Kommentar von Proofpoint zum World Password Day 2023

Dabei ist insbesondere zu beachten, dass Passwörter, egal wie komplex sie sind, gestohlen werden können. Der Diebstahl von Zugangsdaten ist weltweit auf dem Vormarsch: 35 Prozent der deutschen Unternehmen, die im vergangenen Jahr einen erfolgreichen Phishing-Angriff erleben mussten, hatten in der Folge mit einem Diebstahl von Zugangsdaten und kompromittierten Konten zu kämpfen.

Cyberkriminelle haben längst erkannt, dass es für sie einfacher – und auch billiger – ist, Anmeldedaten zu stehlen und sich einzuloggen, statt sich mühsam in technische Systeme zu hacken. Und wenn sie sich erst einmal Zugang verschafft haben, indem sie das Konto eines Mitarbeiters kompromittiert haben, können sie sich in den Netzwerken einer Organisation zumeist ungehindert umsehen.

Ein wichtiger Schritt zur Verhinderung des Passwortdiebstahls ist die Multi-Faktor-Authentifizierung (MFA) für so viele Konten wie möglich. Das Grundkonzept besteht darin, dass zwei verschiedene Formen des Identitätsnachweises nötig sind, bevor der Zugriff auf einen Account gewährt wird. Dies stärkt den Schutz des Kontos nachweislich. Bei aktivierter MFA erhalten Nutzer beispielsweise im Anschluss an die Eingabe von Benutzername und Passwort zusätzlich eine einmalige PIN per SMS auf ihr Mobiltelefon. Mit diesem zweiten Faktor können sie sodann die Kontoanmeldung abschließen. Auf diese Weise werden alle Versuche der Cyberkriminellen obsolet, das Passwort zum jeweiligen Benutzernamen zu erraten.

Zusätzlich empfiehlt sich die Verwendung eines Passwortmanagers. Ein Passwortmanager erstellt zufällige Passwörter, die sicher gespeichert, verschlüsselt und auf allen persönlichen Geräten zugänglich sind. Dadurch reduzieren sie den Aufwand, der mit komplizierten Anmeldedaten für verschiedene Accounts und Websites ansonsten einhergeht.

Allerdings können Cyberkriminelle unter Umständen an ihr Ziel gelangen, auch wenn komplexe Passwörter, MFA und Passwortmanager zum Einsatz kommen. Und zwar einfach, indem all diese Methoden und Technologien umgangen werden. Denn 95 Prozent aller Cybersicherheitsvorfälle lassen sich auf eine vorhergehende menschliche Interaktion zurückführen. Folglich ist es von kaum zu ermessender Bedeutung, dass alle Nutzer in einem Unternehmen wissen, wie sie Phishing nach Anmeldedaten erkennen können. Nur so lässt sich schlussendlich vermeiden, dass die eigene Organisation Opfer eines der vielen Cyberangriffe wird, die nach wie vor weiter zunehmen.

Wichtige Tipps für Verbraucher

Auch Verbrauchern empfehlen wir, unterschiedliche Passwörter für jedes Online-Konto zu verwenden, insbesondere, wenn der Account wichtige (Finanz-)Daten beinhaltet. Sofern diese verfügbar ist, sollte ferner immer die Multi-Faktor-Authentifizierung aktiviert werden, und auch Verbraucher sollten einen Passwortmanager nutzen. Mit solchen Tools wird gewährleistet, dass zufällig generierte Passwörter zum Einsatz kommen, die sicher gespeichert, verschlüsselt und auf allen persönlichen Geräten zugänglich sind.

Tipps zur Passwortverwaltung und -erstellung im Überblick:

• Verwenden Sie die Multifaktor-Authentifizierung (MFA) für so viele Konten wie möglich. Das Grundkonzept besteht darin, dass zwei verschiedene Formen des Identitätsnachweises nötig sind, bevor der Zugriff auf einen Account gewährt wird. Bei aktivierter MFA erhalten Sie nach Eingabe von Benutzername und Passwort beispielsweise zusätzlich eine Einmal-PIN per SMS auf ihr Mobiltelefon. Mit diesem zweiten Faktor können Sie danach die Anmeldung abschließen. So laufen alle Versuche der Cyberkriminellen ins Leere, das Passwort zum jeweiligen Benutzernamen zu erraten.
• Verwenden Sie einen sicheren Passwortmanager, mit dem mehrere Kennwörter abgerufen und bei Bedarf automatisch eingegeben werden können. Durch die Verwendung eines solchen Tools ist es nicht länger nötig, sich alle unterschiedlichen Kennwörter zu merken und mit ihnen zu jonglieren. Dies führt in der Regel dazu, dass verstärkt sicherere und längere Kennwörter verwendet werden.
• Vermeiden Sie bei der Erstellung von Passwörtern gängige Wörter, Phrasen, Namen und Daten, die mit Ihnen oder Ihren direkten Familienangehörigen in Verbindung gebracht werden können. Cyberkriminelle sind oftmals in der Lage, Querverweise zu allen über Sie verfügbaren Daten herzustellen, um sich Zugang zu Ihrem Konto zu verschaffen. Sollten Sie von einer von Ihnen genutzten Website aufgefordert werden, Ihr Kennwort zu ändern, sollten Sie diesen Rat befolgen und ein anderes, sicheres und eindeutiges Kennwort wählen. Es sollte dabei auch tunlichst vermieden werden, einfach eine „1“ an das Ende eines an anderer Stelle verwendeten Kennworts anzuhängen, um sich dieser lästigen Aufgabe schnell zu entledigen.