World Password Day: Experten kommentieren – World Password Day: Experts comment

„Obwohl Passwörter de facto DIE Sicherheitsmaßnahme für praktisch alle Konten sind, gibt es immer noch Raum für Verbesserungen bei den Passwort- und Authentifizierungsverfahren. Im vergangenen Jahr war in 58 Prozent der beobachteten Fälle von kompromittierten Geschäfts-E-Mails (Business E-Mail Compromise – BEC) keine Multi-Faktor-Authentifizierung (MFA) aktiviert. Angesichts Hunderter Millionen von Zugangsdaten, die jedes Jahr im Dark Web veröffentlicht werden, ist es umso wichtiger, daran zu erinnern, dass auch ein „sicheres“ Passwort nicht ausreicht.

„Im Rahmen des World Password Day sollten Führungskräfte die Gelegenheit nutzen, ihre Mitarbeitenden und User daran zu erinnern, wie wichtig starke Passwörter sind. Genauso entscheidend sind zusätzliche Sicherheitsmaßnahmen, die verhindern, dass Angreifer eine Schwachstelle ausnutzen, um in Unternehmensinfrastrukturen einzudringen. Ein starkes Passwort ist die erste Verteidigungslinie. Wenn es jedoch in einer unsicheren Tabelle oder an einem leicht zugänglichen Ort gespeichert ist, hilft auch das stärkste Passwort nichts. MFA ist entscheidend, um einfache und komplexe Passwörter zu schützen. Nutzer sollten Passwörter nicht wiederverwenden. Vor allem müssen unterschiedliche Zugangsdaten für berufliche und private Geräte und Konten verwendet werden. Ein Passwortmanager als Tresor für alle Anmeldedaten ist ebenfalls ein wichtiges Hilfsmittel. Schließlich ist stets Vorsicht geboten: Wenn ein E-Mail-Link auf ein Formular zur Passworteingabe weiterleitet, sollten User zweimal nachdenken, bevor sie ihre Anmeldedaten eingeben.“

Miro Mitrovic, Area Vice President für die DACH-Region bei Proofpoint, äußert sich zum World Password Day 2023 am 4. Mai:

„Der diesjährige World Password Day ist ein guter Anlass, daran zu erinnern, wie wichtig komplexe Kennwörter und verschiedene Passwörter für unterschiedliche Konten sind. Je sensibler die Daten sind, desto sicherer sollte das Passwort sein – Stichwort Online-Banking. Zudem müssen sich sowohl Verbraucher als auch Unternehmen darüber Gedanken machen, wie sie sich zusätzlich zur grundlegenden Passworthygiene bestmöglich vor Cybergefahren schützen können. Angesichts der sich zuspitzenden Bedrohungslage ein immer drängenderes Unterfangen.

Dabei ist insbesondere zu beachten, dass Passwörter, egal wie komplex sie sind, gestohlen werden können. Der Diebstahl von Zugangsdaten ist weltweit auf dem Vormarsch: 35 Prozent der deutschen Unternehmen, die im vergangenen Jahr einen erfolgreichen Phishing-Angriff erleben mussten, hatten in der Folge mit einem Diebstahl von Zugangsdaten und kompromittierten Konten zu kämpfen.

Cyberkriminelle haben längst erkannt, dass es für sie einfacher – und auch billiger – ist, Anmeldedaten zu stehlen und sich einzuloggen, statt sich mühsam in technische Systeme zu hacken. Und wenn sie sich erst einmal Zugang verschafft haben, indem sie das Konto eines Mitarbeiters kompromittiert haben, können sie sich in den Netzwerken einer Organisation zumeist ungehindert umsehen.

Ein wichtiger Schritt zur Verhinderung des Passwortdiebstahls ist die Multi-Faktor-Authentifizierung (MFA) für so viele Konten wie möglich. Das Grundkonzept besteht darin, dass zwei verschiedene Formen des Identitätsnachweises nötig sind, bevor der Zugriff auf einen Account gewährt wird. Dies stärkt den Schutz des Kontos nachweislich. Bei aktivierter MFA erhalten Nutzer beispielsweise im Anschluss an die Eingabe von Benutzername und Passwort zusätzlich eine einmalige PIN per SMS auf ihr Mobiltelefon. Mit diesem zweiten Faktor können sie sodann die Kontoanmeldung abschließen. Auf diese Weise werden alle Versuche der Cyberkriminellen obsolet, das Passwort zum jeweiligen Benutzernamen zu erraten.

Zusätzlich empfiehlt sich die Verwendung eines Passwortmanagers. Ein Passwortmanager erstellt zufällige Passwörter, die sicher gespeichert, verschlüsselt und auf allen persönlichen Geräten zugänglich sind. Dadurch reduzieren sie den Aufwand, der mit komplizierten Anmeldedaten für verschiedene Accounts und Websites ansonsten einhergeht.

Allerdings können Cyberkriminelle unter Umständen an ihr Ziel gelangen, auch wenn komplexe Passwörter, MFA und Passwortmanager zum Einsatz kommen. Und zwar einfach, indem all diese Methoden und Technologien umgangen werden. Denn 95 Prozent aller Cybersicherheitsvorfälle lassen sich auf eine vorhergehende menschliche Interaktion zurückführen. Folglich ist es von kaum zu ermessender Bedeutung, dass alle Nutzer in einem Unternehmen wissen, wie sie Phishing nach Anmeldedaten erkennen können. Nur so lässt sich schlussendlich vermeiden, dass die eigene Organisation Opfer eines der vielen Cyberangriffe wird, die nach wie vor weiter zunehmen.

Wichtige Tipps für Verbraucher

Auch Verbrauchern empfehlen wir, unterschiedliche Passwörter für jedes Online-Konto zu verwenden, insbesondere, wenn der Account wichtige (Finanz-)Daten beinhaltet. Sofern diese verfügbar ist, sollte ferner immer die Multi-Faktor-Authentifizierung aktiviert werden, und auch Verbraucher sollten einen Passwortmanager nutzen. Mit solchen Tools wird gewährleistet, dass zufällig generierte Passwörter zum Einsatz kommen, die sicher gespeichert, verschlüsselt und auf allen persönlichen Geräten zugänglich sind.

