Risikofaktor Mitarbeiter: Unterschätzte Gefahr von Ransomware-Attacken
Würden Sie mir Ihr Passwort für Ihr Amazon-Konto mitteilen? Nein, Sie geben Ihr Passwort nicht weiter? Auch nicht mit Ihrem Partner? Fällt Ihnen Ihr Lycos-Passwort oder Ihr Ebay-Passwort ein? Ein sicheres Passwort gilt weithin als Garant für die Sicherheit verschiedener Online-Konten, Anwendungen, Netzwerke und anderer Dienste. Dennoch ist Identitätsdiebstahl eine der beliebtesten Methoden von Cyberkriminellen, um schnell an Geld zu kommen. Damit nicht genug: Viele Nutzer machen es den Hackern leicht, an das begehrte Passwort zu kommen. Aber auch gross angelegte Cyberangriffe, um massenhaft Zugangsdaten von Unternehmen abzugreifen, sind keine Seltenheit. Und auch hier sind die Methoden vielfältig: von Angriffen über Botnetze über Man-in-the-Middle-Attacken bis hin zum Einsatz von Trojanern. Die gesammelten sensiblen Daten werden dann von den Kriminellen weiterverkauft, zum Beispiel im Dark Web. Oder sie werden genutzt, um mit einer „falschen“ Identität Finanztransaktionen auszulösen oder Waren zu kaufen. Wie Sie sich vor Identitätsdiebstahl schützen können und warum KEIN Passwort Ihr Mittel der Wahl sein sollte, lesen Sie hier.
Die Krux mit dem Passwort
Ein Passwort ist eine oft zusammenhängende Zeichenfolge, die aus Buchstaben, Ziffern und im besten Fall aus Sonderzeichen besteht. Es dient der Identifizierung und Authentifizierung einer Person gegenüber einem Computer, einem Dienst, einer Anwendung, einem Netzwerk oder einer Website in Verbindung mit einer Benutzerkennung. Es dient auch dazu, den Zugriff durch unbefugte Personen zu verhindern. Das Passwort sollte nur dem Benutzer und dem System bekannt sein.
Die Wahl des Passworts als vielleicht einzige Sicherheitsmassnahme bringt jedoch zwei grosse Probleme mit sich. Erstens machen es sich viele Nutzer zu einfach und schaffen damit ein Sicherheitsproblem. Laut einer Studie von Aberdeen Strategy & Research in Zusammenarbeit mit Nevis haben viele Nutzer schlechte Angewohnheiten, wenn es um die Wahl des Passworts geht. So sind die meisten Passwörter trotz gegenteiliger Warnungen immer noch kürzer als zehn Zeichen und werden in 52 Prozent der Fälle für mehrere Konten verwendet. Schlimmer noch: 13 Prozent der Nutzer verwenden ein und dasselbe Passwort für alle Konten und Anwendungen. Die beliebtesten Kombinationen sind „123456“, „pas sword“ und „abc123“. Beliebt sind auch leicht zu knackende Fantasiewörter (32 Prozent) sowie Geburtstage oder Haustiernamen (21 Prozent). Lange und sichere Sätze werden dagegen nur in 11 Prozent der Fälle verwendet.
Das aktuelle Sicherheitsbarometer von Nevis zeigt, dass sich die Nutzer ein Höchstmass an Datenschutz wünschen. Nur fünf Prozent der Befragten gehen sorglos mit ihren persönlichen Daten um.
Die meisten Nutzer haben Angst davor, dass ihre Daten missbraucht oder ihre Internet-Identität und damit ihre Benutzerkonten gestohlen werden könnten.
Dass die Verwendung von Passwörtern nicht sicher ist, zeigt folgendes Szenario.
Wenn das Passwort ein zweites Leben führt, wird es gefährlich
Cyberkriminelle haben viele Möglichkeiten, Ihre Identität oder Ihr Passwort zu stehlen. Meist erfolgt der Angriff mehrstufig.
Brute-Force-Angriffe sind bei Hackern nach wie vor sehr beliebt. Mit fast 20 Prozent sind sie der dritthäufigste Angriffsvektor, da sie sehr erfolgversprechend sind. Da 21 Prozent der Befragten in der Aberdeen-Studie angaben, den Namen ihres Haustieres zu verwenden, kann ein Cyberkrimineller wie folgt vorgehen. Auf gängigen Social-Media-Plattformen durchsucht der Hacker Ihre Einträge und findet Fotos Ihrer Katze, unter denen Sie gepostet haben: „Minki wird heute drei Jahre alt“. Der Hacker probiert nun den Namen Ihrer Katze mit dem Geburtsdatum in verschiedenen Accounts aus. Da 52 Prozent der Befragten häufig dieselben Passwörter verwenden, steigt die Wahrscheinlichkeit, dass der Kriminelle nicht nur bei einem Account Erfolg hat.
Damit hat er die zweite Stufe des Angriffs erreicht: Er kann Ihre Identität und Ihre Konten übernehmen. Dies wird als Account Takeover bezeichnet.
Hat der Cyberkriminelle Ihr Konto übernommen, kommt er nicht nur leicht an weitere Daten wie Ihre Kreditkartennummer oder Ihre genaue Adresse, er kann auch in Ihrem Namen Verträge abschliessen, Waren oder Dienstleistungen bestellen und vieles mehr. Oft fällt dies erst auf, wenn Abbuchungen vom Konto erfolgen. Wenn Sie dann nicht schnell genug reagieren und beim Händler Widerspruch einlegen, hat der Betrüger die Ware bereits erhalten. Wenn dieser dann auch noch Ihre Zugangsdaten ändert, wird es noch schwieriger, den Betrug zu stoppen.
Präventionstechniken, um Identitätsdiebstahl zu stoppen
Der einfachste Weg, Identitäts- und Passwortdiebstahl zu verhindern, ist der Verzicht auf Passwörter. Bei der passwortlosen Authentifizierung wird die Identität einer Person überprüft, ohne dass sich der Benutzer ein Passwort merken muss. Dieser Ansatz kann auch in die sehr sichere Multi-Faktor-Authentifizierung (MFA) integriert werden. So kann sich ein Benutzer in einem System beispielsweise mit FIDO-konformen Passschlüsseln und einem biometrischen Merkmal wie dem Fingerabdruck authentifizieren.
Wenn Unternehmen ihren Nutzern diese Möglichkeit bieten, sind die Konten ihrer Kunden nicht nur besser geschützt, sondern sie bieten ihnen auch eine nahtlose Nutzererfahrung. Damit wird die passwortlose Authentifizierung die Zukunft für die Datensicherheit.
