Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Passwortbasierte Angriffe in 2023 – und was wir daraus lernen können
Passwörter sind in 88 Prozent der Unternehmen nach wie vor die bevorzugte Authentifizierungsmethode. Damit Passwörter auch wirklich schützen, sollten Angreifer also mehr benötigen als acht Zeichen, um ein Unternehmen zum Stillstand zu bringen. Die jüngsten Passwortangriffe, darunter auch solche auf namhafte Unternehmen, zeigen jedoch, wie leicht Zugangsdaten ausgespäht und missbraucht werden können.
In fast der Hälfte (49 %) der im Verizon Data Breach Investigations Report 2023 genannten Datenabflussvorfälle waren Passwörter betroffen. Für Cyberkriminelle gibt es viele Möglichkeiten, an Passwörter zu gelangen: Mitarbeiter können durch gefälschte E-Mails zur Herausgabe ihrer Anmeldedaten gebracht werden (Phishing), mit speziellen Passwortlisten mit sinnvollen Wörtern oder beliebten Zeichenkombinationen können Konten geknackt werden (Wörterbuchangriffe) oder man kauft im Darknet Listen mit bereits gehackten Anmeldedaten und probiert sie bei anderen Konten aus (sog. Credential Stuffing) – mit guten Erfolgsaussichten, denn viele Benutzer setzen auf dieselben Passwörter für unterschiedliche Accounts.
Das sind nur einige Beispiele für bewährte Passwort-Angriffsmethoden. In jedem Fall stehen böswilligen Akteuren mit einem gültigen Passwort Tür und Tor für alle möglichen kriminellen Aktivitäten offen – vom Datendiebstahl über Erpressung bis zur Übernahme wichtiger Geschäftssysteme.
Aktuelle Beispiele für passwortbasierte Angriffe
Im Jahr 2023 trafen Passwortangriffe zahlreiche Unternehmen aus unterschiedlichsten Branchen. Besondere Aufmerksamkeit erlangten erfolgreiche Attacken auf bekannte Marken, wie zum Beispiel:
NortonLifeLock
Norton ist zwar als Anbieter von Virenschutzsoftware bekannt, doch im Dezember 2022 wurde das Unternehmen selbst Opfer eines Cyberangriffs. Seit Anfang Dezember hatte es eine ungewöhnlich hohe Anzahl gescheiterter Loginversuche auf Nutzerkonten registriert. Eine Analyse der Vorgänge ergab, dass Hacker versuchten, sich mithilfe einer Liste von bereits bei anderen Gelegenheiten erbeuteten Benutzernamen und Kennwörtern Zugriff auf Informationen zu verschaffen.
Der Vorfall betraf den unternehmenseigenen Norton Lifelock Password Manager. Laut dem Unternehmen wurden ca. 6.450 Benutzerkonten kompromittiert. Norton konnte nicht ausschließen, dass die Angreifer in einigen Fällen auch Zugriff auf die Informationen der jeweiligen Passwortmanager hatten.
23andMe
Ende 2023 verlautbarte 23andMe, ein auf Gentests und Ahnenforschungsdienste spezialisiertes Unternehmen, Opfer eines Cyberangriffs geworden zu sein. Bei dem Angriff kamen Benutzernamen und Passwörter zum Einsatz, die gleichzeitig für andere Websites verwendet wurden und bereits kompromittiert waren (Credential Stuffing). Über ca. 14.000 kompromittierte 23andMe-Konten hatten die Angreifer Zugriff auf weitere Informationen, insbesondere auf sog. DNA Relatives Profiles mit Informationen über Verwandte und mögliche Verwandte – darunter deren Name, Standort, Geburtsjahr und Geburtsname sowie der Geburtsort von Vorfahren. Dadurch addierte sich die Zahl der betroffenen Personen auf nahezu 6.9 Millionen.
Anfang Oktober 2023 waren in einem bekannten Hacker-Forum angebliche Daten von einer Million Nutzern jüdischer und 100.000 Nutzern chinesischer Abstammung als Beweis für den erfolgreichen Angriff veröffentlicht worden. Infolge des Datendiebstahls sah sich das Unternehmen bis Januar 2024 mit insgesamt 30 Sammelklagen konfrontiert.
Freecycle
Freecycle ist ein gemeinnütziges Online-Netzwerk, über das ungenutzte Gegenstände verschenkt und einer neuen Verwendung zugeführt werden können, statt sie als Müll zu entsorgen. Ende August forderte die Organisation ihre Mitglieder dringend auf, ihre Passwörter zu ändern, und betonte, dass die Änderung der Anmeldedaten besonders wichtig sei, wenn die Mitglieder dieselben Passwörter auch für andere Dienste verwenden.
Im Darknet hatte zuvor ein Hacker behauptet, Zugriff auf bis zu sieben Millionen Konten zu haben und als Beweis 31 Beispiele veröffentlicht. Laut Freecycle wurden dabei Benutzer-IDs, E-Mails und Passwort-Hashes gestohlen. Die Organisation erklärte, der Angriff könne möglicherweise bereits einige Jahre zuvor begonnen haben und mit einem ungewollt über das Internet erreichbaren Server zusammenhängen.
Wie kann die Sicherheit von Passwörtern wiederhergestellt werden?
Auch wenn die genauen Schritte zur Behebung eines Sicherheitsvorfalls je nach Ausmaß des Passwortangriffs variieren können, gibt es doch einige bewährte Methoden, um den Schaden zu minimieren:
1. Geben Sie Anweisung zum Zurücksetzen aller Passwörter
Nach einem erfolgreichen Cyberangriff sind dem Angreifer möglicherweise alle aktuellen Kennwörter eines Unternehmens bekannt. Indem ihm der Zugang über kompromittierte Passwörter unmöglich gemacht wird, können die Auswirkungen des Angriffs in Grenzen gehalten und Folgeangriffe vermieden werden. Dazu sollten alle Mitarbeiter und Kunden aufgefordert werden, ihre Passwörter umgehend zu ändern.