Tipps zur Passwortverwaltung und -erstellung im Überblick:

Verwenden Sie die Multifaktor-Authentifizierung (MFA) für so viele Konten wie möglich. Das Grundkonzept besteht darin, dass zwei verschiedene Formen des Identitätsnachweises nötig sind, bevor der Zugriff auf einen Account gewährt wird. Bei aktivierter MFA erhalten Sie nach Eingabe von Benutzername und Passwort beispielsweise zusätzlich eine Einmal-PIN per SMS auf ihr Mobiltelefon. Mit diesem zweiten Faktor können Sie danach die Anmeldung abschließen. So laufen alle Versuche der Cyberkriminellen ins Leere, das Passwort zum jeweiligen Benutzernamen zu erraten.

Verwenden Sie einen sicheren Passwortmanager, mit dem mehrere Kennwörter abgerufen und bei Bedarf automatisch eingegeben werden können. Durch die Verwendung eines solchen Tools ist es nicht länger nötig, sich alle unterschiedlichen Kennwörter zu merken und mit ihnen zu jonglieren. Dies führt in der Regel dazu, dass verstärkt sicherere und längere Kennwörter verwendet werden.

Vermeiden Sie bei der Erstellung von Passwörtern gängige Wörter, Phrasen, Namen und Daten, die mit Ihnen oder Ihren direkten Familienangehörigen in Verbindung gebracht werden können. Cyberkriminelle sind oftmals in der Lage, Querverweise zu allen über Sie verfügbaren Daten herzustellen, um sich Zugang zu Ihrem Konto zu verschaffen. Sollten Sie von einer von Ihnen genutzten Website aufgefordert werden, Ihr Kennwort zu ändern, sollten Sie diesen Rat befolgen und ein anderes, sicheres und eindeutiges Kennwort wählen. Es sollte dabei auch tunlichst vermieden werden, einfach eine „1“ an das Ende eines an anderer Stelle verwendeten Kennworts anzuhängen, um sich dieser lästigen Aufgabe schnell zu entledigen.

Eve Maler, CTO bei ForgeRock, sieht einen Schritt in die passwortlose Welt:

„Passwörter stellen Unternehmen vor zahlreiche Probleme: Sie sind unsicher, nicht benutzerfreundlich und teuer. Viele Unternehmen unterschätzen die Risiken von Passwörtern, vor allem angesichts der rasanten Zunahme von Phishing-, Malware- und Ransomware-Angriffen und Cyberattacken, die explizit auf der Kompromittierung von Anmeldeinformationen basieren. Allein im Jahr 2021 wurden weltweit mehr als zwei Milliarden Benutzernamen und Passwörter kompromittiert, wobei sich mehr als 50 Prozent dieser Sicherheitsverletzungen auf unberechtigten Zugriff zurückführen lassen.

Durch die Nutzung von passwortfreien und KI-gestützten Authentifizierungslösungen können Unternehmen die Risiken eliminieren, die durch die Interaktion mit Passwörtern entstehen und sich so besser vor kostspieligen Cyber-Angriffen und unberechtigten Zugriffen schützen. Gleichzeitig müssen sich Nutzer nicht mehr mit Passwörtern herumschlagen, da der passwortlose Zugang auf etwas basiert, das man hat oder ist – und nicht mehr auf etwas, das man weiß. Dies macht nicht nur die Benutzererfahrung nahtloser, intelligenter und sicherer, sondern reduziert auch IT-Aufwand und Betriebskosten. Laut Gartner werden bis 2025 mehr als 50 % der Mitarbeiter- und mehr als 20 % der Kundenauthentifizierungstransaktionen passwortlos sein. Damit ist es an der Zeit, dass Unternehmen einen Schritt in Richtung passwortlose Welt machen.“

Henrik Nitsche, Security Solution Manager bei Jamf, betont die Bedeutung von  Passwort-Managern,  Organisations-Tools und zusätzliche Sicherheitsmaßnahmen:

„Die schiere Anzahl an Passwörtern, die sich jeder beruflich wie privat inzwischen merken muss, ist bereits beachtlich und wird nur noch weiter wachsen, wenn mit zunehmender Digitalisierung immer mehr von unserem Leben online stattfindet. Diese Anzahl an Passwörtern wird dann zum Problem, wenn sie dazu verleitet, die wichtigste Regel zu brechen: Passwörter nicht mehrmals oder erneut zu verwenden. Mit nur einem erbeuteten Passwort verfügen Angreifer dann nämlich nicht nur über ein Einfallstor, sondern über Dutzende oder Hunderte.

Vor allem dann, wenn sich ein Angreifer auf diese Weise Zugriff auf von verschiedenen Personen genutzte Ressourcen verschaffen kann, wird dies zum Problem, weil bereits eine Schwachstelle potenziell organisationsweite Konsequenzen haben kann. Einen Passwort-Manager zu nutzen, kann hier für Unternehmen wie Privatpersonen die Lösung darstellen: Die einzelnen Passwörter für verschiedene Webseiten, Konten und Anwendungen werden hier in einer einzigen Datenbank gespeichert, zu der nur der Nutzer mittels eines Master-Passworts Zugriff hat. Im Idealfall verfügt ein Passwort-Manager zudem über die Möglichkeit der Zwei-Faktor-Authentifizierung, um ein zusätzliches Level an Sicherheit zu gewährleisten.“

Mark Stockley, Cyber Evangelist bei Malwarebytes, fordert, die Verantwortung für Passwortsicherheit nicht auf Mitarbeiter abzuwälzen:

„Unternehmen werden nicht müde, ihre Mitarbeitenden über Passwortsicherheit aufzuklären und ihre Passwortrichtlinien zu verschärfen – und die Liste der Passwortkriterien, die Unternehmen von ihren Mitarbeitenden verlangen, ist lang: Einmalige Passwörter mit Sonderzeichen und Großbuchstaben, die so oft gewechselt werden sollen, wie die eigene Zahnbürste. Je mehr Regeln vorgegeben werden, desto wahrscheinlicher ist es, dass Mitarbeitende nach Schlupflöchern und Workarounds suchen, sodass es für Cyberkriminelle ein leichtes Spiel bleibt, Passwörter mit verschiedenen Hacking-Methoden wie Phishing oder Brute-Force-Angriffen zu stehlen.

