Smishing: Mobiltelefone im Visier von Internetkriminellen
28. Mai 2021IT-Sicherheit, Informationssicherheit und Internetsicherheit: Mehr Durchblick im IT-Begriffsdschungel!
4. Juni 2021Passwort Stealing: Gelegenheit macht Passwortdiebe!
Internetkriminalität nimmt inzwischen unerfreulicherweise immer stärkere Ausmaße an.
Erschwerend kommt dazu, dass ein Großteil aller erfolgreichen Internetangriffe auf ungünstige Passwörter begründbar ist. Dabei sind besagte Password Stealer immer öfters das erste Mittel der Wahl vieler Internetkrimineller, um vertrauliche Daten wie Passwörter abzugreifen. Dennoch können Firmen die Bedrohung sowie angriffsbedingte Schäden von Password Stealing reduzieren, indem sie zusätzlich zu starken Passwörtern, eine kraftvolle Passwort-Manager-Lösung und einen Authentifizierungsprozess mit mehreren Faktoren umsetzen.
Die Internetkriminalität nimmt von Jahr zu Jahr zu.
Aktuellsten Studien nach sind 75% der Unternehmen in Deutschland von Datendiebstahl, Industriespionage oder Zerstörung betroffen – und der Trend steigt.
Das Schlimme an dieser Tatsache: Zufolge dem neusten „Data Breach Investigations Report 2020“ von Verizon sind 81 Prozent aller gelungenen Internetangriffe und Datenskandale auf unsichere oder gestohlene Passwörter zurückzuführen.
Mit Leichtigkeit – das Kennwort geklaut!
Ein Augenmerk auf die meistens eingesetzten Passwörter im Jahr 2020 demonstriert: Schwache und unsichere Passwörter wie „123456“, „password“ und „abc123“ stehen in Deutschland weiterhin hoch im Kurs.
Deswegen ist es also kein Wunder, dass Passwörter nach wie vor ein gefragtes Einfallstor für Internetkriminelle sind, um unauffällig in Netze einzudringen, IT-Systeme zu beeinflussen und sensible Informationen zu entwenden oder zu verschlüsseln, um anschließend ein horrendes Lösegeld zu erpressen.
Beim Passwortdiebstahl setzen Internetkriminelle neben Brute-Force Attacken immer häufiger auf bekannte Password Stealer oder Password Stealing Ware, kurz PSW. Hierbei handelt es sich um bösartige Malware, die besonders für das Abgreifen von vertraulichen Daten konzipiert wurde. Dabei nutzt die Malware verschiedene Maßnahmen, um gezielt vertrauliche Informationen wie Benutzername, gespeicherte Zugangsdaten, AutoFill-Formularinfomationen oder auch Cookie-Informationen direkt aus dem Internetbrowser abzugreifen, sobald diese von einem User eingegeben werden.
Mehr Durchblick im Passwort-Dickicht!
Die Anzahl unserer Passwörter steigt kontinuierlich. Ganz gleich ob Online-Banking, Mailbox, oder Cloud-Service – Mittlerweile fordern annähernd alle Onlinedienste, jedoch auch eine Vielzahl von Geschäftsanwendungen, eine gesonderte Anmeldung via Benutzername und Passwort.
Gleichzeitig sollte das Kennwort aus Sicherheitsgründen:
• speziellen Vorgaben entsprechen und aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen
• in periodischen Abständen abgeändert werden und
• insbesondere nicht für verschiedene Lösungen zur selben Zeit genutzt werden.
Der Effekt: Irgendwann kommt es zu einer regelrechten Passwortflut.
Damit Betriebe den Griff zu konventionellen und gefahrvollen Herangehensweisen wie die wiederkehrende Nutzung eines einzigartigen Passwortes, Verwaltung der Passwörter auf Post-it-Zetteln oder das automatische Abspeichern im Internetbrowser unterbinden können, empfiehlt sich die Passwortverwaltung mithilfe eines Passwort-Managers.
