Password Stealing – wie «sicher» ist mein Passwort?

Autor
Mirjam Burkard
Veröffentlicht
19. Oktober 2020

Von Passwortdiebstahl sind immer mehr Unternehmen betroffen. Unsichere Passwörter und eine mangelhafte IT-Sicherheitsumgebung bieten Hackern ideale Voraussetzungen, um mit Password Stealing Ware (PSW) Passwörter abzugreifen. Dies kann für ein Unternehmen fatale Folgen haben. In diesem Blogartikel erfahren Sie, wie Sie sich schützen können.

Password Stealing Ware – das Werkzeug der Hacker

Password Stealing Ware (PSW) steht bei Cyberkriminellen hoch im Kurs. Dabei handelt es sich um eine bösartige Software, die den Zweck hat, gezielt Passwörter zu wichtigen Accounts abzugreifen. Die Malware nutzt dazu unterschiedliche Methoden, um die Zugangsdaten direkt vom Browser abzufangen, sobald der Benutzer sie irgendwo eingibt. So können Cyberkriminelle von Logins für webbasierte Unternehmens-Tools, Online-Banking-Zugängen und Kreditkarten-Daten alles abgreifen. Mit gestohlenen Zugangsdaten und Passwörtern ist von Zahlungsanweisungen auf Auslandkonten über Online-Shop-Bestellungen und Identitätsdiebstahl alles möglich.

Gewisse Password Stealing Ware können darüber hinaus auch Cookie-Daten oder lokal abgespeicherte Desktop-Dateien abgreifen. Unsichere Passwörter sowie eine mangelhafte IT-Sicherheitsumgebung begünstigen die Malware zusätzlich. Das macht Passwort Stealing zu einem sehr lukrativen Geschäft und ist eine wichtige Einnahmequelle für Cyberkriminelle. Ob auch Ihre Passwörter schon einmal geleaked wurden, können Sie auf dieser Webseite überprüfen.

Passwort Stealing kann in einem Unternehmen einen enormen Schaden anrichten. Umso wichtiger ist ein starker Passwort- und Authentifizierungsschutz.

Passwortschutz hat oberste Priorität

90% der Passwörter sind in weniger als sechs Stunden geknackt und 2/3 der Benutzer verwenden das gleiche Passwort für verschiedene (Web-)Dienste. Ein Passwortcheck lohnt sich (verwenden Sie dabei aber nie Ihre effektiven Passwörter). Starke und einzigartige Passwörter gewährleisten einen besonders hohen Schutz, sind jedoch nicht immer sehr einfach zu erstellen.

Welche Kriterien muss ein Passwort erfüllen?

Um ein möglichst sicheres Passwort zu erstellen, sollten folgende Kriterien berücksichtigt werden:

  • Mindestens 12 Zeichen lang
  • Unterschiedliche Passwörter für jeden (Online-)Account
  • Klein- und Grossbuchstaben, inkl. Zahlen und Sonderzeichen
  • Keine personenbezogenen oder leicht nachvollziehbaren Informationen wie zum Beispiel: Hobbies, Vornamen, Nachnamen, Geburtsjahre oder -tage
  • Logische Wortverbindungen und Zeichensätze vermeiden, da sie leicht zu erraten sind
  • Nicht zu vergessen – geben Sie Ihre Passwörter niemals weiter!

Aufgrund der obigen Kriterien, welches der folgenden Passwörter würden Sie als sicher einstufen? 12345, Hans1960, MjTLha11.MG! oder #+&()=?@.

Aus unserer Sicht ist das Passwort MjTLha11.MG! (Meine jüngste Tochter Lisa hat am 11. März Geburtstag!) am idealsten. Es ist einfach zu merken und trotzdem komplex. Wählen Sie für dieses Baukastenprinzip einfach einen Satz, den Sie sich leicht merken können und bauen Sie sich so ein sicheres Passwort auf.

12345 besteht nur aus fünf Zeichen, war aber trotzdem das meistgenutzte Passwort 2019 . Das Passwort #+&()=?@ hat reine Sonderzeichen und ist dadurch schwer zu erraten. Es hat aber auch nur 8 Zeichen und ist ohne Passwort Manager schwierig zu merken. Hans1960 ist wohl selbsterklärend…

Passwort-Manager bringen System ins Chaos

Neben starken und einzigartigen Passwörtern ist auch das Passwort-Management von höchster Bedeutung. Die Flut an Passwörtern und Zugangsdaten, die sich ein durchschnittlicher Benutzer merken muss, wird immer grösser. «Best-Practice»-Ansätze verlangen unterschiedliche Passwortkriterien, was unweigerlich zu einem Passwortchaos führt. Der Griff zu konventionellen und unsicheren Methoden, wie zum Beispiel gleiche Passwörter, schriftliche Notizen der Zugangsdaten oder das automatische Abspeichern im Browser, liegt da sehr nahe. Hinzu kommt, dass Passwörter regelmässig geändert werden sollten, was das persönliche Passwort-Management zusätzlich verkompliziert. Für die Passwortverwaltung empfiehlt sich darum der Einsatz eines Passwort-Managers, wie zum Beispiel KeePass oder SecureSafe.

Zwei-Faktor-Authentifizierung für noch stärkeren Schutz

Obwohl der Passwort-Manager bereits zu einer besseren Passwortverwaltung führt, bietet eine Zwei-Faktor-Authentifizierung (2FA) deutlich mehr Sicherheit, als die einfache Abfrage von Benutzername und Passwort. Wenn die von Ihnen genutzten Dienste die Möglichkeit der 2FA anbieten, nutzen Sie diese unbedingt. Zudem haben sich die Anforderungen an die Überprüfung der Identität stark verändert. Viele Regulatoren und Gesetze verlangen schon jetzt eine starke Authentifizierung. Dabei werden zwei oder mehrere separate Schritte benötigt, damit ein Benutzer seine Identität nachweisen kann. Bei der 2FA muss die Authentifizierung aus mindestens zwei der nachfolgenden Faktoren bestehen:

  1. Wissen: PIN, Passwort, Benutzernamen, Antworten auf Sicherheitsfragen
  2. Besitz: SecurID-Token, mTAN-Code, Badge, Smartphone, Kreditkarte
  3. Biometrie: Fingerabdruck, Irismuster, Retinamuster, Venenmuster, Stimme

Die Zwei-Faktor-Authentifizierung bietet mehr Sicherheit, soll aber auch benutzerfreundlich, kosteneffizient und den aktuellen Anforderungen entsprechen. Wie dies gelingt, haben wir Ihnen in einem früheren Blogartikel aufgezeigt.

Wie steht es mit der Passwortsicherheit in Ihrem Unternehmen?

Wollen Sie wissen, wie Ihre Mitarbeitenden mit vertraulichen Passwörtern umgehen? InfoGuard kann sie dabei unterstützen. Mittels einer gezielten Überprüfung, als einmaliges Audit oder als kontinuierlicher Service, kann InfoGuard das Sicherheitsbewusstsein Ihrer Mitarbeitenden ermitteln. Dabei kann eine Simulation von Phishing- und Malware-Angriffen getestet und detailliert ausgewertet werden.

Nehmen Sie jetzt Kontakt auf. Unsere Cyber Security Experten unterbreiten Ihnen gerne ein individuelles Angebot.

Jetzt Kontakt aufnehmen!

Artikel teilen