Anstatt die Verantwortung für die Passwortsicherheit auf die Mitarbeitenden abzuwälzen, sollten sich Unternehmen fragen, wie sie ihre Mitarbeitenden besser schützen können, ohne dass diese sich immer mehr Gedanken darüber machen müssen, welche Passwörter sie nutzen, wo sie diese speichern und wie oft sie diese verwenden. Dafür bieten sich zwei Maßnahmen an: Multi-Faktor-Authentifizierung (MFA) und Account Lockout Policy. Multi-Faktor-Authentifizierung (MFA) verhindert Credential Stuffing, Password Spraying und Brute-Force-Angriffe, indem zusätzlich zum Passwort weitere generierte Zugangsdaten verwendet werden. Mit einer Account Lockout Policy können zudem selbst die schwächsten Passwörter zum Hindernis für unbefugten Zugriff werden, indem sie den Account nach einer geringen Anzahl an fehlgeschlagenen Anmeldeversuchen vorsorglich sperren.“

Tobias Lauderbach, Enterprise Solution Engineer bei RingCentral, glaubt, dass Passwörter nicht ausgedient haben, sondern Teil eines Zero-Trust-Ansatzes werden:

„Auch wenn Passwörter heute nur eine von vielen Methoden zur Authentifizierung von Nutzerkonten sind, ist es nach wie vor essenziell, dass IT-Abteilungen in Unternehmen ihre Mitarbeitenden dabei unterstützen, starke Passwortkombinationen zu erstellen, um Brute-Force-Angriffe bestmöglich zu verhindern. Diese Angriffe basieren darauf, eine Passwortkombination durch automatisierte Methoden zu erraten. Mit einer Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen, die nicht in einem Wörterbuch zu finden sind und nicht einer bekannten, fiktiven oder realen Person, einem Produkt oder einer Organisation zugeordnet werden können, lassen sich diese Methoden verlangsamen oder sogar ganz außer Kraft setzen. In Sachen Passwörter ist dies eine absolut grundlegende Sicherheitsmaßnahme, quasi das Minimum.

Aber selbst die beste Passwortkombination kann mittels Phishing-Angriffen, bei denen Nutzerinnen und Nutzer ihr Passwort freiwillig in eine dafür konstruierte, legitim anmutende Website eingeben, ausgehebelt werden. Diese Angriffe sind gefährlich, denn um sie zu verhindern, müssen Mitarbeitende aufmerksam sein und beim Anklicken verdächtiger Links Vorsicht walten lassen. Zudem erfordern sie Sicherheitsmaßnahmen, die diese Angriffsart erkennen können, bevor sie zu unbefugten Zugriffen auf Nutzerkonten führen.

Das ideale Sicherheitskonzept kombiniert deshalb verschiedene Maßnahmen in einem Zero-Trust-Ansatz hinsichtlich Passwörter und externer Links. Dieser Ansatz umfasst stärkere Passwortkombinationen und ein Höchstmaß an Vorsicht dahingehend, was als vertrauenswürdig eingestuft wird und angeklickt werden darf.“

Sergej Epp, CSO für die Region Zentraleuropa bei Palo Alto Networks, fordert das konventionelle Konzept von Passwörtern auf den Prüfstand zu stellen, und er erklärt:

„Passwörter sind heute aus der Cybersicherheit nicht mehr wegzudenken, zugleich aber einer der wichtigsten Angriffsvektoren. Im Laufe der Zeit hat die Sicherheitsbranche verschiedene Kontrollmechanismen um das Passwortmanagement herum konstruiert. Zudem gibt es immer wieder ausgegebene Empfehlungen für die Erstellung stärkerer Passwörter mit bestimmter Länge und Komplexität sowie die Nutzung unterschiedlicher Passwörter für jede Website. Passwörter sollten zudem auf dem Server verschlüsselt sein. Multi-Faktor-Authentifizierung (MFA) ist ein ebenfalls empfohlenes bewährtes Verfahren, das zu mehr Sicherheit beiträgt.

Trotz aller Empfehlungen bleibt das Problem, dass weiterhin eine gewisse „Passwortmüdigkeit“ vorherrscht. Je nach Studie benutzen ungefähr die Hälfte der Anwender oder schlimmstenfalls sogar 60 bis 70 Prozent nur ein Passwort für mehrere Konten – und ändern dieses auch nicht regelmäßig. Im Falle eines gestohlenen Passworts von einer schlecht geschützten Website können Hacker damit Zugang zu besser geschützten Websites erlangen, für die manch bequemer Benutzer einfach das gleiche Passwort nutzt.

Mit FIDO und zuletzt FIDO2 ist ein neuer Standard hervorgegangen, nachdem sich viele große Unternehmen zusammengesetzt haben, um das Passwortproblem zu lösen. Der Standard setzt statt auf das Passwort auf einen kryptografischen Schlüssel, der individuell für jede Website automatisch generiert wird über das Handy oder einen Schlüsselanhänger/Token. Benutzer können sich somit bei Applikationen und Websites anmelden, ohne jedes Mal ihr Passwort eingeben zu müssen. Individuelle kryptografische Schlüssel verhindern es, falls eine Website kompromittiert wurde, dass Hacker sich bei anderen Websites anmelden können.

Hacker haben bei diesem System schlechte Karten, da sie keine Passwörter mehr von Servern stehlen können und für jede Website ein individueller kryptografischer Schlüssel zum Einsatz kommt. Angriffe auf MFA-Tools, die mit Tausenden von Requests geflutet werden, funktionieren damit auch nicht mehr. Vor allem aber müssen sich Benutzer nicht mehr mit der Verwaltung von Passwörtern beschäftigen, sich diese merken, ändern oder sicher verwahren, da die Anmeldung automatisch erfolgt. Am weltweiten Tag des Passworts sind daher nicht mehr nur die Benutzer gefragt. Jetzt gilt es, auch die Softwareentwickler zu ermutigen, Passwörter aus ihren Applikationen zu verbannen. Damit geht der Aufruf an die Entwickler einher, auf den FIDO2-Standard zu setzen.“

Sascha Spangenberg vom Cybersicherheitsunternehmen Lookout ruft Unternehmen grundsätzlich auf, ihr Daten besser zu schützen – zu denen auch Passwörter gehören:

„Wenn vertrauliche Informationen eines Unternehmens kompromittiert wurden, durchgesickert sind oder gestohlen wurden, ist die Rede von einem „Breach“, also einer Datenpanne, Datenschutzverletzung oder einem Datensicherheitsvorfall. Diese Vorfälle können von professionell genutzten Endgeräten wie einem Notebook, aber auch von privaten Endgeräten, wie dem Smartphone, das immer häufiger auch für Arbeitszwecke dient, ausgehen. Ein wichtiger Aspekt, der jedes Jahr am ersten Donnerstag ins Gedächtnis gerufen werden soll, ist das Thema Passwort. Entscheidend ist hierbei neben dem korrekten Gebrauch von Passwörtern wie sich generell bessere Datensicherheit erzielen lässt.

