Bei Passwörtern verstehen wir eigentlich keinen Spaß. Natürlich amüsieren wir uns bei Bildern, die Passwörter auf Post-it Zettelchen am Monitorrand zeigen. Oder die altbekannte Variante des Passworts unter der Tastatur.
Heute sind unsere Netzwerke permanent im Internet und damit ständig automatisierten Angriffen ausgesetzt. Wer hier Schabernack betreibt, bekommt am Ende eine richtig dicke Rechnung präsentiert. Und die größte Schwachstelle ist – wieder einmal – der Mensch.
Was ist eine Brute-Force-Attacke
Brute-Force Attacken dürften das sein, was man sich allgemein unter einem Passwort-Hacking vorstellt und am meisten plausibel klingt. Die Bezeichnung „Brute-Force“, also übersetzt „pure Gewalt“ trifft dabei genau ins Schwarze.
Mit dieser Attacke werden unzählige Variationen aller möglichen Zahlen und Buchstabenkombination an einer verschlüsselten Datei probiert, um den Passwortschutz zu knacken.
Dabei werden sowohl Wörterbuchlisten als auch alle möglichen Kombinationen Wort für Wort durchprobiert. In diesem Zusammenhang liest man dann auch die geschätzte Dauer, wie lange es mit modernen Computern dauert, ein Passwort zu entschlüsseln und Zugriff auf die gesicherte Datei zu erhalten.
Brute-Force wird vor allem dann eingesetzt, wenn es sich um Dateien handelt oder wo unbegrenzt und in schnellen Zyklen unzählige Kennwörter „probiert“ werden können. Ganz so einfach ist es in der Praxis aber nicht. Brute-Force-Attacken funktionieren eben nur dort, wo unbegrenzt unterschiedliche Passwörter eingegeben werden können. Für Internet-Portale und -Zugänge gibt es dagegen einfache Mittel, um solchen Angriffen vorzubeugen.
Zum einen können Accounts nach einigen falschen Eingaben gesperrt werden und nehmen nur wieder Passwörter an, wenn über eine Sicherheitsnachfrage die richtige Antwort geschickt oder auf eine E-Mail an eine bestimmte Adresse geantwortet wird.
In diesem Fall sind sogenannte Brute-Force Attacken ziemlich sinnlos. Auch wird zum Beispiel die Microsoft Cloud zusätzlich mit Hilfe einer KI geschützt. So werden auch Zugriffsversuche aufgedeckt, die logisch gar nicht möglich sein sollten. Verteilte Zugriffe aus aller Welt mit unterschiedlichen IP-Adressen und häufige Fehleingaben zum Beispiel.
Phishing
Hilft einem Hacker die Brute-Force-Attacke nicht weiter, kommt ein anderes probates Mittel zur Anwendung. Phishing.
Das ist eine Methode, von der die höchste Gefahr ausgeht. Denn im Gegenzug zur Brute-Force-Attacke, die man mit geeigneten Mitteln erkennen kann, verläuft das bei Phishing-Attacken anders.
Gerne wird dabei auf gefälschte Webseiten zurückgegriffen, die einer offiziellen Seite zum Verwechseln ähnlich sehen. Gibt man dort seinen Benutzerdaten und Passwort wie gewohnt ein, werden diese abgegriffen und gespeichert. Das Perfide daran ist, dass in der Regel der Schaden erst zu einem späteren Zeitpunkt auftreten kann.
Sammelt eine gefälschte Seite den Benutzernamen und das Passwort, kann diese die Eingaben unmittelbar danach auch an die richtige Seite übermitteln und dem User das gewohnte Ergebnis präsentieren. Die Folge – der Angriff bleibt unbemerkt, bis nach einiger Zeit ein Ereignis eintritt. Konto leer, Daten verschlüsselt, Informationen gestohlen. Die Vielfalt der Auswirkungen ist hier sehr groß.
Da der User in der Regel keine Ahnung davon hat, dass er einer Phishing-Attacke zum Opfer gefallen wird, haben die Angreifer hier jede Menge Zeit, um beträchtlichen Schaden anzurichten.
Spionage / Mitarbeiter
Und natürlich dürfen wir auch nicht die direkte Spionage vergessen. Dabei muss noch nicht mal ein 007-Agent die heiligen Hallen des Unternehmens betreten. Dabei könnte es sich auch um einen internen Mitarbeiter handeln, der ein verlockendes Angebot erhalten hat. Ja, wir malen jetzt mal wieder den Teufel an die Wand, aber auch so etwas ist schon vorgekommen.
Vor diesen Angriffen kann man sich nur sehr schwer schützen, denn der eigentlich Zugriff erfolgt ja vollkommen rechtmäßig. Und stellen es die Angreifer richtig an, so ist der eigentlich Zugang durch die User-Accounts nur ein Hintertürchen, mit dem sich große Angriffe unbemerkt vorbereiten lassen. So könnten zum Beispiel Sicherheitslücken ausgenutzt werden, die über das Internet nicht direkt erreichbar sind.
Woher bekommt man sichere Passwörter
Ja, da gibt es vielfältige Ansätze. Ungeeignet sind natürlich Passwörter, die Geburtsdaten oder Namen von Familienangehörigen oder nur ein Wort enthalten.
