In den Medien sind Passwörter seit Jahren ein beliebtes Thema. Vom Spott für unkreative Standardkennwörter über den Diebstahl von Millionen Berechtigungsnachweisen bis zur Frage, wie zeitgemäss Passwörter heute eigentlich noch sind. Tatsache ist, dass die Anzahl der beruflich oder privat benötigten Passwörter steigt. Davon profitieren auch Cyberkriminelle, denn mit jeder Anwendung oder jedem neuen Gerät kommen neue Berechtigungsnachweise und damit für Hacker neue Einstiegsmöglichkeiten in die Systeme ihrer Opfer zu. Ihnen in die Hände spielen dabei eine schlechte Passworthygiene und moderne Angriffstools.
Sechs der gängigsten Angriffstechniken, die Hacker für das Knacken von Passwörtern nutzen und Tipps, wie man sich davor schützen kann.
Credential Stuffing
Beim Knacken von Accounts ist das sogenannte Credential Stuffing ein beliebtes Vorgehen von Cyberkriminellen. Zugangsdaten werden hierbei aus geleakten Datenbanken auf verschiedenen Plattformen getestet. Automatisierungs-Tools wie SentryMBA machen es dabei auch für unerfahrene Hacker sehr einfach, Passwörter und Nutzernamen auf einer Vielzahl von Webseiten gleichzeitig zu testen. Ein Grossteil des Login-Traffics in Onlineshops stammt bereits von Unbefugten. Besonderer Beliebtheit erfreut sich Credential Stuffing bei Elektronikhändlern und Webseiten von Fluggesellschaften.
Der Risikolevel ist hoch. Hacker versuchen Schätzungen zufolge täglich mehrere Millionen Konten mit Hilfe von Credential Stuffing zu knacken.
Es liegt vor allem an einer schlechten Passworthygiene, dass Cyberkriminelle mit dieser Methode so häufig ans Ziel kommen. Viele Nutzer verwenden noch immer ein und dasselbe Passwort für verschiedene Konten und Accounts. Wird dieses Passwort geleakt und landet in einer Datenbank im Darknet, sind alle Konten mit diesem Passwort in Gefahr. Deshalb sind für jedes einzelne Konto individuelle Benutzernamen und Passwörter unabdingbar. Beim Erstellen und Rotieren von Passwörtern helfen Passwort-Manager.
Phishing
Über Phishing, eine Form des Social-Engineerings, versuchen Cyberkriminelle über gefälschte Webseiten oder E-Mails an Zugangsdaten und Passwörter eines Internetnutzers zu gelangen. Phishing erfolgt am häufigsten über E-Mails, die betrügerische Links zu geklonten Webseiten oder einen bösartigen Anhang enthalten. Den ahnungslosen Opfern wird meist ein gefälschtes Anmeldeformular vorgesetzt, über welches die Betrüger sensible Anmeldenamen und Passwörter auslesen können.
Der Risikolevel ist hoch. Schätzungen zufolge beginnen 70 Prozent aller Cyberangriffe mit Phishing.
Vorsicht und Skepsis ist der beste Schutz vor Phishing-Angriffen. Benutzerkonten sollten ausnahmslos direkt über die Webseite des Anbieters im Browser aufgerufen werden und niemals über Links in E-Mails. Gründlich überprüft werden sollten die Absender einer E-Mail und Anhänge im Zweifelsfall nicht geöffnet werden. Bei sensiblen Accounts sollte generell immer eine Zwei- oder besser Multi-Faktor-Authentifizierung genutzt werden.
Password Spraying
Cyberkriminelle profitieren ähnlich wie beim Credential Stuffing auch beim Password Spraying von schlechter Passworthygiene. Die Angreifer testen in diesem Fall auf gut Glück beliebte und häufige Passwörter, wie zum Beispiel 123456, passwort, hallo123. Da die meisten Websites wiederholte Passwortversuche erkennen, nutzen Hacker dabei meist mehrere IPs, um ans Ziel zu kommen.
Der Risikolevel ist hoch. Laut einer Studie des britischen National Cyber Security Centre nutzen 75 Prozent der Unternehmen Passwörter, die in den Top 1000 der meisgenutzten Passwörter zu finden waren.
Dringend vermieden werden sollten einfallslose und beliebte Passwörter. Unbedingt geändert werden sollten vorinstallierte Hersteller- oder Standard-Kennwörter. Einen wichtigen Dienst können auch hier Passwort-Manager leisten.
