Gratis
12. September 2018 - Passwörter

Wie Sie die Sicherheitslücke „Passwort“ eindämmen

Anwender machen es sich nach wie vor zu einfach, wenn es um die Vergabe von Passwörtern geht. Und das hat unmittelbare Folgen für das Sicherheitskonzept eines Unternehmens. Darauf weist das Unternehmen ER Secure nach Auswertung aktueller Zahlen hin.

Trivialpasswörter sind immernoch ein großes Problem Bei der Passwortvergabe herrschen immernoch Trivialpasswörter vor. Das schafft große Sicherheitslücken. (Bild: Brilt / iStock / Thinkstock)

Regelmäßig geraten bekannte Firmen in die Schlagzeilen, wenn diese ein Datenleck eingestehen müssen.

Um keine Nachahmer auf den Plan zu rufen, behandeln die Unternehmen das eigentliche Leck üblicherweise diskret.

Aber wohl gar nicht selten dürften es die Unternehmen den Angreifern selbst zu leicht gemacht haben.

Denn wie ER Secure herausgefunden hat, setzen viele Anwender auf viel zu schwache Passwörter.

Cyberkriminelle bekommen den Zugriff auf die Systeme somit fast frei Haus geliefert.

Trivialpasswörter in den Top 10

Eine aktuelle Auswertung von 12,9 Millionen gestohlenen Identitätsdaten aus Datenlecks hat ergeben, wie einfach es sich viele Nutzer in Deutschland bei der Wahl des Passwortes machen.

Platz 1 der am häufigsten verwendeten Passwörter belegt demnach “123456”, gefolgt von “12345678” auf Platz 2 und “1234” auf Rang 3.

Und bei den nachfolgenden Positionen wird es nicht viel besser. Auf Platz 10 rangiert demnach “hallo123”.

Einfaches Opfer für Brute-Force-Angriffe

Solche Trivialpasswörter stellen weder für Cyberkriminelle noch für neugierige Kollegen eine besondere Hürde da.

Programme für so genannte Brute-Force-Attacken setzen in der Regel hier zunächst an.

Binnen weniger Sekunden könnten also Angreifer bereits den Zugang zu einem System erhalten. Dort  kopieren sie Daten oder nutzen es als Ausgangsbasis für weitere Schritte in einem Netzwerk.

Oft keine Passwortvorgaben

Möglich wird die Vergabe solche Trivialpasswörter immer dann, wenn es zwar eine Passwortrichtlinie gibt, diese aber nicht maschinell überprüft wird.

Bereits bei der Einrichtung eines Benutzerkontos sollte technisch unterbunden werden, dass der Nutzer solche Passwörter überhaupt hinterlegen darf.

Die Implementierung einer entsprechenden Regel ist technisch nicht besonders anspruchsvoll, erfordert aber den Einsatz eines zentralen Servers für die Verwaltung von Benutzern.

Aufklärungsarbeit notwendig

Der Verdacht liegt nahe, dass es noch einen zweiten Grund für die erstaunlich hohe Quote an einfachen Passwörtern geben könnte: Mangelnde Aufklärung der Anwender nämlich.

Hier können Datenschutzbeauftragte mit einer entsprechenden kurzen Schulung oder einer Rundmail etwas zur Verbesserung der Situation beitragen.

Grundsätzlich sollten Benutzerkonten und Systeme nur durch starke Passwörter abgesichert sein. Das gilt auch für mobile Geräte.

Und je kürzer die Zeitspanne, innerhalb der eine Bildschirmsperre automatisch startet, umso besser.

Denn das hält zufällig in der Nähe befindliche Unbefugte davon ab, ihrer Neugier nachzugeben, um sich den Bildschirminhalt einmal anzusehen.

Kommt es zu einem Datenleck, das nach seinem Inhalt bei den Aufsichtsbehörden gemeldet werden müsste, dürfte die mangelnde Kontrolle der Passwortstärke wohl als Fahrlässigkeit eingestuft werden.

Stephan Lamprecht