IT-SicherheitWie Passwörter gestohlen werden und wie Sie sich schützen

Passwörter sind seit Jahren ein beliebtes Thema in den Medien: Vom Diebstahl von Millionen Berechtigungsnachweisen, über den Spott für unkreative Standardkennwörter bis zur Frage, wie zeitgemäß Passwörter heute eigentlich noch sind. Tatsache ist, dass die Zahl der Passwörter steigt, die beruflich oder privat benötigt werden. Davon profitieren auch Cyberkriminelle, denn mit jeder neuen Anwendung oder jedem neuen Gerät kommen neue Berechtigungsnachweise und damit für Hacker neue Einstiegsmöglichkeiten in die Systeme ihrer Opfer dazu. Schlechte Passworthygiene und moderne Angriffstools spielen ihnen dabei in die Hände.

Hier sind sechs der gängigsten Angriffstechniken, die Hacker für das Knacken von Passwörtern nutzen – und Tipps, wie man sich schützen kann.

Ein beliebtes Vorgehen von Cyberkriminellen beim Knacken von Accounts ist das sogenannte Credential Stuffing. Hierbei werden Zugangsdaten aus geleakten Datenbanken auf verschiedenen Plattformen getestet. Automatisierungs-Tools wie SentryMBA machen es dabei auch für unerfahrene Hacker sehr einfach, gestohlene Nutzernamen und Passwörter auf einer Vielzahl von Webseiten gleichzeitig zu testen. In Onlineshops stammt ein Großteil des Login-Traffics bereits von Unbefugten. Besonders beliebt ist Credential Stuffing bei Elektronikhändlern und Webseiten von Fluggesellschaften.

Risikolevel: Hoch

Schätzungen zufolge versuchen Hacker, täglich mehrere Millionen Konten mit Hilfe von Credential Stuffing zu knacken.

Wie kann man sich schützen?

Dass Cyberkriminelle mit dieser Methode so häufig ans Ziel kommen, liegt vor allem an einer schlechten Passworthygiene. Viele Nutzer verwenden noch immer ein und dasselbe Passwort für verschiedene Konten und Accounts. Wird dieses Passwort geleakt und landet in einer Datenbank im Darknet, sind alle Konten, die mit diesem Passwort funktionieren, in Gefahr. Individuelle Benutzernamen und Passwörter für jedes einzelne Konto sind deshalb unabdingbar. Passwort-Manager helfen beim Erstellen und Rotieren von Kennwörtern.

Phishing ist eine Form des Social-Engineerings, bei der Cyberkriminelle versuchen über gefälschte Webseiten oder E-Mails an Zugangsdaten und Passwörter eines Internet-Nutzers zu gelangen. Am häufigsten erfolgt Phishing dabei über E-Mails, die betrügerische Links zu geklonten Webseiten oder einen bösartigen Anhang enthalten. Im Laufe des Prozesses wird den ahnungslosen Opfern meist ein gefälschtes Anmeldeformular vorgesetzt, über welches die Betrüger sensible Anmeldenamen und Passwörter auslesen können.

Risikolevel: Hoch

Schätzungen zufolge beginnen 70 Prozent aller Cyberangriffe mit Phishing.

Wie kann man sich schützen?

Der beste Schutz vor Phishing-Angriffen ist Vorsicht und Skepsis. Accounts sollten ausnahmslos direkt über die Webseite des Anbieters im Browser aufgerufen werden und niemals über Links in Mails. Die Absender einer Mail sollten gründlich überprüft und Anhänge im Zweifelsfall nicht geöffnet werden. Generell sollte bei sensiblen Accounts immer eine Zwei- oder besser Multi-Faktor-Authentifizierung genutzt werden.

Ähnlich wie beim Credential Stuffing profitieren Cyberkriminellen auch beim Password Spraying von schlechter Passworthygiene. In diesem Fall testen die Angreifer auf gut Glück beliebte und häufige Passwörter, wie zum Beispiel 123456, passwort, hallo123. Da die meisten Websites wiederholte Passwortversuche erkennen, nutzen die Hacker dabei meist mehrere IPs, um ans Ziel zu kommen.

Risikolevel: Hoch

Laut einer Studie des britischen National Cyber Security Centre nutzen 75 Prozent Unternehmen Passwörter, die in den Top 1000 der meistgenutzten Passwörter zu finden waren.

Wie kann man sich schützen?

Einfallslose und beliebte Passwörter sollten dringend vermieden, vorinstallierte Hersteller- oder Standard-Kennwörter unbedingt geändert werden. Auch hier können Passwort-Manager einen wichtigen Dienst leisten.

