Für viele von uns ist ein Passwort schlichtweg die gängigste Authentifizierungsmethode bei unzähligen Online-Diensten. Doch für Cyberkriminelle ist es viel mehr als das – es dient als Mittel, sich den Weg in das Leben fremder Personen zu bahnen, ein Tool von zentraler Bedeutung und eine Ware, die verkauft werden kann. Wenn Kriminelle ein Passwort kennen, können sie nicht nur auf Ihre Konten, Daten, Geld und sogar Ihre Identität zugreifen, sondern Sie zudem als schwaches Glied nutzen, um Ihre Online-Freunde, Verwandten oder sogar das Unternehmen, für das Sie arbeiten oder das Sie leiten, anzugreifen. Um das zu verhindern, müssen Sie verstehen, wie Außenstehende überhaupt in den Besitz Ihres Passworts gelangen können.
Wie gelangen Cyberkriminelle an Ihr Passwort?
Es ist ein weit verbreiteter Irrglaube, dass Cyberkriminelle nur an ein Passwort gelangen können, wenn man selbst einen Fehler begeht – der Download und das Ausführen einer ungeprüften Datei aus dem Internet, das Öffnen eines Dokuments von einem unbekannten Absender oder die Eingabe der Anmeldedaten auf einer verdächtigen Website: Ja, all diese Verhaltensmuster können Angreifern das Leben sehr erleichtern, aber es gibt durchaus noch andere Szenarien. Im Anschluss folgen die häufigsten Methoden, über die Cyberkriminelle Zugriff auf Ihre Konten erhalten.
Phishing
Phishing ist in der Tat eine der Methoden zum Abfangen von Anmeldeinformationen, die hauptsächlich auf menschlichen Fehlern beruhen. Täglich erscheinen Hunderte von Phishing-Seiten, die von unzähligen Schad-Mails unterstützt werden, indem in den Nachrichten auf sie verlinkt wird. Wenn Sie glauben, dass Sie niemals in die Phishing-Falle tappen werden, liegen Sie vermutlich falsch. Denn diese altbewährte Methode ist fast so alt wie das Internet selbst und hat Cyberkriminellen somit die notwendige Zeit gegeben, zahlreiche Social-Engineering-Tricks und Verschleierungstaktiken zu entwickeln. Selbst Experten können eine Phishing-E-Mail nicht immer auf den ersten Blick von einer legitimen Nachricht unterscheiden.
Malware
Eine weitere gängige Methode, die zum Diebstahl Ihrer Anmeldedaten genutzt wird, ist der Einsatz von Malware. Unseren Statistiken zufolge besteht ein großer Teil der aktiven Malware aus Trojanern, deren primärer Zweck darin besteht, darauf zu warten, dass sich ein Nutzer bei einer Website oder einem Dienst anmeldet, um die dort eingegebenen Passwörter zu kopieren und an ihre ursprünglichen Entwickler zu übermitteln. Sollten Sie keine entsprechenden Schutzlösungen verwenden, können sich Trojaner jahrelang unentdeckt auf Ihrem Computer verstecken – und das unbemerkt! Denn sie richten keinen sichtbaren Schaden an, sondern verrichten still und leise ihre Arbeit.
Und Stealer-Trojaner sind nicht die einzige Malware, die auf der Jagd nach Passwörtern ist. Manchmal bestücken Cyberkriminelle Webseiten mit sogenannten Web-Skimmern, die alle Eingaben der Besucher stehlen, einschließlich ihrer Anmeldedaten, Namen, Kartendaten usw.
Datenlecks von Dritten
Der Fehler muss übrigens nicht von Ihnen selbst gemacht werden. Es reicht aus, Nutzer eines unsicheren Internetdienstes oder Kunde eines Unternehmens zu sein, dessen Kundendatenbank kompromittiert wurde. Unternehmen, die Cybersicherheit ernst nehmen, speichern Passwörter natürlich gar nicht oder zumindest verschlüsselt. Aber man kann nie sicher sein, dass ausreichende Maßnahmen getroffen wurden. Ein gutes Beispiel dafür war das diesjährige Leck bei SuperVPN bei dem persönliche Daten und Anmeldeinformationen von 21 Millionen Nutzern offengelegt worden waren.
