Ein reißerischer Titel aber leider hat er einen ernsten Hintergrund: Auch Geschäftsführer nutzen schwache Kennwörter oder ändern sie über Jahre nicht. Fallen diese Daten einem Angreifer in die Hände, kann das für die Unternehmen große Probleme bedeuten.
Wie kommt es dazu? In den letzten Jahren wurden zahlreiche Web-Anbieter geknackt, Nutzerdaten wie E-Mails oder Kennwörter landeten über Umwege im öffentlichen Web. Auch wenn ein Leak mehrere Jahre zurückliegt, bedeutet das in diesem Fall nichts Gutes: Je mehr Zeit vergeht, desto mehr verschlüsselte oder gehashte Kennwörter werden entschlüsselt und sind im Klartext verfügbar.
Die offensichtlichste Gefahr: Nutzt ein Geschäftsführer (oder jeder andere Mitarbeiter in der Firma) für den Zugriff auf interne Dienste – etwa VPN oder Webmail-Portal – die gleichen Zugangsdaten, können sich Kriminelle direkt anmelden. Dazu liefern diese Leaks eine riesige Datenbank an garantiert funktionierenden E-Mail-Adressen, die sich wiederum für Spam oder gezielte Phishing-Attacken nutzen lassen.
Wie groß ist das Problem?
Unsere Experten in den F-Secure Labs haben öffentlich verfügbare Datenbanken mit geleakten E-Mails und Kennwörtern mit den Adressen von Geschäftsführern großer Unternehmen verglichen. Das Ergebnis: Rund ein Drittel der Geschäftsführer haben ihre Kennwörter im Internet veröffentlicht.
Besonders gefährlich ist es, wenn ein CEO mit seiner Geschäfts-E-Mail auf LinkedIn oder DropBox angemeldet ist. Die Untersuchungen unserer Experten zeigen, dass in den Leaks dieser Dienste besonders viele Daten von CEOs enthalten waren.
Neben den Zugangsdaten finden sich viele persönliche Daten in sogenannten Spam-Listen. Dabei handelt es sich um Verzeichnisse und Datenbanken, die Spammer für den Versand ihrer unerwünschte Werbenachrichten oder für Anrufe nutzen.
Was kann ich tun?
Die Wahrscheinlichkeit, dass die eigenen Passwörter im Web auftauchen, erhöht sich mit jedem Dienst, den man nutzt. Man selbst hat keinen Einfluss darauf und es reichen kleinste Fehler, etwa wenn die Informationen in einem ungesicherten Amazon S3 Web-Bucket für jedermann zugänglich sind.
Mit den folgenden Tipps kann man sich und seine Daten aber effektiv gegen Angreifer schützen:
Verwenden Sie niemals das gleiche Kennwort bei mehreren Diensten. Es exitieren Tools, die Kombinationen aus Nutzername und Kennwort automatisiert bei jedem verfügbaren Dienst abfragen. Für jeden Dienst sollte man idealerweise ein eigenes, starkes Passwort verwenden.
Nutzen Sie starke Passwörter. Hier gilt: Je länger, desto besser. Zwölf Zeichen und mehr sollten es sein. Je länger ein Kennwort ist, desto mehr Rechenleistung, Zeit und Geld müssen Kriminelle invesiteren, um zu knacken. Ein gutes Passwort enhält dabei idealerweise auch Zahlen und Sonderzeichen.
Setzen Sie auf einen Passwort Manager. Niemand muss sich alle Passwörter merken, eine ganze Reihe von Zusatzprogramme nehmen diese Arbeit ab. Statt dutzender Kennwörter muss man sich nur noch eins merken – das, um den Kennwort-Safe zu entsperren. F-Secure bietet mit KEY eine eigene Lösung für Windows, Mac, Android und iOS.
Setzen Sie auf Zwei-Faktor-Authentifizierung. Das Prinzip kennen Sie wahrscheinlich vom Online-Bankink – neben einem Kennwort wird eine dynamisch erstellte Ziffernfolge abgefragt, die TAN. Inzwischen bieten viele Online-Dienste eine ähnliche Funktion an, die jeweils notwendige Nummer wird dabei kostenlos auf dem Smartphone generiert. Der große Vorteil: Selbst wenn ein Krimineller Ihr Passwort und den Nutzernamen hat, kommt er ohne diese Nummer nicht in Ihr Konto. Eine sehr gute Übersicht über Dienste, die dieses Konzept unterstützen, bietet die Seite TwoFactorAuth.
Kategorien