Mitarbeitern kann dies durch Einsatz eines Self-Service-Tools wie Specops uReset erleichtert werden. So können Sie eine Überlastung Ihres Helpdesks vermeiden, indem die Nutzer ihr Passwort per Browser, Handy oder direkt vom Windows-Login Screen aus zurücksetzen. Sicherheitsfeatures wie Multifaktor-Authentifizierung, Geo-Blocking und die Blockade kompromittierter Passwörter in Kombination mit Specops Password Policy sorgen zudem für einen risikolosen Reset-Prozess und für starke Kennwörter.
2. Koordinieren Sie ein Incident Response Team
Wenn Sie noch keine Maßnahmen zur Bewältigung eines Cybersicherheitsvorfalls getroffen haben, sollten Sie zunächst die betroffenen Abteilungen zusammenbringen, um einen Aktionsplan zu entwickeln. Dazu gehören in der Regel die IT-Abteilung, die Rechtsabteilung und auch das Marketing-/ Kommunikationsteam, das für die Information der Betroffenen verantwortlich ist. Möglicherweise müssen Sie auch die Hilfe von Experten für digitale Forensik in Anspruch nehmen, um das tatsächliche Ausmaß und die Auswirkungen des Angriffs zu ermitteln.
3. Benachrichtigen Sie alle, deren persönliche Daten kompromittiert wurden
Eine wirksame Benachrichtigung über eine Datenpanne ist Pflicht. Sie muss umfassend und verständlich sein. Neben der Bekanntgabe des Vorfalls sollte sie weitere wichtige Informationen und klare Empfehlungen für die nächsten Schritte beinhalten.
- Stellen Sie sicher, dass Sie Antworten auf die am häufigsten gestellten Fragen gegeben haben.
- Ermöglichen Sie Betroffenen, Sie für weitere Fragen oder Einzelheiten zu kontaktieren.
Geben Sie Empfehlungen zum Schutz der Daten, wie z. B. die oben beschriebene Anweisung zum Zurücksetzen des Passworts.
Was wir aus den aktuellen Passwortangriffen lernen können
Für Hacker ist der Weg über passwortbasierte Angriffe nach wie vor sehr erfolgversprechend. Dafür gibt es mehrere Gründe, allen voran der immer noch weit verbreitete Gebrauch schwacher Passwörter. 2023 wurden die Top Ten der vom Hasso-Plattner-Institut ermittelten beliebtesten deutschen Kennwörter von „123456789“ angeführt – wohl kein nennenswertes Hindernis, nicht einmal für Amateur-Hacker.
Die oben beschriebenen aktuellen Beispiele für Passwortangriffe auf Unternehmen weisen aber auch auf einen weiteren beliebten Fehler auf Nutzerseite hin: das Verwenden ein und desselben Passworts für verschiedene Nutzerkonten. Ist solch ein Login einmal bei einem Konto geknackt, stehen die Türen anderer damit gesicherter Konten weit offen. Listen mit kompromittierten Passwörtern und Benutzernamen werden zahlreich im Darknet angeboten und erleichtern automatisierte Massenangriffe auf Nutzerkonten per Credential Stuffing ungemein.
Die Schwachstellen sind also in vielen Fällen die Nutzer und deren Umgang mit Passwörtern. Hier gilt es anzusetzen, wenn es darum geht, Ihr Unternehmen vor Passwortangriffen zu schützen.
Bewährte Passwortverfahren für das Jahr 2024
Um Ihr Unternehmen vor Passwortangriffen zu schützen, müssen Sie das Rad nicht neu erfinden. Mit einigen Standardschutzmaßnahmen können Sie für eine wesentlich höhere Sicherheit sorgen.
Schulen Sie ihre Mitarbeiter regelmäßig in Sachen Passwortsicherheit und informieren sie über die Bedeutung starker Passwörter und die Gefahren einer Verwendung derselben Passwörter für mehrere Dienste. Mit klaren, benutzerfreundlichen Passwortrichtlinien sorgen Sie dafür, dass Passwörter wie „123456789“, „hallo“ oder das immer noch beliebte „admin“ der Vergangenheit angehören. Eine gute Orientierung bieten die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) „Sichere Passwörter erstellen“. Tools wie Specops Password Policy helfen zudem, die Richtlinien in Active Directory umzusetzen und schwache, leicht zu erratende Kennwörter dauerhaft zu blockieren.
Um zu verhindern, dass Angreifer mit bereits gehackten oder anderweitig illegal erlangten Anmeldedaten Zugriff auf Benutzerkonten und Berechtigungen erlangen, sollten Sie die Verwendung bereits kompromittierter Kennwörter verhindern. Auch hier hilft Specops Password Policy indem es Ihr Active Directory per Breached Password Protection kontinuierlich auf über 4 Milliarden kompromittierte Passwörter überprüft.
Fazit
Passwörter sind der Schlüssel zu einigen der wertvollsten Informationen und Systeme der Welt. Mit bewährten Schutzmaßnahmen und hilfreichen Tools können Unternehmen besser dafür sorgen, dass diese Schlüssel nicht in die falschen Hände geraten.
Autor
Torsten Krüger
Torsten Krüger ist seit mehr als 20 Jahren Spezialist für Content-Marketing und Presse bei der B2B-Content-Marketing-Agentur ucm. Dort und als freier Autor schreibt er vor allem zu Themen aus den Bereichen IT, Energie, Elektrotechnik, Medical/Healthcare, Maschinenbau und Musik.
(Zuletzt aktualisiert am 08/02/2024)