Was ist eine Datenschutzverletzung?

Eine Datenschutzverletzung ist ein Vorfall, bei dem sich eine Gruppe oder eine Einzelperson unbefugten Zugang zu privaten, geschützten, vertraulichen oder sensiblen Informationen verschafft. Cyberkriminelle können es auf Einzelpersonen oder ganze Unternehmen abgesehen haben. Ein gängiger Angriff ist der einfache Diebstahl eines Passworts, um sich bei einem einzigen Konto anzumelden. In großem Stil können Kreditkartennummern von Millionen von Verbrauchern in falsche Hände geraten. Cyberkriminelle nutzen Datenschutzverletzungen in erster Linie zur finanziellen Bereicherung, zum Verkauf der Daten an Dritte, zur Eröffnung neuer Konten, zur Verwendung fremder Kreditkarten und zum Abheben von Geldern von Bankkonten.

Wie kommt es zu einer Datenschutzverletzung?

Im Allgemeinen werden Datenschutzverletzungen durch eine Schwachstelle im System eines Unternehmens, einen individuellen Angriff oder einen Fehler eines Mitarbeiters verursacht. Die meisten Datenschutzverletzungen entsprechen den im Folgenden beschriebenen Szenarien.

Bei gezielten Cyberangriffen kommt häufig Schadsoftware zum Einsatz, um persönliche Daten zu stehlen oder sich unbefugt Zugang zu Datenumgebungen zu verschaffen. Dies kann durch Ransomware oder Phishing-Versuche erfolgen, bei denen sich Angreifer als vertrauenswürdige Instanz ausgeben und die Opfer dazu verleiten, vertrauliche Daten weiterzugeben, bösartige Links zu öffnen oder einen Virus herunterzuladen.

Ebenfalls häufig ist der Diebstahl oder Verlust von Daten. Manchmal kann die unbefugte Aneignung von Daten durch physischen Diebstahl erfolgen, etwa durch den Diebstahl oder Verlust eines Firmennotebooks, eines anderen mobilen Geräts, einer externen Festplatte. Ebenso können Zugangsdaten, die auf einem Zettel notiert sind, abhandenkommen. Viele Geräte sind oft unverschlüsselt oder nicht sicher untergebracht. Ebenso können sich versierte Cyberkriminelle in geschützte Geräte einhacken.

Ein weiteres Risiko für eine Datenpanne stellen böswillige Insider dar, die Informationen verkaufen oder durchsickern lassen. So könnte ein Mitarbeiter vertrauliche Informationen an einen Konkurrenten oder einen Hacker weitergeben, um dem Unternehmen zu schaden, den Ruf einer Person zu schädigen oder einen Gewinn zu erzielen.

Was kann nach einer Datenpanne passieren?

Was ein Angreifer mit den gestohlenen Daten macht, hängt von der Art der Informationen ab. Der Diebstahl von persönlichen Daten wie Namen, Adressen, Telefonnummern, Bankdaten und Sozialversicherungsnummern kann für den Einzelnen ein Risiko darstellen, einschließlich Identitätsdiebstahl. Mit einigen wenigen persönlichen Informationen können Angreifer beispielsweise sich neue Kreditkarten ausstellen lassen, Kredite aufnehmen, Steuerrückzahlungen und staatliche Beihilfen beantragen und vieles mehr.

Wenn es zu einer Datenpanne kommt, vergeht außerdem einige Zeit, bis ein Unternehmen den Vorfall erkennt und die Kunden darüber informiert. Laut einer Statistik von IBM dauert es im Durchschnitt 277 Tage vom Zeitpunkt des Datensicherheitsvorfalls bis zu dem Zeitpunkt, an dem das Unternehmen in der Lage ist, die Kunden darüber zu informieren.

Welche grundlegenden Schutzmaßnahmen sind zu beachten?

Eine Datenschutzverletzung kann jedes Unternehmen treffen. Es ist daher ratsam, proaktiv zu handeln und alle persönlichen Informationen und geschäftskritischen Daten bestmöglich zu schützen.

Eine der wichtigsten Maßnahmen ist die Verwendung sicherer Passwörter. Dies bedeutet zunächst, für jedes Konto ein eindeutiges und sicheres Kennwort zu erstellen, das Groß- und Kleinbuchstaben, Zahlen und Symbole enthält. Auf keinen Fall sollten Benutzer auf leicht zu erratenden Wörter wie den Klassiker „Passwort“, naheliegende Abfolgen wie „1234“ oder persönliche Angaben wie den Namen ihres Kindes zurückgreifen. Wer befürchtet, seine Passwörter zu verlieren oder zu vergessen, kann sich einen vertrauenswürdigen Passwort-Manager installieren. Passwortmanager-Apps helfen, sichere Passwörter zu erstellen und diese bei der Anmeldung automatisch einzufügen. Wenn Angreifer bei der Datenschutzverletzung die Zugangsdaten erbeutet haben, gilt es die Passwörter so schnell wie möglich zu ändern oder zu verstärken.

Die meisten Websites bieten inzwischen die Möglichkeit, bei der Anmeldung die Multifaktor-Authentifizierung (MFA) oder Zwei-Faktor-Authentifizierung zu aktivieren. Selbst wenn komplexe Passwörter bestehen, bietet MFA eine zusätzliche Sicherheitsebene. MFA ist ein mehrstufiger Anmeldeprozess, bei dem die Benutzer mehr Informationen als nur ein Passwort eingeben müssen. MFA kann verhindern, dass sich unbefugte Benutzer anmelden, selbst wenn sie das Passwort haben.

Ebenso gilt es regelmäßig alle Transaktionen zu überprüfen und Betrugswarnungen zu nutzen. Diese Dienste benachrichtigen Benutzer über verdächtige Transaktionen oder Aktivitäten auf ihren Konten. Besondere Vorsicht ist geboten, wenn Benutzer auf unbekannte Links klicken oder Dateien herunterladen. Cyberkriminelle geben sich oft als vertrauenswürdige Personen, Unternehmen oder Behörden aus.

