Schwache Passwörter öffnen Cyber-Kriminellen die Türen

Passwörter sind und bleiben die Achillesferse der Netzwerksicherheit in Unternehmen. Schon mit einfachen Mitteln und ohne großen Aufwand lassen sich schwache Passwörter knacken. Die Folgen der Verwendung solch unsicherer Passwörter können Produktionsausfälle, hohe Kosten und Imageschäden sein – hinzu kommen mögliche rechtliche und Compliance-Verletzungen.

Cyber-Attacken auf Unternehmen erfolgen heute meist über schwache und unsichere Passwörter der Mitarbeiter. Sie gelten inzwischen als das häufigste Einfallstor für Cyber-Kriminelle. Unternehmen sollten deshalb ihre Mitarbeiter dabei unterstützen, dass sie nur starke Passwörter verwenden. Denn nur starke Passwörter schützen sensible Unternehmensdaten vor fremden und unbefugten Zugriffen.

Viele Studien bestätigen die wichtige Rolle von Mitarbeitern und Passwörtern bei Cyber-Attacken. Laut Bitkom nutzen Kriminelle den „Faktor Mensch“ in 41 Prozent der deutschen Firmen als schwächstes Glied der Sicherheitskette aus, um an sensible Daten wie Passwörter zu gelangen.

Dabei überlegen sich Hacker heute sehr gezielt, wen sie angreifen. Bei großen Unternehmen ist ein digitaler Einbruch nicht so einfach. Dort muss ein Angreifer fokussiert und mit viel Aufwand arbeiten. Kleinere Unternehmen sind die leichtere Beute. Hier gehen Hacker oft nach dem Prinzip „die Masse macht‘s“ vor: Sie nutzen meist vollautomatische Werkzeuge, mit denen sie unter hunderttausenden Angriffen jene Ziele identifizieren, die unzureichend gesichert sind.

Die Auswirkungen für kleine und mittlere Unternehmen (KMU) sind fatal: Werden simple Passwörter wie „12345” genutzt, erhöht das die Gefahr, dass Unbefugte an Unternehmensdaten gelangen. Im schlimmsten Fall können sie darüber Schad-Software einschleusen, die Produktion stilllegen und Lösegeld fordern. Gut jede zweite Attacke hat nach Angaben des BSI (Bundesamt für Sicherheit in der Informationstechnik) Produktionsstillstände zur Folge. Ein großer Teil davon geht auf Ransomware-Angriffe zurück.

Die Tagespresse berichtet regelmäßig über besonders schwerwiegende Angriffe. Erst vor kurzem jährte sich eine prominente Ransomware-Attacke, die auf schwachen Passwörtern basierte. Der Angriff auf die Colonial Pipeline, die größte Benzin-Pipeline der USA. Die Attacke erlangte vor allem deshalb Aufmerksamkeit, weil TV-Bilder von US-Amerikanern zu sehen waren, die sich Sprit in alle verfügbaren Kanister abfüllten. Vorausgegangen war ein Hackerangriff auf die Infrastruktur der Pipeline. Medienberichten zufolge zahlte das Unternehmen fünf Millionen US-Dollar Lösegeld in Bitcoins, um sich von der Ransomware zu befreien.

Schnell stellte sich heraus, dass die Kriminellen für die Attacke ein VPN-Konto genutzt hatten. Das Passwort dafür wurde später in einer Sammlung geleakter Passwörter im Darknet entdeckt. Dabei hätte der Einsatz einer Software, mit der vorhandene Passwörter oder neu vergebene Passwörter regelmäßig gegen eine Liste mit bereits kompromittierten Kennwörtern überprüft werden, den Angriff wahrscheinlich verhindern können.

Wie Hacker Passwörter stehlen

Grundsätzlich kommen Hacker auf verschiedenen Wegen an die Passwörter. Die einfachste Methode ist das Erraten der Kennwörter – dazu ist nicht einmal dedizierte Software erforderlich. Die häufigsten Passwörter des Jahres 2021 waren laut Hasso-Plattner-Institut „123456″, „passwort“ und „hallo“. Solche Kennwörter sind leicht zu erraten und die dahinter liegenden Daten damit ohne großen Aufwand zugänglich.

Häufig nutzen Cyber-Kriminelle auch Brute-Force-Techniken, mit denen sie weniger triviale Passwörter als „123456“ mit roher Rechengewalt per Versuch-und-Irrtum entschlüsseln. Dabei werden mögliche Zeichenkombinationen blitzschnell durchprobiert, bis das richtige Kennwort gefunden ist und ein Zugriff gelingt.