Ein gutes und sicheres Passwort enthält auf jeden Fall Groß- und Kleinschreibung, Ziffern und Sonderzeichen und sollte mindesten acht Zeichen lang sein.
Eine praktikable Methode ist es auch, Passwörter aus ganzen Sätzen zu generieren. So wird zum Beispiel aus dem Satz „Ich bin an einem Tag im Dezember in 83022 Rosenheim geboren“ ein „IbaeTiDi83022Rg.“ und wird damit zu einem sehr sicheren Passwort.
Nicht nur die Komplexität zählt
Was hilft einem aber ein sehr sicheres Passwort, wenn es die ganze Welt weiß? Richtig, gar nichts. Heutzutage gibt es eine Unmenge an Zugängen im Internet. Portale, Social-Media, Accounts bei diversen Herstellern, Foren, Webseiten und vieles mehr. Und alle verlangen ein Passwort. Da wird schnell eine zwei- oder gar drei-stellige Anzahl an Passwörtern notwendig.
Und aus Gründen der Bequemlichkeit nutzen wir natürlich unser hervorragend sicheres Passwort nicht nur einmal, sondern? Ich behaupte jetzt einfach, dass die meisten ein einziges Passwort für sehr viele Dienste verwenden.
Und damit sind wir beim nächsten Sicherheitsproblem. Nicht alle Portale und Zugänge zu Diensten im Internet sind sicher oder seriös. Hier greift auch wieder das altbewährte Sprichwort „Die Kette ist nur stark wie ihr schwächstes Glied“.
Soll heißen – gibt auch nur ein einziger Dienst einem Angriff nach und präsentiert ihr Passwort dem Angreifer, können Sie sicher sein, dass genau dieses Passwort an allen möglichen Diensten ausprobiert wird.
Eine Möglichkeit, dagegen etwas zu unternehmen, ist ein sogenannter Passwort-Tresor. Hier gibt es viele unterschiedliche Varianten, von kostenlos (dafür etwas unkomfortabler zu bedienen) bis hin zur High-End-Lösung für Unternehmen. Erst damit wird es möglich, sich wirklich komplexe und für jeden Zugang einmalige Passwörter zu einem Dienst oder Portal zu generieren. Ohne, dass man sich hunderte von Passwörter merken muss.
Für den privaten Nutzer eignet sich dafür das Open-Source Programm KeePass2. Allerdings erfordert das einigen Aufwand, um Passwörter auf Smartphone, PC oder über das Internet verfügbar zu machen. Wir wollen ja nicht im Urlaub auf unser Instagram oder Facebook verzichten, nur weil wir ein zu gutes Passwort haben, das wir selbst nicht kennen.
Im Unternehmensumfeld setzen wir selbst auf 1Password. Diese ist zwar kostenpflichtig, aber bietet durch seine Cloud-Funktionalität Zugriff auf die eigenen Passwörter von überall aus. Dabei ist 1Password natürlich selbst auf höchstem Niveau abgesichert, um niemanden außer Ihnen Zugriff zu gewähren.
Integration eines Passwort-Managers im Unternehmen
Es macht daher großen Sinn, einen Passwort-Manager, der nicht nur Passwörter, sondern auch die Zugangsseiten verwaltet und Zugänge auch für Abteilungen und Gruppen möglich macht, ohne das Passwort preiszugeben. Wer ein Passwort nicht weiß, kann es auch nicht ausplaudern.
IT-Spezialisten wie die Experten von der itelio GmbH arbeiten täglich Sicherheitskonzepte für Unternehmen aus, die großen Wert auf die Sicherheit legen. Dabei geht es um die Konzeptionierung von allgemeiner Sicherheit bis über den Zugriff über die Microsoft Cloud auf unterschiedlichste Ressourcen (E-Mail, Dokumente, Dienste, Netzwerke).
Passwortlose Anmeldung
Aufgrund der Vielzahl von Angriffsmöglichkeiten, um an ein Passwort heranzukommen, schwenken immer mehr Unternehmen auf ein passwortloses System um. Nein, dabei werden nicht Sicherheitsmaßnahmen abgestellt. Im Gegenteil. Aufgrund der Erkenntnisse der letzten Jahre und der Analyse von unzähligen Angriffen bietet ein Zugangssystem ohne Passwörter einige Vorteile.
Um das etwas genauer zu erläutern, hat unser Cloud-Experte Raphael Baud ein Video in unserem YouTube-Kanal „Cloud Uncovered“ zur Verfügung gestellt und erklärt dort, welche Vorteile man dadurch hat, worauf man achten muss und wie man es im eigenen Unternehmen bereitstellen kann.
Fazit
Sichere Passwörter zu verwenden ist nur ein Teil einer umfassenden Sicherheitsstrategie, sowohl privat als auch für Unternehmen. Aber speziell bei Unternehmen geht es nicht nur um Erinnerungsfotos, sondern sehr schnell und hohe, finanzielle Schäden. Vom entsprechenden Imageverlust brauchen wir gar nicht reden. Der kommt erst im Nachhinein und kann noch höhere Schäden verursachen als nur Kosten. Es lohnt sich also, schon vorher alles auf eine möglichst hohe Absicherung zu setzen.
Unsere Experten beraten Sie in allen Eventualitäten rund um die Cloud und um das Thema IT-Sicherheit.