Wann wird Ihr Passwort gestohlen?

Erst kürzlich hat das Bundeskriminalamt (BKA) im Darknet eine Datenbank mit rund 500 Millionen Zugangsdaten aus Hacker-Attacken aufgespürt. Die Datensätze enthalten so sensible Informationen wie E-Mail-Adressen und Passwörter von Internetdiensten.

Bis die Provider ihre Kunden über den Diebstahl informiert hatten, sind die Angreifer längst mit wertvollen persönlichen Informationen über alle Berge. Denn meistens verstreicht sehr viel wertvolle Zeit, bis die Unternehmen das Datenleck überhaupt erst einmal bemerkt haben: Laut Experten dauert das durchschnittlich mehr als vier Monate, im öffentlichen Sektor sogar bis zu einem Jahr und darüber hinaus.

Passwörter wiegen Nutzer in falscher Sicherheit

Diese Zeitspannen kommen im Digitalzeitalter, das in Minuten und Sekunden denkt und handelt, geradezu Ewigkeiten gleich. Während die Kunden also noch ahnungslos sind, haben sich die Angreifer bei mehrfach genutzten Passwörtern bereits in diverse Webportale eingeloggt und dort möglicherweise weiteren Schaden für den Nutzer verursacht. Das kann von kostspieligen Bestellungen auf Amazon über Kontoabbuchungen bis hin zum umfangreichen Identitätsdiebstahl reichen. Die Geschickte eines US-amerikanischen Journalisten ist ein erschreckendes Beispiel: Nachdem sein Google-Konto angegriffen und gelöscht wurde, nahmen sich die Angreifer seinen Twitter-Account vor und sendeten in seinem Namen kompromittierende Inhalte. Denn er hatte alle Accounts und sensiblen Daten miteinander verknüpft. So ließen sich auch Amazon- und Apple-ID-Accounts problemlos hacken und per Fernzugriff alle Daten auf seinem iPhone, iPad und MacBook löschen. Hätte er damals eine Zwei-Faktor-Authentifizierung (2FA) für sein Google-Konto genutzt, wären die Angreifer nach eigener Aussage des Journalisten nicht so weit gekommen.

Neben den Endnutzern sind aber auch Unternehmen dringend in der Pflicht, ein Optimum an Sicherheit zu gewährleisten. Denn sie sammeln, übermitteln und speichern täglich wertvolle Kundendaten, die oftmals hochsensibel sind. Die ab dem 25. Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen dazu, genau diese Daten vor Missbrauch zu schützen. Bis dahin müssen die Verantwortlichen umfassende technische Maßnahmen treffen, um höchsten Datenschutzanforderungen zu genügen. Bei Nichteinhaltung drohen Strafen von bis zu 20 Millionen Euro bzw. bis zu vier Prozent des Unternehmensumsatzes. Es ist also ein schnelles Handeln gefragt. Denn digitale Transaktionen jeglicher Art sind aus dem Alltag von Unternehmen und Verbrauchern nicht mehr wegzudenken, und sie werden in den nächsten Jahren dramatisch weiter an Bedeutung gewinnen – sowohl im B2B- als auch im B2C-Bereich. Man denke nur an E-Commerce, Online-Banking, digitale Verträge, vernetzte Fahrzeuge, Smart-Home-Ausstattungen oder kritische Infrastrukturen von Energieversorgern, die heute überwiegend von der IT gesteuert werden.

Authentifizierung auf Knopfdruck

Passwörter alleine versagen längst, wenn es um den Schutz digitaler Identitäten und Transaktionen geht, und sie wiegen die User in falscher Sicherheit: Denn mittlerweile sind gestohlene oder schwache Passwörter in 81 Prozent aller Fälle die Ursache für einen Hack. 2016 waren es „nur“ knapp über 60 Prozent. Wann Datenverluste Unternehmen, Mitarbeiter und Kunden betreffen, ist inzwischen also nur eine Frage der Zeit – wenn keine zusätzlichen Schutzmaßnahmen getroffen werden. Dabei lässt sich Transaktionssicherheit vergleichsweise schnell und einfach durch eine risikobasierte Multi-Faktor-Authentifizierung (MFA) gewährleisten. Bei dieser Methodik wird die Rechtmäßigkeit einer Transaktion durch mindestens zwei voneinander unabhängige Berechtigungsnachweise einfach per Knopfdruck bestätigt.

Im Investment-Banking können beispielsweise außergewöhnlich hohe, häufige oder auf sonstige Art auffällige Überweisungen mittels Push-Token verifiziert werden. Das dauert nicht länger als die Eingabe eines herkömmlichen Passworts, ist aber deutlich sicherer: Übersteigt eine Transaktion eine definierte Höhe, muss diese noch einmal zusätzlich bestätigt werden – beispielsweise durch zwei Vorgesetzte oder speziell dafür verantwortliche Compliance-Mitarbeiter.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Wann wird Ihr Passwort gestohlen?
2. Schutz gegen CEO-Frauds

Lesen Sie mehr zum Thema

Weitere Artikel zu connect professional

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler