Selbst Chefs können gehackt werden. Wie oft dies geschieht, zeigt die neue F-Secure Studie „CEO E-Mail Exposed: Passwords and Pwnage“. Laut dieser wurden die Passwörter von drei von zehn CEOs „gepwned“.
Moment, was bedeuet „pwn“?
Pwn, Verb: Einen Gegner dominieren; sich illegal Zugriff auf ein System, einen Sever oder eine Applikation zu verschaffen und diese kontrollieren.
In diesem Fall beschreibt es Dienste, bei denen der CEO seine E-Mail und ein Passwort angab und die anschließend von Angreifern kompromittiert wurden. Dabei sind Zugangsdaten geleaked, mit denen das Risiko einer gezielte Attacke auf den Geschäftsführer wächst.
Die Datenbanken mit geleakten Informationen geistern durch das Web. Jeder einigermaßen versierte Hacker kann sich diese Informationen herunterladen, die Adressen seines Opfers herausfinden und anschließend die Kombination aus geknackten Passwörtern und E-Mail-Adressen bei anderen Diensten ausprobieren. Falls das Opfer die gleiche Kombination bei unterschiedlichen Diensten nutzt, können Hacker auf diese Konten zugreifen. So ist es potentiell möglich, dass sich Hacker Zugang zu weiteren sensiblen Daten verschaffen und eventuell sogar in Unternehmen eindringen können.
Ein CEO oder ein Geschäftsführer sind für kriminelle Hacker natürlich besonders verlockende Ziele. Doch solche Attacken sind nicht auf CEOs beschränkt – jeden von uns kann so eine Attacke treffen. Wer länger im Web unterwegs ist, kann sich fast sicher sein, dass irgendein Dienst Passwort und E-Mail bereits verloren hat (ein guter Weg dies zu prüfen ist über die Webseite HaveIBeenPwned.com). Werden allerdings die Accounts von Geschäftsführern geknackt, kann dies massive Auswirkungen auf das komplette Unternehmen haben.
Eine schlechte digitale Hygiene kann sogar komplette Unternehmensnetzwerke gefährden. Der Verizon Data Breach Investigations Report fand 2016, dass in 63 Prozent aller bestätigten Datenzwischenfällen schwache, gestohlene oder Standard-Passwörter eine Mitschuld trugen.
Um das eigene Risiko abschätzen zu können, reicht die Beantwortung von diesen drei Fragen:
- Nutze ich die gleichen Kennwörter für unterschiedliche Konten?
- Habe ich für jedes Konto ein starkes Passwort mit mindestens 14 Zeichen?
- Nutze ich Zwei-Faktor-Authentifizierung wo immer möglich?
Gerade Frage 1 und 2 haben es in sich. Nachdem inzwischen gefühlt jede Webseite einen eigenen Account erfordert, verfällt man hier schnell in eine gefährliche Gewohnheit. Abhilfe schafft hier ein guter Passwort-Manager. Dabei müssen Sie sich nur noch das Master-Kennwort merken, alle anderen stecken in dem Manager selbst. „Nutzen Sie einen Passwort-Manager, zu dem nur Sie – auf keinen Fall der Hersteller – das Master-Kennwort kennen,“ sagt Tom Van de Wiele, Principal Security Consultant bei F-Secure.
F-Secure KEY erfüllt diese Vorgaben (und ihm wurde kürzlich von der Stiftung Warentest ein gutes Sicherheitskonzept bescheinigt). Unser Kennwort-Safe lässt sich für ein Gerät (egal ob Window,s Mac, Android oder iOS) kostenlos nutzen. Wer mehrere Geräte schützen möchte, die Premium-Version bietet einen automatischen, verschlüsselten Abgleich der Daten zwischen unterschiedlichen Systemen.
Der Schutz von Kennwörtern ist wichtiger als jemals zuvor, sowohl im privaten Umfeld wie auch im Unternehmen. Wir bieten Firmenkunden daher unseren neuen Dienst F-Secure Protection Service for Business an. Eine der brandneuen Komponenten ist dabei der Passwort Manager, der direkt in die Sicherheits-Clients auf den Endpoints integriert ist.
Vielleicht sollten Sie Ihren Geschäftsführer warnen, bevor es zu spät ist. Schicken Sie ihm doch einfach unseren Bericht.
Kategorien