Ablauf

GEFAHREN → CYBERANGRIFFE (5 ZIELE) → ARTEN DER CYBERKRIMINALITÄT → ARTEN VON MALWARE → PHISHING MAIL → INFORMATIONEN (DSGVO) → 

Machen Sie es Hackern so schwer, wie Sie nur können!

Gerade in Unternehmen wird Passwortsicherheit besonders groß gerschrieben und das nicht ohne Grund, denn Sicherheitslecks können schwerwiegende Folgen haben.

Beispielsweise kann ein externer Angriff zu Datenverlust und Nicht-Erreichbarkeit Ihrer Systeme führen. Die Folgen reichen von unüberschaubaren Kosten, bspw. für Schadensansprüche, bis hin zum Verlust von Markt­anteilen. In bestimmten Fällen haften die Geschäftsführer in solchen Fällen sogar mit Ihrem Privatvermö­gen.

Somit sind sichere Passwörter, ein Passwort-Manager sowie eine durchdachte Passwortstrategie, essentiell. 

So erstellen Sie sichere Passwörter

Grundbaustein und die kleinste Einheit beim Aufbau einer sicheren IT sind die Passwörter, mit denen Sie Ihre Zugänge und Daten verschlüsseln. Doch welche Passwörter gelten als sicher? 

Erster Schritt: Hohe Zeichenzahl

Das Passwort sollte mindestens acht Zeichen haben. Der Grund dafür liegt darin, dass es eine Reihe von Möglich­keiten gibt, wie Passwörter generell geknackt werden können. Eine vergleichsweise einfache Methode ist das systematische Durchprobieren von Buchstaben- und Zahlenkombinationen - der sogenannte Brute-Force-Angriff. 

Spezielle Programme sind nämlich in der Lage, über zwei Milliarden verschiedene Schlüssel pro Sekunde zu gene­rieren. Wenn man seinen PC also zum Beispiel mit einem sieben­stelligen Passwort - ausschließlich bestehend aus Kleinbuch­staben geschützt hat - gibt es insgesamt acht Milliarden Schlüssel, wodurch das Programm das Passwort in vier Sekunden knackt. Ist das Passwort nur einen Kleinbuch­staben länger, erhöht sich die Zeit, in der die Kombinationen aus­probiert werden, bereits um das 26-Fache. 

Aus mathematischer Sicht entscheidet daher die Länge des Passwortes über die Sicherheit der dahinter verborgenen Daten.

Je mehr Zeichen ein Passwort hat, desto länger dauert eine Brute-Force-Attacke.

Zweiter Schritt: Kleine und große Buchstaben, Sonderzeichen und Ziffern

Nicht nur die Länge entscheidet über die Dauer einer Brute-Force-Attacke, sondern ebenso die möglichen Kombinationen. Für ein achtstelliges Passwort, das aus Groß- und Kleinbuchstaben sowie Ziffern besteht, wird ein PCca. einen ganzen Tag benötigen, um alle Kombinationen auszuprobieren.

Der Einsatz von Sonder­zeichen erhöht die Komplexität zusätzlich und somit auch die Dauer des Suchvorgangs.

Dritter Schritt: Namen von Familienmitgliedern, Haustieren, Freunden oder deren Geburtsdaten

Glauben Sie, dass Tobi1809! ein gutes Passwort ist?

Im Hinblick auf eine Brute-Force-Attacke ja, doch wie lange würde ein Arbeitskollege oder ein Bekannter dafür benötigen? Vielleicht heißt Ihr Hund Tobias und Sie sind rein zufällig am 18.09. geboren?

Verzichten Sie lieber auf solche Bestandteile, denn Ihr berufliches oder privates Um­feld, kann solche Passwörter mit Leichtigkeit erraten. 

Vierter Schritt: Worte aus Wörterbüchern

Eine weitere Methode, ist der sogenannte Wörterbuchangriff (Dictionary Attack). Dieses Verfahren wird angewandt, wenn der Angreifer davon ausgeht, dass das Passwort aus einer sinnvollen Zeichen­kombination besteht.

Wenn Ihr Passwort in einem Wörterbuch zu finden ist, wäre eine sofortige Änderung überaus sinnvoll.

Fünfter Schritt: Wiederholungs- oder Tastaturmuster

Typische Beispiele für simple und gängige Kombinationen sind: asdfgh oder 1234abcd. Darüber hinaus ist es nicht empfehlens­wert, einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen - $ ! ? # - am Anfang oder Ende eines Passwortes zu ergänzen. Dieses Verhalten ist sehr vorhersehbar, weswegen es von den Angreifern berücksichtigt wird.

Sechster Schritt: Eigenes sicheres Passwort je Benutzerkonto

Der Grund liegt darin, dass die obigen Angriffsmethoden nur dann funktionieren, wenn beispielsweise keine Kontosperrung implementiert wurde. Denn für gewöhnlich werden nach einer bestimmten Anzahl an Fehlversuchen Konten gesperrt. Dazu kommt, dass der Eindringling 'Spuren' in den Protokoll­dateien des Servers hinterlässt.

Wenn Sie das gleiche Passwort bei fünf verschiedenen Accounts nutzen (und nur bei einem einzelnen Dienst keine Kontosperrung implementiert ist, sodass ein Angriff unbemerkt bleibt), dann könnten Ihre Benutzerkonten von allen fünf Diensten kompromittiert sein.

Siebter Schritt: Einsatz eines Passwort-Managers

In der Realität ist es für die meisten Menschen fast unmöglich, alle obigen Punkte zu befolgen und sich mehrere so komplexe Passwörter zu merken. Als Konsequenz sollten die obigen Regeln nicht einfach ignoriert oder Passwörter unsicher notiert werden!

Verwenden Sie Passwort Manager wie bspw. den Bitwarden, um Ihre möglichst komple­xen Passwörter zu verwalten.

Passwort-Manager sind Computerprogramme, die mehrere Vorteile für Ihre IT-Sicherheit liefern:

• Sie speichern einzelne Passwörter und legen diese mit einem sogenannten Master-Passwort in einer Datenbank verschlüsselt ab
• Zusätzlicher Passwort-Generator, der nach bestimmten Vorgaben zufällige Passwörter erzeugt

Bitwarden

• Empfohlene Ablage für Ihren persönlichen Passwort-Safe: C:\Users\XXX\Documents\Keypass_XXX.kdbx
• Weiterführende Infos
• How-To-Videoguide
• Benutzerhandbuch

Zusammenfassung

Passwortkonzept

• Werden vorhandene Sicherheitsmechanismen für den Schutz von Zugriffen und Informationen in Anwendungen genutzt?
• Werden durch den Hersteller vor-eingestellte oder leere Passwörter durch Ihre IT geändert?
• Sind alle Mitarbeiter in der Wahl von und im Umgang mit sicheren Passwörtern geschult?
• Werden Arbeitsplatzrechner beim Verlassen mit Bildschirmschoner und Kennwort gesichert?
• Werden vertrauliche Daten und gefährdete Systeme ausreichend durch geeignete Maßnahmen geschützt?
• Wird die Nutzung von mobilen Datenträgern durch geeignete technische und organisatorische Maßnahmen gesichert?
• Werden vertrauliche Daten beim Versand per Mail verschlüsselt?

Ablauf

GEFAHREN → CYBERANGRIFFE (5 ZIELE) → ARTEN DER CYBERKRIMINALITÄT → ARTEN VON MALWARE → PHISHING MAIL → INFORMATIONEN (DSGVO) → WEITERFÜHRENDE INFORMATIONEN