Mal angenommen, Sie wären ein Datendieb — was würden Sie mit den Passwörtern anstellen, die Sie auf einem digitalen Raubzug erbeuten konnten? Vielleicht nutzen Sie die gesammelten Informationen für einen gezielten Brute-Force-Angriff, oder aber Sie bieten sie gegen entsprechende Bezahlung anderen Hackern im Darknet an. Diese Angreifer könnten die erworbenen Daten mit weiteren Quellen zusammenführen und eine riesige Datenbank aufbauen, um lukrative Ziele ins Visier zu nehmen. Wer weiß? Vielleicht wurden die ausgespähten Zugangsdaten ja auch auf anderen Seiten verwendet…
Gewiefte Cyberdiebe könnten sich ganz auf den Datenraub spezialisieren, um webbasierte Konten so lange weichzuklopfen, bis die Kennwörter bekannt sind. Das ist ein verstörend realistisches Szenario, wenn man sich die Angriffe nach alter Schule auf den Finanzsektor vor einigen Monaten in Erinnerung ruft. Wenn Hacker eine Lücke in einem Banken-IT-System fänden, könnten sie die Bank ausrauben, indem sie Kundengelder auf eigene Konten im Ausland überweisen und diese dann durch Umtausch in Kryptowährungen verschwinden lassen, warnte das Deutsche Institut für Wirtschaftsforschung (DIW) erst kürzlich.
Im Harvard Business Review wurden unlängst solche Bedrohungsszenarien ausführlich dargestellt, die sogar eine neue Finanzkrise auslösen könnten. Gelingt es Cyberkriminellen demnach die Sicherheitsvorkehrungen von Banken zu umgehen, könnten sie im zweiten Schritt auf Geldautomaten so viele Abbuchungen durchführen wie möglich und möglichst viele Konten unterschiedlicher Besitzer abräumen. Angriffspunkte wären demnach sowohl ungepatchte Schwachstellen und Exploits, als auch ausgelesene PINs oder gestohlene Passwörter. Steht ein solcher Angriffsvektor erst einmal offen, könnten auf einen Schlag die Gelder eines ganzen Kundenkreises abgegriffen werden.
Angriffspunkte für Passwortdiebe erkennen und beseitigen
Jedes Mal, wenn Kennwörter von Einzelpersonen oder Gruppen weitergegeben werden, drohen Folgeangriffe durch Passwortdiebe. Eines der bekanntesten Beispiele dafür ist der Fall Edward Snowden, dem früheren Mitarbeiter des US-Geheimdienstes National Security Agency (NSA). Snowden brachte gleich mehrere Kollegen zur Herausgabe ihrer Passwörter mit der Begründung, er benötige sie für seine Tätigkeit als Systemadministrator. Ohne großen Widerstand legten diese ihre Anmeldedaten offen. In verhältnismäßig kurzer Zeit konnte Snowden so an viele geheime Informationen kommen, um diese danach konzertiert an reichweitenstarke Medien weiterzugeben. Ähnlich gelagerte Angriffsmethoden führten später auch dazu, dass Yahoo und die Starwood-Hotels von massivem Datenklau betroffen waren.
Die Beispiele veranschaulichen, dass Bedrohungen durch Passwortklau von allen Seiten kommen können — von eigenen Mitarbeitern und von externen Angreifern gleichermaßen. Sicherheitsverletzungen können im privaten Umfeld ihren Ausgang haben, oder aber sie betreffen zunächst geschäftliche und behördliche Umgebungen. Die Bedrohung geht dabei immer von einer Einzelperson aus, die über zu viele sensible Informationen, Zugangsdaten und Passwörter verfügt. Einmal im unbefugten Besitz, und schon breitet sich die Missbrauchsgefahr durch fehlgenutzte Anmeldedaten aus.
Die Frage ist, wie sich dieses Dilemma lösen lässt — mit den folgenden Empfehlungen sind Sie auf dem richtigen Weg:
- Passwörter niemals doppelt verwenden. Jeder Applikation und jedem IT-System sollte ein individuelles Passwort zugeordnet werden. In keinem Fall dürfen die gleichen Kennwörter zuhause und im Büro zum Einsatz kommen. Im Geschäftsumfeld empfiehlt sich daher, einen Enterprise-Passwortmanager zu nutzen, der Passwörter sicher verwahrt, automatisch rotiert und individuell den zugangsberechtigten Anwendern bereitstellt. Auf diese Weise laufen Angriffe von Datendieben ins Leere, weil Passwörter und Zugangsberechtigungen kontinuierlich ausgetauscht werden.
- Multi-Faktor-Authentisierung (MFA) und Zwei-Faktor-Authentifizierung (2FA) einsetzen. Sollte ein Passwort in unbefugte Hände geraten, lässt sich mit Multi-Faktor- und Zwei-Faktor-Authentifizierungstechnologien schlimmeres verhindern. Nicht autorisierte Einwahlversuche fallen so direkt auf — und die Technologien nutzen kontextbezogene Informationen (wie zum Beispiel die IP-Quelladresse), so dass durch Geolokalisierung unbefugten Einwahlversuchen aus verdächtigen Regionen grundsätzlich untersagt werden können.
- Passwörter häufig wechseln. Bei der Verwendung von Passwortmanagern wird gerne vergessen, auch eine häufige Rotation der Kennwörter durchzuführen. Es ist ein wenig so wie beim Austausch von Batterien in den Rauchmeldern zuhause. Dieser Wechsel sollte regelmäßig erfolgen, um einen kontinuierlichen Schutz sicherzustellen. Zwar legt das National Institute of Standards and Technology (NIST) in den USA in seinen neuesten Empfehlungen wieder größeren Wert auf lange Passphrasen statt häufige Passwortwechsel, aber diese Sicherheitsrichtlinien wenden sich in erster Linie an Standardnutzer, die ihre Anmeldedaten niemals teilen und sich auch nicht in verschiedenen IT-Systemen wiederholt einwählen. Für geschäftliche Service Accounts oder privilegierte Konten, die von mehreren Nutzern genutzt werden, ist die Best-Practice-Empfehlung dagegen schon, die Passwörter in schneller Folge zu wechseln..
Mit geraubten Passwörtern können Eindringlinge gefährliche Angriffswege in Unternehmensnetze schlagen und sensible Computersysteme kompromittieren. Organisationen müssen sich der Gefahr bewusst werden, dass interne und externe Nutzer gleichermaßen zum Sicherheitsproblem werden können, wenn echte Zugangsdaten in die falschen Hände geraten.
Wenn Sie die Sicherheitsthematik rund um die Passwortverwendung im Unternehmen in den Griff bekommen wollen, informieren Sie sich über BeyondTrust Password Safe.