Dienste für digitale Sicherheit und zum Schutz vor Identitätsdiebstahl überwachen alle wichtigen Daten und warnen vor Sicherheitsverletzungen und verdächtigen Aktivitäten. Das Schutzportfolio umfasst im Idealfall neben Viren- und Malware-Schutz auch die Überwachung sozialer Medien sowie Schutz vor SMS- und Online-Betrug. Im Falle einer Datenpanne sind zudem fachkundige Unterstützung durch den Lösungsanbieter und auch eine Versicherung gegen Identitätsdiebstahl von Vorteil.

Sicherheitsexperten betonen immer wieder, wie wichtig es ist, die Software auf dem neuesten Stand zu halten, um Sicherheitslücken zu vermeiden. Benutzer sollten automatische Software-Updates aktivieren, wenn diese verfügbar sind. Gleiches gilt für das Erstellen von Backups. Physischer Diebstahl und Viren können zur Beschädigung, Löschung oder zum Verlust wichtiger Daten führen. Sicherungskopien aller wichtigen Daten stellen sicher, im Falle einer Datenpanne den Zugriff wiederherstellen zu können.

Vorbeugen für den Ernstfall

Um die Risiken nach einer Datenpanne zu minimieren, sind Lösungen zum Schutz vor Online-Betrug verfügbar. Dies kann eine App sein, die über die grundlegenden Sicherheits- und Antivirenfunktionen hinaus anspruchsvolle Datenbedrohungen identifiziert und blockiert. Im Falle eines Datensicherheitsvorfalls wird der Benutzer sofort benachrichtigt, während die App alle Identitäts- und Finanzdaten kontinuierlich auf Anzeichen einer Gefährdung oder eines Diebstahls überwacht. Von der Online-Überwachung sensibler Daten bis hin zur Abwehr von Betrugs- und Phishing-Angriffen, die nach einem Datenleck auftreten können, ist so maximaler Schutz vor Datenverletzungen gewährleistet.“

Satnam Narang, Senior Staff Research Engineer bei Tenable, sieht Defizite in der alltäglich gelebten Passwort-Praxis in vielen Unternehmen:

„An diesem Welt-Passwort-Tag erinnere ich mich an eine Reihe von von Einzelhandels- bis hin zu Fast-Food-Unternehmen erinnert, bei denen die Benutzer dieser Websites ihre Konten als Ergebnis von Angriffen zum Ausfüllen von Zugangsdaten Stuffing-Angriffe. Credential Stuffing ist eine Art von Angriff, bei dem Cyberkriminelle Anmeldedaten von Nutzern nehmen, die sie durch Datenverletzungen auf anderen Websites und und die gleichen Benutzernamen und Kennwörter auf anderen Websites und Dienste verwenden. In den meisten Fällen sind diese Angreifer erfolgreich, wenn sie die gestohlenen Daten erfolgreich, da viele Nutzer dazu neigen, ihre Passwörter auf mehreren Websites zu verwenden.

Der Spruch „Verwende ein starkes und einzigartiges Passwort“ für jede Website stammt von Vorfällen wie den oben erwähnten. Es ist nicht einfach, mehrere Hunderte von Passwörtern zu verwalten, weshalb es für den Einzelnen wichtig ist, Tools wie den in Apple eingebauten Schlüsselbund zum Speichern von Passwörtern zu nutzen, aber auch professionelle Lösungen zur Verwaltung von Passwörtern. Diese Tools können Nutzern dabei helfen starke und einzigartige Passwörter zu erstellen, die sie sich nicht merken müssen, und sie können Browsererweiterungen verwenden, um ihre Anmeldedaten automatisch in die richtige Website einzutragen.

Trotz dieser weisen Ratschläge ist es wichtig, daran zu denken, dass Sicherheitsverletzungen und Phishing-Angriffe immer noch häufig vorkommen, so dass es nicht nur darum geht, sichere und eindeutige Passwörter. Der Einsatz von Funktionen wie Zwei-Faktor- oder Mehr-Faktor Authentifizierung (2FA bzw. MFA) kann den Nutzern helfen, ihre Konten auch dann sicher bleiben, wenn ihre Passwörter auf irgendeine Weise offengelegt werden.

Einige Websites bieten eine passwortlose Anmeldung an, bei der ein zweiter Faktor wie z. B. ein Telefon, um das Einloggen ohne Passwörter zu erleichtern. Dies ist nicht so nicht so weit verbreitet, aber es ist eine weitere Lösung, um einige um einige der Herausforderungen zu bewältigen, die Passwörter allein mit sich bringen.“

Ed Skoudis, SANS Technology Institute College President, kommentiert:

„Schwache Passwörter sind eine der häufigsten Angriffsmöglichkeiten, die ein Penetrationstester nutzen kann, um in ein Unternehmen einzudringen. Für Unternehmen jeder Größe und Branche sind starke und sichere Passwörter eine wichtige Verteidigungslinie gegen böswillige Angreifer und sich entwickelnde TTPs. Die Komplexität von Passwörtern kann jedoch oft zu einem falschen Sicherheitsgefühl führen, während unzählige Schwachstellen unkontrolliert bleiben.

Drei einfache Schritte zur schnellen Verbesserung der Wirksamkeit von Passwörtern sind:

1. „Passphrasen“ sind nicht als „Passwörter“ zu betrachten. Die Kombination einer Reihe von Wörtern anstelle von nur einem oder zwei Wörtern macht es Angreifern sofort schwerer, in das Konto einzudringen.
2. In Passwörtern und Passphrasen sollten Sonderzeichen, insbesondere Leerzeichen genutzt werden. Vielen ist nicht bewusst, dass Leerzeichen eine einfache Möglichkeit sind, Angreifern einen Schritt voraus zu sein.
3. Erweiterte Multi-Faktor-Authentifizierungsmechanismen wie SMS sollten genutzt werden, insbesondere für E-Mail und Kooperationskanäle wie Slack und Microsoft Teams.“

Danny de Vreeze, VP Identity and Access Management bei Thales, ergänzt:

„Der Durchschnittsverbraucher hat Hunderte von Passwörtern und trotz ständiger Warnungen werden diese Passwörter ständig wiederverwendet, sind schwach und leicht zu hacken. Gestohlene Zugangsdaten sind einer der wichtigsten Einstiegspunkte für Cyberangriffe. 37 Prozent der Befragten des Thales Global Data Threat Report (DTR) 2023 gaben an, in den letzten 12 Monaten eine Sicherheitsverletzung erlebt zu haben. Dieser Vorfall führte dann bei vielen zu Ausfällen oder aber führte zu einem finanziellen Schaden bei Unternehmen und Einzelpersonen.