Außerdem gibt es einige Unternehmen, die dazu gezwungen sind, Passwörter zu speichern. Ja, wir sprechen über den berüchtigten Hack von LastPass, einem Passwortmanager. Nach neuesten Informationen konnte sich ein unbekannter Angreifer Zugriff auf einen Cloud-Speicher verschaffen, der einige Kundendaten enthielt, einschließlich ihrer Backups. Ja, die Speicher waren ordnungsgemäß verschlüsselt und LastPass hat die Entschlüsselungsschlüssel nie gespeichert und kannte sie auch nicht. Was aber, wenn LastPass-Kunden ihren Manager mit einem Passwort gesichert haben, das bereits aus einer anderen Quelle bekannt war? Bei Wiederverwendung eines unsicheren Passworts könnten Cyberkriminelle nun auf alle Konten gleichzeitig zugreifen.
Initial Access Brokers
Dies führt uns zu einer weiteren Quelle gestohlener Passwörter – dem Schwarzmarkt. Moderne Cyberkriminelle ziehen es vor, sich auf bestimmte Bereiche zu spezialisieren. Sie können Ihre Passwörter stehlen, müssen sie aber nicht unbedingt verwenden: Denn es ist viel profitabler, diese zu verkaufen! Der Kauf solcher Kennwortdatenbanken ist für Cyberkriminelle besonders attraktiv, weil sie damit eine Komplettlösung erhalten: Benutzer verwenden in der Regel dieselben Passwörter für zahlreiche Plattformen und Konten und verknüpfen sie oft mit derselben E-Mail-Adresse. Mit dem Passwort einer Plattform können sich Cyberkriminelle also Zugang zu vielen anderen Konten des Opfers verschaffen – von dessen Gaming-Konten bis hin zu seinen persönlichen E-Mails oder sogar privaten Konten auf Ü18-Websites.
Auf demselben Schwarzmarkt werden auch geleakte Unternehmensdatenbanken mit oder ohne Zugangsdaten verkauft. Der Preis für solche Datenbanken hängt von der Datenmenge und der Branche des Unternehmens ab. Einige Passwort-Datenbanken kosten mehrere hundert Dollar.
Es gibt Dienste im Darknet, die geleakte Passwörter und Datenbanken sammeln und kostenpflichtige Mitgliedschaften oder einen einmaligen Zugang zu ihren Sammlungen anbieten. Im Oktober 2022 hackte die berüchtigte Ransomware-Gruppe LockBit eine medizinische Einrichtung und stahl die medizinischen Daten der Nutzer. Sie verkauften nicht nur Abonnements für diese Informationen im Darknet – vermutlich kauften sie auch den Erstzugang auf demselben Schwarzmarkt.
Brute-Force-Angriffe
In einigen Fällen können Cyberkriminelle Ihr Passwort herausfinden und Ihr Konto kompromittieren, ohne eine gestohlene Datenbank zu verwenden; nämlich via Brute-Force-Angriff, bei dem Tausende von ty pischen Passwortvarianten ausprobiert werden, bis eine erfolgreich ist. Ja, das klingt nicht sehr zuverlässig. Es ist jedoch nicht notwendig, alle möglichen Kombinationen zu berücksichtigen. Es gibt spezielle Tools (Wordlist Generators), die auf der Grundlage der persönlichen Daten des Opfers eine Liste möglicher gängiger Passwörter (das so genannte Brute-Force-Wörterbuch) erstellen können.
Solche Programme sehen aus wie ein Mini-Fragebogen über das Opfer. Sie fragen nach dem Namen, Nachnamen, Geburtsdatum, persönlichen Informationen über Partner, Kinder und sogar Haustiere. Die Angreifer können sogar zusätzliche Schlüsselwörter hinzufügen, die sie über die Zielperson wissen und die in den Mix geworfen werden können. Mit dieser Mischung aus verwandten Wörtern, Namen, Daten und anderen Daten erstellen Wortlistengeneratoren Tausende von Kennwortvarianten, die die Angreifer später bei der Protokollierung ausprobieren.
