Passwörter sind aus unserem Alltag nicht mehr wegzudenken. Egal ob es um geschäftlich oder privat genutzte Zugänge geht, die Logins sollen ausschliesslich berechtigten Usern zur Verfügung stehen. Es liegt aber auch nahe, dass schützenswerte Daten von Interesse sein könnten und deshalb Passwörter von Dritten geknackt werden. Dies wiederum führt dazu, dass die Betreiber laufend Ihre Sicherheitsanforderungen und Passwortrichtlinien verschärfen müssen. Paradoxerweise sind aber solche Verschärfungen nicht immer gleich wirksam.
Generalpasswort
Die Benutzer müssen sich laufend immer mehr Passwörter merken und im selben Zug werden diese auch noch stetig komplexer. Einige schreiben sich diese Passwörter auf, andere jedoch verwenden einfach wenn immer möglich dasselbe «Generalpasswort». Was passiert nun aber, wenn beispielsweise eine Social Media Plattform gehackt und die Passwörter gestohlen werden? Möglicherweise werden das die betroffenen nie merken. Unter der Voraussetzung, dass dieses identische Passwort aber zum Beispiel auch für den Geschäftsaccount verwendet wird, könnte das ernsthafte Folgen nach sich ziehen.
Social Engineering
Hacker versuchen schon lange nicht mehr nur «von aussen» in Systeme einzudringen. Oft ist es einfacher, Benutzer einfach nach Ihrem Passwort zu fragen. Das klingt nun etwas einfacher, als es wirklich ist. Oft werden dazu gefälschte Emails oder manipulierte Webseiten verwendet, um dem User mit Phishing-Taktiken Passwörter und sensible Daten zu entlocken. Die stetig wachsende Flut an breit gestreuten Phishing-Emails lässt befürchten, dass die Angreifer mit solchen Methoden durchaus Erfolg haben. Fälschungen sind jedoch dann noch schwerer zu erkennen, wenn Sie oder Ihr Unternehmen gezielt für eine Attacke ausgewählt wurden.
Trojaner und Passwort-Cracking
Wie bei einer «freiwilligen» Weitergabe Ihres Passwortes, spielt auch bei einem Trojaner die Komplexität der Zeichenfolge keine grosse Rolle. Trojaner sind ein Stück Software und werden dazu verwendet, sensible Daten auszulesen und dem Angreifer zu übermitteln. Diese Bedrohung wird oft per Email an die Opfer versendet oder durch andere Schadsoftware eingeschleust. Es gibt jedoch nach wie vor viele Möglichkeiten, von aussen in ein System einzudringen. Beispielsweise durch probieren von verschiedenen Zeichenkombinationen. Wenn ein Account durch fehlerhafte Eingaben nicht gesperrt wird, so kann unendlich lange versucht werden. Mit modernen Brute-Force-Attacken und etwas Rechenleistung können heute mehrere Millionen Kombinationen in wenigen Minuten durchprobiert werden. Zudem werden oft sogenannte Rainbow-Tabellen mit tausenden gestohlenen Passwörtern abgearbeitet. Wenn sich nun per Zufall eines Ihrer «Generalpasswörter» auf dieser Liste befindet, dann ist es für die Angreifer ein leichtes Spiel.
Schützen Sie Ihr Passwort mit weiteren Faktoren
Aus diesem Grund sollten Zugänge, wann immer möglich, mit zusätzlichen Faktoren geschützt werden. Im Bereich Online Banking kennt man schon länger den Einsatz von SMS, TAN oder Token. Dabei werden jeweils temporäre Passwörter generiert, die nur für die angeforderte Verbindung gültig sind. Kennt nun jemand ein Passwort, muss er zusätzlich auch den zweiten Faktor kennen, damit das Login schlussendlich erfolgreich ist.
Was bei Online Banking selbstverständlich ist, kommt interessanterweise im Geschäftsumfeld noch viel zu wenig zum Einsatz. Viele Online Plattformen und Cloud-Dienste bieten diesen zusätzlichen Schutz an und wir empfehlen Ihnen diesen auch zu nutzen. Mittels Smartphone App können Sie sehr einfach eine Vielzahl an Diensten sicherer nutzen und so auch Ihre persönlichen Daten vor fremdem Zugriff schützen.
Beispiele:
- Microsoft 365-Dienste (Email, SharePoint, OneDrive, OneNote, usw.)
- VPN-Verbindungen und Fernzugriffe von unterwegs
- Soziale Medien (Facebook, LinkedIn, Xing, usw.)
- Google-Dienste
Bei einem persönlichen Gespräch zeigen wir Ihnen gerne auf, welche Zugänge gefährdet sind und wie Sie Ihre Geschäftsdaten auch in Zukunft vor fremdem Zugriff schützen können.