Die gute Nachricht ist, dass sich das Bewusstsein für diese Risiken – und die Lösungen zu ihrer Eindämmung – auf breiter Front verbessert hat. Wir stellen fest, dass die Schulung der Mitarbeiter, die Implementierung einer starken Authentifizierung und die Änderung der Sicherheitsrichtlinien für die Zugangsverwaltung wieder in den Mittelpunkt rücken, um menschliches Versagen zu reduzieren und schwache Kennwortpraktiken zu verbessern. Tatsächlich sind 28 Prozent der Befragten der Meinung, dass Identitäts- und Zugriffsmanagement (IAM) die beste Verteidigung gegen Sicherheitsrisiken ist. Auf dem Weg zu einer sichereren Authentifizierung sind dies die entscheidenden Schritte, um sicherzustellen, dass schwache Passwörter bald eine Bedrohung der Vergangenheit sind.“

David Higgins, EMEA Technical Director bei CyberArk, betont:

„Der Hinweis, dass Unternehmen ihre Passworthygiene und ihre allgemeine Sicherheit verbessern sollen, ist nicht neu. Und auch die Ratschläge, was zu tun ist, haben sich nicht geändert. Dennoch schlagen sich Unternehmen, die das Passwort-Management als Teil ihrer Identity-Security-Strategie immer noch nicht im Griff haben, im Jahr 2023 weiterhin mit altbekannten Identitätsproblemen herum. Die Folge: Sensible Daten und Vermögenswerte sind gefährdet.

Deswegen müssen Unternehmen in diesem Jahr endlich mehr tun und schnell handeln. Eine CyberArk-Untersuchung zeigt, dass mehr als die Hälfte der Beschäftigten weltweit Zugang zu sensiblen Unternehmensdaten hat und dass der Zugriff in der Regel nicht ausreichend geschützt ist. Wir empfehlen, moderne Identitätsprotokolle zu verwenden und einen Sicherheitsansatz zu verfolgen, der auf dem Least-Privilege-Prinzip basiert. Diese ganzheitliche Methode zur Implementierung einer besseren Identitätssicherheit stärkt nicht nur den Passwortschutz eines Unternehmens, sondern bietet auch eine umfassende Sicherheit für Identitäten. Identitäten sind ein äußerst kritischer Angriffsvektor. Niemand muss heute noch ein Passwort sehen können, auch nicht beim Zugriff auf Anwendungen, die keine modernen Authentifizierungsprotokolle unterstützen.“

„While passwords are de facto THE security measure for virtually all accounts, there is still room for improvement in password and authentication practices. Last year, 58 percent of observed cases of compromised business email compromise (BEC) did not have multi-factor authentication (MFA) enabled. With hundreds of millions of credentials released on the dark web each year, it’s even more important to remember that even a „strong“ password isn’t enough.

„As part of World Password Day, executives should take the opportunity to remind their employees and users how important strong passwords are. Equally critical are additional security measures that prevent attackers from exploiting a vulnerability to penetrate corporate infrastructures. A strong password is the first line of defense. However, if it’s stored in an insecure table or in an easily accessible location, even the strongest password won’t help. MFA is critical to protect simple and complex passwords. Users should not reuse passwords. Most importantly, different credentials must be used for work and personal devices and accounts. A password manager as a vault for all credentials is also an important tool. Finally, always use caution: If an email link redirects to a password entry form, users should think twice before entering their credentials.“

Miro Mitrovic, area vice president for the DACH region at Proofpoint, comments on this year’s World Password Day 2023 on May 4:

„This year’s World Password Day is a good occasion to remind how important complex passwords and different passwords for different accounts are. The more sensitive the data, the more secure the password should be – keyword online banking. In addition, both consumers and businesses need to think about how they can best protect themselves from cyber threats in addition to basic password hygiene. In view of the worsening threat situation, this is an increasingly urgent undertaking.

It is particularly important to note that passwords, no matter how complex, can be stolen. The theft of credentials is on the rise worldwide: 35 percent of German companies that experienced a successful phishing attack last year subsequently had to deal with a theft of credentials and compromised accounts.

Cybercriminals have long recognized that it is easier – and cheaper – for them to steal credentials and log in rather than painstakingly hack into technical systems. And once they’ve gained access by compromising an employee’s account, they can mostly browse an organization’s networks unhindered.

An important step in preventing password theft is multi-factor authentication (MFA) for as many accounts as possible. The basic concept is that two different forms of proof of identity are required before access to an account is granted. This demonstrably strengthens account protection. When MFA is activated, for example, users also receive a one-time PIN by text message on their cell phone after entering their user name and password. They can then use this second factor to complete the account login. In this way, all attempts by cybercriminals to guess the password for the respective user name become obsolete.

In addition, the use of a password manager is recommended. A password manager creates random passwords that are securely stored, encrypted and accessible on all personal devices. By doing so, they reduce the hassle that comes with complicated credentials for various accounts and websites otherwise.

However, cybercriminals may be able to get to their target even if complex passwords, MFA and password managers are used. And they can do so simply by bypassing all of these methods and technologies. After all, 95 percent of all cybersecurity incidents can be traced back to a prior human interaction. Consequently, it is of almost inestimable importance that all users in an organization know how to recognize phishing for credentials. This is the only way to ultimately prevent one’s organization from falling victim to one of the many cyberattacks that continue to grow.

Important tips for consumers

We also recommend that consumers use different passwords for each online account, especially if the account contains important (financial) data. Furthermore, if available, multi-factor authentication should always be enabled, and consumers should also use a password manager. Such tools ensure that randomly generated passwords are used, securely stored, encrypted and accessible on all personal devices.

Password management and creation tips at a glance:

Use multifactor authentication (MFA) for as many accounts as possible. The basic concept is that two different forms of proof of identity are required before access to an account is granted. If MFA is activated, for example, you will also receive a one-time PIN via SMS on your cell phone after entering your user name and password. You can then use this second factor to complete the login process. In this way, all attempts by cybercriminals to guess the password for the respective user name come to nothing.

