Wir werden immer wieder gefragt, wie Angreifer ein Passwort herausfinden und Zugang zu Accounts erlangen können. Wir haben Ihnen die wichtigsten Angriffsmethoden zusammengestellt und zeigen Ihnen Möglichkeiten, wie Sie dank der Microsoft Cloud und dem Normtracker von CertVision den Accountschutz erhöhen.

aConTech und CertVision geben Ihnen Tipps, wie Sie ihren Passwortschutz verbessern

Wie Cyberkriminelle an Ihre Passwörter kommen und wie Sie sich ganz leicht schützen.

IT-Sicherheit fängt bereits bei der Umsetzung von kleinen Dingen an. In diesem Beitrag erfahren Sie mehr über die gängigsten Methoden, die Angreifer nutzen, um an Ihre Passwörter zu gelangen. Sie erhalten zudem wertvolle Tipps zum Umgang mit Passwörtern, worauf Sie achten sollten und wie Sie das Schutzniveau in Ihrer Organisation erhöhen.

Die häufigsten Methoden, die Hacker verwenden, um an Ihre Passwörter zu gelangen:

Schulter-Blick

Einfach und unkompliziert. Achten Sie bei der Eingabe des Passworts immer darauf, dass niemand Ihnen über die Schulter schaut. Auch die Sternchenfunktion bei der Eingabe eines Passworts lässt häufig zu, dass die eingegebenen Buchstaben und Ziffern für einen Bruchteil der Sekunde lesbar sind. Gerade bei öffentlicher Präsentation ein absoluter Genickschuss. Stoppen Sie die Übertragung des Bildschirms bei Eingabe der geheimen Daten. Bitten Sie Anwesende ggf. wegzuschauen.

Einfacher Passwort-Diebstahl

Der absolute Klassiker, leichter geht es nicht an ein Passwort zu gelangen. Mit dieser „Buffetvariante“ wird Passwortklau besonders leicht. Die geheimen Daten werden von ungeschulten Mitarbeitern unter der Tastatur, an Bildschirmen oder anderen gut einsehbaren Stellen hinterlegt. Die Mitarbeitersensibilisierung hat in diesem Fall vollends versagt.

Sofortmaßnahme mit Fun fact (nicht): Gehen Sie alle PC-Arbeitsplätze in Ihrer Organisation ab und führen Sie eine Strichliste, bei wie vielen Mitarbeitern das Passwort unter der Tastatur, am Bildschirm, auf Notizblöcken oder an anderen Orten einsehbar für jeden ausliegt. Errechnen Sie anschließend die Fehlerquote in Prozent. 0% = Sehr gut. Sie führen anscheinend regelmäßige Mitarbeiterschulungen durch. 1-100% = bedenklich. Sie sollten dringend Ihre Mitarbeiter sensibilisieren.

Abfangen von Passwörtern im Netzwerk

Über das Abhören, auch Sniffing genannt, des Datenverkehrs in einem Wired oder Wireless Netzwerk, können Passwörter ausgelesen werden. Mit einer Cracking-Software wird anschließend versucht, die Passwörter zu entschlüsseln.

Brute-Force-Attacken und Wörterbuchattacken

Eine sehr gängige Variante ist das automatisierte Ausprobieren von bekannten Passwörtern, Zahlen- und Zeichenkombinationen und Wörterbüchern. Mit hoher Geschwindigkeit wird getestet, bis der Zugriff gelingt. Passwörter sollten daher nie aus Namen und/oder Zahlen bestehen, da dies eine Methode mit hohem Erfolgspotenzial ist und nur wenige Sekunden benötigt.

Passwort-Spraying

Beim Passwort-Spraying ist die Vorgehensweise umgekehrt zur Bruce-Force Methode. Der Angreifer probiert ein oder mehrere oft genutzte einfache Passwörter bei einer Vielzahl von Nutzer-Konten aus, um so Accounts zu identifizieren, die es verwenden.