Um solche Techniken einzusetzen, müssen Cyberkriminelle zunächst Nachforschungen anstellen, wobei sich geleakte Datenbanken als sehr nützlich erweisen können. Diese können Informationen wie Geburtsdaten, Adressen und Antworten auf „Geheimfragen“ enthalten. Eine weitere Datenquelle ist das „Oversharing“ (übermäßiges Teilen von Informationen) in den sozialen Medien, wie z. B. die Bildunterschrift für ein Foto vom 6. Dezember: „Mein bester Freund mit vier Pfoten hat heute Geburtstag“, was völlig banal erscheint.
Folgen eines geleakten oder per Brute Force entwendeten Passworts
Die möglichen Konsequenzen liegen auf der Hand: Cyberkriminelle können Ihr Konto in ihre Gewalt bringen und Lösegeld dafür verlangen, es für Betrugsmaschen mit Ihren Kontakten und Online-Freunden nutzen oder, wenn es ihnen gelingt, das Passwort für Ihr Online-Banking herausfinden und dann Ihr Konto plündern. Manchmal sind ihre Absichten jedoch nicht so einfach zu erkennen.
Da zum Beispiel immer mehr Spiele In-Game-Währungen und Mikrotransaktionen einführen, haben immer mehr Nutzer ihre Zahlungsmittel mit ihren Konten verknüpft. Das macht die Gamer zu einem interessanten Zielobjekt für Hacker. Indem sie sich Zugang zum Gaming-Konto verschaffen, können sie spielinterne Wertgegenstände wie Skins, seltene Items oder interne Spielwährung stehlen oder die Kreditkartendaten des Opfers missbrauchen.
Die geleakten Datenbanken und Informationen, die beim Durchsuchen Ihrer Konten erlangt werden können, können nicht nur für finanziellen Gewinn, sondern auch für Rufschädigung und andere Arten von sozialem Schaden, einschließlich Doxing, verwendet werden. Prominente können beispielsweise erpresst werden und stehen vor der Wahl: Weitergabe persönlicher Informationen (die Ihren Ruf schädigen könnten) oder Geldverlust.
Man muss allerdings kein Prominenter sein, um Opfer eines Doxing-Angriffs zu werden (Veröffentlichung von Informationen über eine Person im Internet, wie z. B. deren richtiger Name, Wohnanschrift, Arbeitsplatz, Telefonnummer oder Finanzdaten). Doxing-Angriffe können dazu führen, dass man in zahllose Mailing-Listen aufgenommen wird oder gefälschte Pizzabestellungen in Ihrem Namen getätigt werden. Obwohl sie in den meisten Fällen relativ harmlos sind, können sie in Form von Cybermobbing, Identitätsdiebstahl oder sogar Identitätsstalking auch deutlich gefährlicher werden.
Wenn Sie dasselbe Passwort für private und berufliche Konten verwenden, können Cyberkriminelle Ihren Firmen-Account zudem in ihre Gewalt bringen und diesen für Kompromittierungen von Geschäfts-E-Mails oder sogar für zielgerichtete Angriffe nutzen.
So schützen Sie Ihre Konten vor ungewollten Zugriffen
Besonders wichtig ist es, auf die Passworthygiene zu achten:
- Verwenden Sie ein Passwort niemals für mehrere Konten;
- Erstellen Sie nur starke und einzigartige Passwörter;
- Bewahren Sie Passwörter sicher auf;
- Ändern Sie Passwörter umgehend, wenn Sie Nachrichten über ein Datenleck bei von Ihnen genutzten Diensten oder Websites hören.
Unser Password Manager kann Ihnen bei all diesen Aufgaben helfen. Er ist Teil unserer MU-Lösungen und auch für Heimnutzer erhältlich.
Hier noch einige zusätzliche Tipps:
- Aktivieren Sie, wenn möglich, die Zwei-Faktor-Authentifizierung. Sie bietet eine zusätzliche Sicherheitsebene und verhindert, dass Hacker auf Ihr Konto zugreifen können – selbst wenn es jemandem gelingt, Ihren Benutzernamen und Ihr Passwort zu erhalten.
- Richten Sie Ihre sozialen Netzwerke so ein, dass sie besser geschützt sind. Dies macht es schwieriger, Informationen über Sie zu finden, und erschwert den Zugriff auf Ihre Konten via Brute-Force-Angriff.
- Geben Sie nicht zu viele persönliche Informationen von sich preis, auch wenn diese nur für Ihre Freunde sichtbar sind. Freundschaften können auch in die Brüche gehen.