Keylogging
Mit Hilfe einer speziellen Hard- oder Software protokollieren Hacker beim Keylogging die Eingaben eines Nutzers in die Tastatur, um auf diese Weise Zugangsdaten für sensible Accounts wie etwa Online-Banking oder Krypto-Wallets auszulesen. Voraussetzung ist dabei die Infizierung des Gerätes mit einer speziellen Keylogging-Malware oder das Anbringen von Keylogging-Hardware am Gerät selbst. Damit ist diese Form der Cyberattacke deutlich schwieriger zu infizieren, als etwa Password Spraying. Im Netz stehen allerdings mittlerweile viele verschiedene Keylogger und andere Spyware-Tools für jedermann zur Verfügung.
Der Risikolevel ist mittel. Keylogging ist aufwendig und kommt vor allem bei gezielten Angriffen oder staatlicher Spionage zum Einsatz.
Vor dieser Art des Passwortdiebstahls kann man sich weder mit starken Passwörtern noch mit vorsichtigem Verhalten schützen. Es bedarf einer guten Sicherheitslösung, die die Endpunkte vor jeder Art von Malware und bösartigen Aktivitäten schützt, um Keylogging-Infektionen und -Aktivitäten wirksam zu identifizieren und blockieren zu können.
Brute-Force
Hacker versuchen bei einem Brute-Force-Angriff Passwörter oder Schlüssel durch automatisiertes Ausprobieren herauszufinden. Ein sogenannter Dictionary-Angriff, bei dem die Kriminellen in Sekundenschnelle ein Wörterbuch wahrscheinlicher und beliebter Passwörter ausprobieren, wie etwa Administrator oder 123456, ist die einfachste Form einer solchen Attacke. Das Hashen von geleakten Klartext-Passwörtern ist eine weitere Methode. Angreifer suchen dabei so lange die zu den zufällig ausgewählten Passwörtern gehörigen Hashwerte, bis ein Hashwert mit dem hinterlegten Hashwert übereinstimmt. Listen mit Hashwerten von oft verwendeten Passwörter, auch Rainbow Tabelle genannt, beschleunigen diesen Prozess.
Der Risikolevel ist niedrig. Da die Brute-Force-Methode sehr zeitaufwendig und teuer ist, ist das Risiko, Opfer zu werden, eher gering.
Cyber-Extortion
Kriminelle zwingen bei der relativ neuen Methode der Cyber-Extortion ihre Opfer zur direkten Herausgabe von Zugangsdaten, indem sie sie mit vermeintlich kompromittierendem Material erpressen. Die Betrüger behaupten meist, über sensible Informationen oder Videomaterial zu verfügen, etwa weil sie die Webcam oder den Mail-Account ihres Opfers zuvor gehackt hätten.
Der Risikolevel ist sehr niedrig. Das Risiko für Cyber-Erpressung ist sehr gering, obwohl bei den Opfern eine hohe Dunkelziffer bestehen dürfte.
Opfer von Cyber-Erpressung kann generell jeder Internetnutzer werden. Der Umgang damit ist stark situationsabhängig und reicht vom Einschalten der Polizei bis hin zum Ignorieren der Forderungen. Experten raten generell, den Forderungen der Erpresser niemals nachzukommen.
Fazit
Authentifizierungen mit traditionellen Passwörtern bleiben weiterhin Standard, auch wenn biometrische Zugangskontrollen wie Gesichtserkennung und Fingerabdruckscanner zukünftig eine immer wichtigere Rolle spielen werden. Umso wichtiger ist es, der Passwortsicherheit auch den Stellenwert zu geben, den sie verdient – gerade im Unternehmensumfeld. Dazu zählen nicht nur Massnahmen, die die Berechtigungsnachweise direkt betreffen, wie ausreichend starke Passwörter, Passwortrotationen oder das sichere Speichern von Zugangsinformationen, sondern auch Schutzmassnahmen, die darüber hinaus gehen. Sollte es Cyberkriminellen gelungen sein ein Konto zu knacken, braucht es vor allem Endpunktschutz-Lösungen, die Malwareinfektionen in Echtzeit identifizieren und stoppen, Verschlüsselungen durch Ransomware automatisch rückgängig machen und ungewöhnliches Verhalten, wie etwa ausserordentliche Datenaufrufe, melden.