Key Logger

Key Logger sind Schadsoftwaren, die verdeckt auf Ihrem Computer sein können. Diese registrieren Tastatureingaben und erstellen ggf. parallel Screenshots. So lassen sich eingegebene Passwörter nachstellen und identifizieren. Oft reichen nur Teile des Passworts aus, um das Ganze zu erraten oder mit Hilfe anderer Methoden komplett zu identifizieren.

Erraten des Passworts

Das manuelle Erraten von möglichen Passwörtern anhand von persönlichen Daten, Namen, Hobbies und Vorlieben des Nutzers. Durch Mehrfachverwendung des gleichen Passworts, auch in Verbindung mit der Weitergabe einzelner Passwörter, wird diese Methode unterstützt. Verwenden Sie niemals im Passwort Informationen, die man leicht erraten kann.

Diebstahl von Hash-Dateien

Hash-Dateien sind Datenbanken, in denen die genutzten Passwörter je Nutzer verschlüsselt gespeichert sind. Sie dienen der Identifikation des Nutzers beim Einloggen. Angreifer können versuchen eine Hash-Datei zu stehlen und diese zu entschlüsseln.

Phishing & Social Engineering

Bei dieser Methode wird das soziale Umfeld eines Opfers erkundet, um anschließend die menschlichen Verhaltensweisen auszunutzen, um an die Passwörter zu gelangen. Dies geschieht zum Beispiel über gefälschte E-Mails (Phishing), aber auch das Vortäuschen falscher Identitäten bei Telefonanrufen oder in Messenger-Diensten ist möglich. Sie sollten Ihre Mitarbeiter diesbezüglich unbedingt schulen, sodass schneller ein möglicher Betrug aufgedeckt werden kann, bzw. bei Unklarheit lieber einmal mehr als zu wenig gefragt wird.

Datenpannen (Data Breaches)

Eine Datenpanne des Unternehmens kann zu einem gefundenen Fressen eines Cyberkriminellen werden. Bei einem Vorfall kann es dazu kommen, dass Passwörter sichtbar werden und es wird ein Kinderspiel für den Angreifer, sich Zutritt zu den Systemen zu verschaffen.

Und wie können Sie sich vor Passwort-Diebstahl schützen?

Eine der sichersten technologiebasierten Möglichkeiten des Passwortschutzes bietet Microsoft mit Azure Active Directory. Wichtige Technologien als Teil zum Schutz Ihrer Accounts sind Multi-Factor-Authentication, Conditional Access, Privileged Identity Management und Customer Lockbox. Dadurch kann z.B. auch ein auditiertes und sicheres Vier-Augen Prinzip eingeführt werden.

Sichere Verwendung des NormTrackers

Mit der Einführung eines ISMS (Informationssicherheits-Managementsystems) nach der Richtlinie VdS 10000 ISMS für KMU, erhöhen Sie das Schutzniveau und erreichen mit minimiertem Aufwand einen guten und erforderlichen Basisschutz. Bei dem webbasierten ISMS-Tool NormTracker unseres Tochterunternehmens CertVision, setzen wir auf die Sicherheit der Azure Cloud mit verschlüsselter Datenspeicherung. Bei der Anmeldung verwenden wir selbstverständlich Microsoft Azure Active Directory. Das Tool bietet neben der geführten Implementierung eines ISMS die Möglichkeit, regelmäßige und dokumentierte Mitarbeiterschulungen und Sensibilisierungsmaßnahmen durchzuführen und fördert als positiven Nebeneffekt spürbar die Kollaboration im Unternehmen.

Bei Fragen zu Azure Active Directory freuen wir uns auf Ihre Nachricht an vertrieb@acontech.de  oder schreiben Sie uns eine Nachricht über das Kontaktformular. Sofern Sie den NormTracker kostenlos testen möchten oder weitere Fragen zum System haben, wenden Sie sich bitte an hello@certvision.de.