Use a secure password manager that can retrieve multiple passwords and enter them automatically when needed. Using such a tool eliminates the need to remember and juggle all the different passwords. This usually leads to increased use of more secure and longer passwords.

When creating passwords, avoid common words, phrases, names and dates that can be associated with you or your immediate family members. Cybercriminals are often able to cross-reference any data available about you to gain access to your account. If you are asked to change your password by a website you use, you should follow this advice and choose a different, secure and unique password. You should also avoid simply adding a „1“ to the end of a password used elsewhere to get rid of this annoying task quickly.

Eve Maler, CTO at ForgeRock, sees a move toward a passwordless world:

„Passwords pose numerous problems for businesses: they are insecure, not user-friendly and expensive. Many organizations underestimate the risks of passwords, especially given the rapid increase in phishing, malware and ransomware attacks, and cyberattacks explicitly based on compromising credentials. In 2021 alone, more than two billion usernames and passwords were compromised worldwide, with more than 50 percent of these breaches attributable to unauthorized access.

By leveraging password-free and AI-powered authentication solutions, organizations can eliminate the risks associated with interacting with passwords and better protect themselves from costly cyber attacks and unauthorized access. At the same time, users no longer have to struggle with passwords because passwordless access is based on something you have or are – rather than something you know. This not only makes the user experience more seamless, intelligent and secure, but also reduces IT overhead and operational costs. According to Gartner, by 2025, more than 50% of employee and more than 20% of customer authentication transactions will be passwordless. This means it’s time for enterprises to take a step toward a passwordless world.“

Henrik Nitsche, Security Solution Manager at Jamf, emphasizes the importance of password managers, organizational tools and additional security measures:

„The sheer number of passwords that everyone, both professionally and privately, now has to remember is already considerable and will only continue to grow as more and more of our lives take place online with increasing digitalization. This number of passwords becomes a problem when it tempts people to break the most important rule: not using passwords more than once or again. With just one captured password, attackers then have not just one gateway, but dozens or hundreds.

Especially if an attacker can gain access to resources used by different people in this way, this becomes a problem because even one vulnerability can potentially have organization-wide consequences. Using a password manager can be the solution here for companies and individuals alike: Here, the individual passwords for various websites, accounts and applications are stored in a single database, to which only the user has access by means of a master password. Ideally, a password manager will also have two-factor authentication capabilities to provide an additional level of security.“

Mark Stockley, Cyber Evangelist at Malwarebytes, calls for password security responsibilities not to be shifted to employees:

„Companies never tire of educating their employees about password security and tightening their password policies – and the list of password criteria that companies demand of their employees is long: one-time passwords with special characters and capital letters that are supposed to be changed as often as your toothbrush. The more rules that are imposed, the more likely employees are to look for loopholes and workarounds, leaving it an easy game for cybercriminals to steal passwords using various hacking methods such as phishing or brute-force attacks.

Instead of shifting the responsibility for password security to employees, companies should ask themselves how they can better protect their employees without them having to worry more and more about what passwords they use, where they store them and how often they use them. Two measures lend themselves to this: Multi-factor authentication (MFA) and account lockout policy. Multi-factor authentication (MFA) prevents credential stuffing, password spraying and brute force attacks by using additional generated credentials in addition to the password. An account lockout policy can also make even the weakest passwords a barrier to unauthorized access by locking the account as a precaution after a small number of failed login attempts.“

Tobias Lauderbach, enterprise solution engineer at RingCentral, believes passwords are not becoming obsolete, but part of a zero-trust approach:

„Even though passwords are now just one of many methods of authenticating user accounts, it is still essential that enterprise IT departments help employees create strong password combinations to best prevent brute force attacks. These attacks are based on guessing a password combination through automated methods. Using a combination of uppercase and lowercase letters, numbers and symbols that cannot be found in a dictionary and cannot be associated with a known fictitious or real person, product or organization, these methods can be slowed down or even disabled altogether. When it comes to passwords, this is an absolutely basic security measure, virtually the minimum.

But even the best password combination can be compromised by phishing attacks, in which users voluntarily enter their password into a legitimate-looking website constructed for this purpose. These attacks are dangerous because to prevent them, employees must be alert and exercise caution when clicking on suspicious links. They also require security measures that can detect this type of attack before it leads to unauthorized access to user accounts.

The ideal security approach therefore combines various measures in a zero-trust approach regarding passwords and external links. This approach includes stronger password combinations and maximum caution about what is considered trustworthy and allowed to be clicked.“

Sergej Epp, CSO for the Central Europe region at Palo Alto Networks, calls for the conventional concept of passwords to be put to the test, and he explains:

„Today, it is impossible to imagine cybersecurity without passwords, but at the same time they are one of the most important attack vectors. Over time, the security industry has constructed various control mechanisms around password management. Moreover, there are always issued recommendations for creating stronger passwords with certain length and complexity, as well as using different passwords for each website. Passwords should also be encrypted on the server. Multi-factor authentication (MFA) is also a recommended best practice that helps increase security.

Despite all the recommendations, the problem remains that a certain „password fatigue“ continues to prevail. Depending on the study, about half of users, or at worst as many as 60 to 70 percent, use only one password for multiple accounts – and do not change it regularly. In the case of a stolen password from a poorly protected website, hackers can use it to gain access to better protected websites for which some comfortable users simply use the same password.

With FIDO and most recently FIDO2, a new standard has emerged after many large companies got together to solve the password problem. The standard relies on a cryptographic key instead of a password, which is automatically generated individually for each website via cell phone or a key fob/token. Users can thus log in to applications and websites without having to enter their password each time. Individual cryptographic keys prevent hackers from logging into other websites if one website is compromised.

Hackers have a bad hand with this system because they can no longer steal passwords from servers and an individual cryptographic key is used for each website. Attacks on MFA tools, which are flooded with thousands of requests, no longer work either. Most importantly, users no longer have to worry about managing passwords, remembering them, changing them, or keeping them safe because logins are automatic. On the worldwide day of the password, therefore, it is no longer just the users who are in demand. Now it’s also a matter of encouraging software developers to banish passwords from their applications. This goes hand in hand with a call for developers to adopt the FIDO2 standard.“

Sascha Spangenberg of cybersecurity company Lookout is basically calling on companies to better protect their data – which includes passwords:

„When a company’s confidential information has been compromised, leaked or stolen, it’s known as a „breach,“ or data breach or data security incident. These incidents can originate from professionally used end devices such as a notebook, but also from private end devices such as the smartphone, which is also increasingly used for work purposes. An important aspect to be remembered every year on the first Thursday is the topic of passwords. In addition to the correct use of passwords, the decisive factor here is how to achieve better data security in general.