Beim Keylogging protokollieren Hacker mit Hilfe spezieller Hard- oder Software die Eingaben eines Nutzers in die Tastatur, um auf diese Weise Zugangsdaten für sensible Accounts wie etwa Online-Banking oder Krypto-Wallets auszulesen. Voraussetzung ist dabei die Infizierung des Gerätes mit einer speziellen Keylogging-Malware oder das Anbringen von Keylogging-Hardware am Gerät selbst. Das macht diese Form von Cyberattacke deutlich schwieriger zu realisieren ist, als etwa Password Spraying. Allerdings stehen im Netz mittlerweile viele verschiedene Keylogger und andere Spyware-Tools für jedermann zur Verfügung.

Risikolevel: Mittel

Keylogging ist aufwendig und kommt vor allem bei gezielten Angriffen oder staatlicher Spionage zum Einsatz.

Wie kann man sich schützen?

Vor dieser Art des Passwortdiebstahls können Sie sich weder mit starken Passwörtern noch mit vorsichtigem Verhalten schützen. Um Keylogging-Infektionen und -Aktivitäten wirksam identifizieren und blockieren zu können, bedarf es einer guten Sicherheitslösung, die Ihre Endpunkte vor jeder Art von Malware und bösartigen Aktivitäten beschützt.

Bei einem Brute-Force-Angriff versuchen Hacker Passwörter oder Schlüssel durch automatisiertes Ausprobieren herauszufinden. Die einfachste Form einer solcher Attacke ist ein sogenannter Dictionary-Angriff, bei dem die Kriminellen in Sekundenschnelle ein Wörterbuch wahrscheinlicher und beliebter Passwörter ausprobieren, wie etwa Administrator oder 123456. Eine weitere Methode ist das Hashen von geleakten Klartext-Passwörtern. Dabei suchen die Angreifer so lange die zu den zufällig ausgewählten Passwörtern gehörigen Hashwerte, bis ein Hashwert mit dem hinterlegten Hashwert übereinstimmt. Listen mit Hashwerten von oft verwendeten Passwörtern, auch Rainbow Tabelle genannt, beschleunigen diesen Prozess.

Risikolevel: Niedrig

Da die Brute-Force-Methode sehr zeitaufwendig und teuer ist, ist das Risiko, Opfer zu werden, eher gering.

Wie kann man sich schützen?

Der Schlüssel zum Schutz vor Brute-Force-Angriffen liegt Passwörtern, die kaum zu erraten sind. Je länger und je zufälliger die Zeichen sind, desto höher ist der Zeitaufwand, den Hacker zum Cracken benötigen. Passwörter sollten mindestens 16 Zeichen lang sein und aus einer zufälligen Zeichenfolge mit Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Accounts und Services, bei denen Passwörter maximal acht bis zehn Zeichen lang sein können, sollten, wenn möglich, gemieden werden. Eine weitere sinnvolle Schutzmaßnahme ist die Begrenzung der Anmeldeversuche und das Sperren der Nutzer nach einigen fehlgeschlagenen Anmeldeversuchen. Auf diese Weise werden laufende Brute-Force-Angriffe abgebrochen.

Bei der relativ neuen Methode der Cyber-Extortion zwingen Kriminelle ihre Opfer zur direkten Herausgabe von Zugangsdaten, indem sie sie mit vermeintlich kompromittierendem Material erpressen. Meist behaupten die Betrüger, über sensible Informationen oder Videomaterial zu verfügen, etwa weil sie die Webcam oder den Mail-Account ihres Opfers zuvor gehackt hätten.

Risikolevel: Sehr niedrig

Obwohl bei den Opfern eine hohe Dunkelziffer bestehen dürfte, ist das Risiko für Cyber-Erpressung eher gering.

Wie kann man sich schützen?

Generell kann jeder Internetnutzer Opfer von Cyber-Erpressung werden. Der Umgang damit ist stark situationsabhängig und reicht vom Einschalten der Polizei bis hin zum Ignorieren der Forderungen. Generell raten Experten, den Forderungen der Erpresser niemals nachzukommen.

Auch wenn biometrische Zugriffskontrollen wie Gesichtserkennung und Fingerabdruckscanner zukünftig eine immer wichtigere Rolle spielen werden, bleiben Authentifizierungen mit traditionellen Passwörtern weiterhin Standard. Umso wichtiger ist es, der Passwortsicherheit auch den Stellenwert zu geben, den sie verdient – gerade im Unternehmensumfeld.  Dazu zählen nicht nur Maßnahmen, die die Berechtigungsnachweise direkt betreffen, wie ausreichend starke Passwörter, Passwortrotationen oder das sichere Speichern von Zugangsinformationen, sondern auch Schutzmaßnahmen, die darüber hinaus gehen. Sollte es Cyberkriminellen gelungen sein, ein Konto zu knacken, braucht es vor allem Endpunktschutz-Lösungen, die Malwareinfektionen in Echtzeit identifizieren und stoppen, Verschlüsselungen durch Ransomware automatisch rückgängig machen und ungewöhnliches Verhalten wie etwa außerordentliche Datenaufrufe melden.