Thought Leadership
Passwort ist gar nicht so schwer. „Am Weltpassworttag sollte man seine Zugangsdaten nicht vergessen.
Auch eine andere Tatsache hat man besser im Kopf: Ein großer Prozentsatz der Cyber-Einbrüche in den letzten Jahren begann mit wiederverwendeten Zugangsdaten und Angriffen, bei denen ein bekanntes Passwort für verschiedene Logins desselben Anwenders zum Einsatz kam (Credential Stuffing). Einmal im Besitz von gestohlenen Zugangsdaten, gehen Hacker schnell einen Schritt weiter und erlangen auf verschiedenen Webseiten Zugriff auf die IT-Infrastruktur in Unternehmen. Automatisierte Login-Versuche finden im großen Maßstab statt und sind äußerst erfolgreich. Selbst ein Sicherheitsexperte wie ich muss davon ausgehen, dass er kompromittiert ist. Eine Analyse ergab, dass meine privaten Informationen auf 40 gehackten Webseiten, auf denen ich mich registriert hatte, offengelegt waren.
Dabei ist es für jeden abends zuhause, im Homeoffice oder in der Firma gar nicht so schwer, sein persönliches Risiko zu reduzieren. Wer einen Passwortmanager verwendet, muss sich nur ein Passwort merken. Single-Sign-On ist – sofern möglich – immer der sichere Weg, sich anzumelden – sowohl beruflich als auch privat. Dienste, die keine Multifaktor-Authentifikation unterstützen, sollten Anwender auf jeden Fall meiden. So etwas ist mittlerweile Standard. Sind biometrische Anmeldemöglichkeiten wie Fingerabdruck oder Gesichtserkennung verfügbar, sollten diese verwendet werden. Ganz wichtig ist aber das persönliche Risikobewusstsein. Wenn Nutzer Zugangsdaten eingeben, ihr Smartphone vorzeigen oder ein Muster auf das Smartphone-Display wischen, ist ihre digitale Identität in diesem Moment verwundbar. Die Gefahr geht dann nicht nur von Schulterblicken aus, sondern auch von Überwachungskameras, die immer häufiger zuschauen, welche man aber nicht immer bemerkt.“
Alex „Jay” Balan, Director Security Research bei Bitdefender
Mehr Sicherheit, weniger Cyber-Müdigkeit: Die Passwörter den Technologien überlassen!
„Für ihre Passwörter verwenden laut dem britischen National Cyber Security Centre (NCSC) 15 Prozent der Nutzer den Namen von Haustieren, 14 Prozent den Namen eines Familienmitglieds und 13 Prozent wählen ein bekanntes Datum. Tatsächlich ist das Problem der schwachen Passwörter so gravierend, dass Großbritannien kürzlich neue Internet- und IoT-Reformen vorgeschlagen hat: password als Passwort zu verwenden wäre dann illegal.
Weltweit sind Zugangsdaten nach wie vor eine der größten Sicherheitsprobleme sowohl für Privatpersonen als auch für Unternehmen. Der SolarWinds-Vorfall Ende 2020 in den USA hat erneut gezeigt, dass eine schlechte Wahl der Kennwörter das eigene und an das Netz angeschlossenen Unternehmen beeinträchtigen kann: Einer der wohl größten Supply-Chain-Cyberangriffe in der Geschichte hatte seine Ursache im schlechten Umgang mit Passwörtern.
Privatpersonen beginnen am besten noch heute damit, einen Passwort-Manager zu verwenden, Unternehmen sollten einen Schritt weitergehen und über eine Privileged-Access-Security-Lösung nachdenken. Denn vor allem das Wechseln und stets neue Auswählen von Passwörtern ermüdet die Mitarbeiter ist eine der Hauptursachen für Cyber-Müdigkeit. Daher können Unternehmen ihre Fachkräfte mit dieser Technologie entlasten, indem die Mitarbeiter nie wieder eindeutige, komplexe Passphrasen für jedes Konto erstellen müssen, da dies das Privileged Access Management (PAM) für sie übernimmt. Somit können Fachkräfte sich produktiveren Aufgaben widmen. Gleichzeitig steigt die Unternehmenssicherheit. Passwörter rücken in den Hintergrund.“
Joseph Carson, Chief Security Scientist & Advisory CISO, ThycoticCentrify
Passwort-Hygiene reicht nicht aus – Analytik des Benutzerverhaltens wird benötigt.