Passwort-Manager sind Softwarelösungen, mit deren Hilfe Unternehmen Zugangsdaten in codierter Form abspeichern, organisieren und verwenden können. Zeitgleich bieten die meisten Passwort-Manager eine Passwortgenerator-Funktionalität, um komplizierte und sichere Passwörter aus zufälligerweise zusammengewürfelten Buchstaben, Zahlen und Sonderzeichen zu erstellen.
Während die Datenbank des Passwort-Managers mit jedwedem neu hinzugefügten Passwort wächst, benötigt der User einzig ein Master-Passwort, um sich bei den diversen Diensten authentifizieren zu können.
Der Benefit: Anstelle von unzählig verschiedenen Passwörtern muss sich der Anwender nur noch das Master-Passwort merken. Dank der vollautomatischen Codierung der Passwörter und der Datenbank beschützen Passwort-Manager die Zugangsdaten auch dann, wenn ein Angreifer Zugriff auf ein System erhalten hat.
Demnach stellen Passwort-Manager einen wesentlichen Grundpfeiler einer ganzheitlichen IT-Sicherheitsstrategie dar.
Multi-Faktor-Authentifizierung verspricht einen noch besseren Schutz!
Nach einer aktuellen Auswertung von Kaspersky zufolge ist die Zahl der Opfer von Passwort-Klau von beinahe 600.000 im ersten Halbjahr 2018 auf über 940.000 im Vergleichszeitraum 2019 angestiegen.
Obgleich starke und einzigartige Passwörter einen besonders außergewöhnlichen Schutzmechanismus gewährleisten und die Nutzung von Passwort-Managern bereits zu einer besseren Passwortverwaltung führt, bringt eine Multi-Faktor-Authentifizierung, kurz MFA, deutlich mehr Sicherheit als die simple Abfrage von Benutzername und Kennwort.
Bei einer Multi-Faktor-Authentifizierung werden zwei oder mehrere unterschiedliche Authentifizierungsfaktoren benötigt, um die Identität eines Users nachzuweisen. Dabei werden zumindest zwei der nachfolgenden Faktoren miteinander kombiniert:
• Faktor Wissen anhand PIN, Passwort, Benutzernamen, Antworten auf Sicherheitsfragen
• Faktor Besitz unter Einsatz von SecurID-Tokens, mTAN-Code, Smartphone, Kreditkarte
• Faktor Biometrie unter Zuhilfenahme von Fingerabdruck, Irismuster, Retinamuster, Venenmuster, Stimme
Zusätzlich zu den drei genannten Authentifizierungsfaktoren Wissen, Besitz und Biometrie können sogenannte risikobasierte Authentifizierungsfaktoren oder auch adaptive oder kontextbezogene Authentifizierungsfaktoren zum Einsatz kommen wie zum Beispiel Standort, Zeitpunkt der Anmeldung oder Anmeldung über ein privates oder ein öffentliches Netzwerk.
Machen Sie Passwortdieben den Garaus!
Inzwischen vergeht keine Woche ohne einen spektakulären Datenraub.
Unsichere Passwörter wie auch eine ungenügende IT- Sicherheitsumgebung fördern diese Entwicklung. Vor diesem Hintergrund bietet es sich an mit guten Passwörtern sowie einer leistungsfähigen Passwort-Manager-Lösung und einer Multi-Faktor-Authentifizierung Password Stealern einen Riegel vorzuschieben. Nicht zuletzt sind Firmen gemäß Art. 24 EU-DSGVO dazu in der Verpflichtung, geeignete technische und organisatorische Maßnahmen zu ergreifen, die den Schutz und die Absicherung personenbezogener Daten gewährleisten.
Möchten auch Sie einen leistungsfähigen Passwort-Manager verwenden und/oder die Authentifizierungsprozesse in Ihrem Betrieb besser machen und so Ihre Datenintegrität erhöhen? Sprechen Sie uns gerne an, telefonisch unter 0049 8284 99690-0 oder per E-Mail unter vertrieb@esko-systems.de