A data breach is an incident in which a group or individual gains unauthorized access to private, proprietary, confidential or sensitive information. Cybercriminals can target individuals or entire organizations. A common attack is the simple theft of a password to log into a single account. On a large scale, credit card numbers of millions of consumers can fall into the wrong hands. Cybercriminals primarily use data breaches for financial gain, selling the data to third parties, opening new accounts, using other people’s credit cards, and withdrawing funds from bank accounts.

How does a data breach occur?

Generally, data breaches are caused by a vulnerability in an organization’s system, an individual attack, or an employee error. Most data breaches correspond to the scenarios described below.

Targeted cyberattacks often use malware to steal personal data or gain unauthorized access to data environments. This can be done through ransomware or phishing attempts, where attackers pose as a trusted entity and trick victims into sharing confidential data, opening malicious links, or downloading a virus.

Also common is the theft or loss of data. Sometimes the unauthorized appropriation of data can occur through physical theft, such as the theft or loss of a company notebook, other mobile device, external hard drive. Similarly, credentials written down on a piece of paper can be lost. Many devices are often unencrypted or not housed securely. Likewise, savvy cybercriminals can hack into protected devices.

Another data breach risk is posed by malicious insiders who sell or leak information. For example, an employee might share confidential information with a competitor or hacker to harm the company, damage an individual’s reputation, or make a profit.

What can happen after a data breach?

What an attacker does with the stolen data depends on the type of information. Theft of personal information such as names, addresses, phone numbers, banking information and Social Security numbers can put individuals at risk, including identity theft. For example, with just a few pieces of personal information, attackers can get new credit cards issued, take out loans, apply for tax refunds and government benefits, and more.

In addition, when a data breach occurs, it takes time for a company to recognize the incident and notify customers. According to statistics from IBM, it takes an average of 277 days from the time of the data security incident to the time the company is able to notify customers.

What are the basic safeguards to consider?

A data breach can affect any company. It is therefore advisable to be proactive and protect all personal information and business-critical data as best as possible.

One of the most important measures is to use strong passwords. First of all, this means creating a unique and secure password for each account that includes upper and lower case letters, numbers and symbols. Under no circumstances should users resort to easy-to-guess words like the classic „password,“ obvious sequences like „1234“ or personal details like their child’s name. Those who fear losing or forgetting their passwords can install a trusted password manager. Password manager apps help create strong passwords and automatically insert them when logging in. If attackers have captured the credentials in the data breach, it is important to change or strengthen the passwords as soon as possible.

Most websites now offer the option to enable multifactor authentication (MFA) or two-factor authentication at login. Even when complex passwords exist, MFA provides an additional layer of security. MFA is a multi-step login process that requires users to enter more information than just a password. MFA can prevent unauthorized users from logging in even if they have the password.

The saying „use a strong and unique password“ for every website comes from incidents like the ones mentioned above. It is not easy to manage several hundreds of passwords, which is why it is important for individuals to use tools like Apple’s built-in keychain to store passwords, as well as professional password management solutions. These tools can help users create strong and unique passwords that they don’t have to remember, and they can use browser extensions to automatically enter their credentials into the right website.

Despite this sage advice, it’s important to remember that security breaches and phishing attacks are still common, so it’s not just about having strong and unique passwords. Using features like two-factor or multi-factor authentication (2FA and MFA, respectively) can help users keep their accounts secure even if their passwords are exposed in some way.

Some sites offer passwordless login, which involves a second factor such as a phone to make it easier to log in without passwords. This is not as widespread, but it’s another solution to overcome some of the challenges that passwords alone bring.“

Ed Skoudis, SANS Technology Institute College President, comments:

„Weak passwords are one of the most common avenues of attack a penetration tester can use to penetrate an organization. For organizations of all sizes and industries, strong and secure passwords are an important line of defense against malicious attackers and evolving TTPs. However, the complexity of passwords can often lead to a false sense of security while countless vulnerabilities go unchecked.

Three simple steps to quickly improve password effectiveness are:

1. „Passphrases“ should not be considered „passwords.“ Combining a series of words instead of just one or two immediately makes it harder for attackers to break into the account.
2. Special characters, especially spaces, should be used in passwords and passphrases. Many don’t realize that spaces are an easy way to stay one step ahead of attackers.
3. advanced multi-factor authentication mechanisms such as SMS should be used, especially for email and collaboration channels such as Slack and Microsoft Teams.“

Danny de Vreeze, VP Identity and Access Management at Thales, adds:

„The average consumer has hundreds of passwords and despite constant warnings, these passwords are constantly reused, are weak and easy to hack. Stolen credentials are one of the top entry points for cyberattacks. Thirty-seven percent of respondents to the Thales Global Data Threat Report (DTR) 2023 said they had experienced a security breach in the last 12 months. This incident then led to outages for many, or else resulted in financial damage to businesses and individuals.

The good news is that awareness of these risks – and the solutions to mitigate them – has improved across the board. We’re seeing a renewed focus on employee education, implementing strong authentication and changing access management security policies to reduce human error and improve weak password practices. In fact, 28 percent of respondents believe that identity and access management (IAM) is the best defense against security risks. As we move toward more secure authentication, these are critical steps to ensure weak passwords are soon a threat of the past.“

David Higgins, EMEA Technical Director at CyberArk, points out:

„The advice that companies should improve their password hygiene and overall security is not new. Nor has the advice on what to do changed. Yet companies that still don’t have a handle on password management as part of their identity security strategy continue to grapple with familiar identity issues in 2023. As a result, sensitive data and assets are at risk.
That’s why companies must finally do more and act quickly this year. A CyberArk survey shows that more than half of the world’s employees have access to sensitive corporate data, and that access is typically not adequately protected. We recommend using modern identity protocols and adopting a security approach based on the least privilege principle. This holistic approach to implementing better identity security not only strengthens an organization’s password protection, but also provides comprehensive security for identities. Identities are an extremely critical attack vector. No one needs to be able to see a password today, even when accessing applications that don’t support modern authentication protocols.“