforscher von Kaspersky haben ein kleines, aber gefährliches Rootkit gefunden, das vom Unified Extensible Firmware Interface (UEFI) eines Computers Malware nahezu ungestört verbreiten kann.
Software Supply Chain

Angriffe auf die Software-Lieferkette stellen ein großes Risiko dar – aber sie können verhindert werden

Immer häufiger werden Software-Lieferketten angegriffen. Dies stellt eine große Gefahr dar, weil dann auf einen Schlag viele Unternehmen weltweit betroffen sein können. Wie können Unternehmen sich gegen solche Angriffe schützen?

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.