„Der Weltpassworttag ist ein wichtiger Anlass, Nutzer und Unternehmen daran zu erinnern, wie wichtig gute Passwort-Hygiene ist. Denn gestohlene Anmeldedaten sind nach wie vor die häufigste Angriffstechnik von Cyberkriminellen. Folglich sollten Unternehmen ihre Belegschaft regelmäßig zu den Best Practices zur Nutzung von Passwörtern schulen.
Doch allein Passwörter sicher zu erstellen und zu nutzen, reicht heute längst nicht mehr aus. Zu gut sind Kriminelle darin geworden, Netzwerke zu infiltrieren. Um sich besser schützen zu können, benötigen Unternehmen heute auch technologische Lösungen, wie etwa die aktive Untersuchung des Nutzerverhaltens. Lösungen zur Verhaltensanalyse können schnell erkennen, wenn ein legitimer Benutzer ein anormales Verhalten zeigt, das auf kompromittierte Anmeldeinformationen hindeutet. Dieser Ansatz liefert den SOC-Analysten mehr Erkenntnisse über kompromittierte oder böswillige Benutzer, was zu einer schnelleren Reaktionszeit bei einem Vorfall führt und die Möglichkeit bietet, Angreifer auf ihrem Weg zu stoppen, bevor sie Schaden anrichten können.
Solange es Passwörter gibt, ist es wichtig, diese möglichst sicher einzusetzen – und Benutzer sollten entsprechend geschult werden. Um sich auch gegen böswillige Insider oder sehr fortschrittliche Angriffe zu schützen, benötigen Unternehmen heute jedoch auch technologische Lösungen, die Attacken nach der Kompromittierung von Anmeldeinformationen schnell aufdecken können.“
Egon Kando, Area Vice President of Sales Central, Southern and Eastern Europe bei Exabeam
Jeder Nutzer könnte zum Türöffner für Kriminelle werden.
„Obwohl niemand gern Cyberkriminelle in seine eigene IT-Infrastruktur schlüpfen lassen will, spiegelt sich dies nicht automatisch in starken Passwörtern wider. Eine Tatsache, die Cyberkriminelle unter anderem mit Brute Force-Attacken ausnutzen. Warum Begriffe wie ‚Passwort‘, ‚Admin‘ oder die Tastaturreihenfolge ‚qwertz‘ unter Usern nach wie vor Dauerbrenner für den Schutz ihrer Accounts sind, hat einerseits mit Bequemlichkeit, andererseits mit einer etwas lässigen Risikoauffassung zu tun. Die Vorstellung, ein Hacker würde sich die Mühe machen, einen einzigen Account zu attackieren, hält sich hartnäckig. Tatsächlich werden derartige Angriffe automatisch auf hunderte von Zielen gleichzeitig ausgeführt.
Selbst in manchen Unternehmen hält man es nahezu für ausgeschlossen, als Ziel für kriminelle Cyberattacken überhaupt ‚interessant‘ zu sein. Eine Haltung, die im digitalen Zeitalter, in denen Daten für eine Vielfalt an kriminellen Zwecken missbraucht werden können und bares Geld wert sind, der Vergangenheit angehören sollte. Denn jeder Nutzer könnte zum Türöffner für Kriminelle werden. Dieses Schicksal lässt sich mit komplexen Passwörtern aus nicht naheliegenden Zeichenfolgen einfach verhindern. Für Unternehmensinfrastrukturen sind Passwörter eine bedeutende Verteidigungslinie und gleichzeitig eine kostengünstige Maßnahme, die in keiner Sicherheitsstrategie fehlen sollte.”
Tom Haak, Geschäftsführer und Mitgründer, Lywand Software