Eine der häufigsten Passwort-Angriffsmethoden ist das Credential Stuffing. Bei dieser Methode werden geleakte oder illegal erlangte Anmeldedaten genutzt, um sie massenhaft anzuwenden. Die Angreifer speisen dabei große Mengen von Kennwörtern in eine automatisierte Software ein, die diese dann auf lukrativen Websites ausprobiert, mit dem Ziel, eine Übereinstimmung zu finden.

Phishing ist eine weitere Methode des Passwort-Diebstahls. Dabei geben sich Hacker per E-Mail als vertrauenswürdige Person aus – wie zum Beispiel als Freunde, Familie oder Unternehmen. Die E-Mail sieht authentisch aus, enthält aber einen bösartigen Link oder Anhang. Klickt ein Mitarbeiter darauf, wird Malware heruntergeladen. Oder er wird auf eine Seite geführt, auf der er persönliche Daten eingeben soll.

Folgen der Passwort-Kompromittierung

Wurde das Passwort eines Mitarbeiters kompromittiert, beginnt das eigentliche Desaster. Je nach Art des kompromittierten Accounts, der durch schwache Passwörter infiltriert wurde, können Hacker sensible Daten entwenden, Geld stehlen oder Identitätsdiebstähle durchführen. Vielfach sind sie auch in der Lage, den IT-Betrieb des attackierten Unternehmens zu stören, Daten zu löschen oder Server lahmzulegen. Schließlich können sie auch Malware verteilen oder die Kontrolle über Webseiten erlangen und – für viele der Worst Case – Ransomware-Attacken starten und Lösegeld fordern.

Die häufigste Folge von Attacken, die aufgrund des Missbrauchs eines schwachen oder kompromittierten Passworts beginnen, ist der Ausfall kritischer Geschäftsprozesse. Diese Ausfälle sind vereinzelt existenzbedrohend, fast immer aber mit hohen Kosten verbunden. Bereits 2017 bezifferte der Deloitte Cyber Report die durchschnittlichen Kosten für einen Cyber-Angriff auf große Unternehmen auf rund 700.000 Euro, die inzwischen weiter gestiegen sein dürften. Für KMUs schätzt eine aktuelle Cyberstudie der HDI-Versicherung den Schaden auf durchschnittlich 95.000 Euro. Zu den finanziellen Schäden gehören die Kosten für die Wiederherstellung von Daten und IT-Systemen, mögliche Vertragsstrafen, Kunden- und Umsatzverluste sowie Personalkosten.

Der tatsächliche Gesamtschaden ist aber oft ungleich größer als ein temporär befristeter Produktionsstopp und der rein finanzielle Verlust. Der eigentliche Schaden ist für viele Unternehmen die Beschädigung ihrer Reputation. Dieser Imageschaden kann verheerend sein und sich nachhaltig negativ auf Kunden, Partner und Stakeholder auswirken – und sei es nur in Form eines Unsicherheitsgefühls. Er ist kurzfristig kaum zu beheben.

Verletzung der DSGVO-Regeln

Produktionsausfälle, finanzielle Schäden und Reputationsverluste sind noch nicht alles. Bei Vorliegen eines Datenlecks verstoßen Unternehmen auch gegen die Datenschutz-Grundverordnung (DSGVO). So verlangt Artikel 32 der DSGVO „geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“. Zu diesen technischen und organisatorischen Maßnahmen zum Schutz personenbezogener Daten gehört ein angemessener Passwortschutz mit starken Passwörtern.

Ist eine Datenschutzverletzung aufgetreten, muss die zuständige Aufsichtsbehörde binnen drei Tagen darüber informiert werden (Artikel 13 DSGVO). Sollte die Behörde bei ihrer Prüfung feststellen, dass IT-Verantwortliche keinen geeigneten Schutz installiert und schwache oder unsichere Passwörter verwendet haben, kann dies Geldbußen zur Folge haben.

Bereits in der Eingangsstufe können Geldbußen von bis zu 10 Millionen Euro beziehungsweise bis zu zwei Prozent des weltweiten Jahresumsatzes eines Konzerns verhängt werden. Dies gilt zum Beispiel bei Nichteinhaltung von Compliance-Regeln und DSGVO-Richtlinien. Bei schwerwiegenderen Verstößen können Bußgelder von bis zu 20 Millionen Euro oder bis zu vier Prozent des Konzernumsatzes erlassen werden.

Gründe genug also, das Thema Passwort-Sicherheit im Unternehmen anzugehen – und in einem ersten Schritt das Active Directory auf schwache und kompromittierte Passwörter zu überprüfen.

kommentar field