Wir haben schlechte Nachrichten für Sie: Da draußen gibt es viele, die Ihre Passwörter erbeuten wollen. Und das aus den verschiedensten Gründen … Überraschung: Gute Absichten stecken nie dahinter. Sehen wir uns an, wer sich Ihre Passwörter erschleichen will und warum, welche Methoden diese Akteure einsetzen und wie Sie den Schaden minimieren können, sollten Ihre Passwörter in falsche Hände gelangen.
„Passwortdiebe“ lassen sich in drei Hauptgruppen unterteilen: Nationalstaaten, Cyberkriminelle und firmeninterne Personen (d. h. Insider) mit böswilligen Absichten. Ihre Motivationsgründe mögen grundverschieden sein, aber das Endergebnis ist letztlich dasselbe: Sie verschaffen sich Zugriff auf vertrauliche Daten und/oder Systeme.
Nationalstaaten
In der Welt der Cybersicherheit (und der Politikwissenschaften/internationalen Angelegenheiten) ist das ein feinerer Ausdruck für Regierungen. Diese haben es auf Ihre Passwörter abgesehen, weil sie Zugriff auf Systeme und/oder Informationen erlangen möchten. Ziel dabei ist es, diese Informationen zu stehlen, sich langfristig in den Systemen einzunisten oder beides. In seltenen Fällen wollen sie die Daten und/oder Systeme auch dauerhaft vernichten. Letzteres kann verheerende Konsequenzen nach sich ziehen – insbesondere, wenn die Daten oder Systeme dem Betrieb kritischer Infrastruktur dienen (z. B. eines Stromnetzes, das lahmgelegt werden kann).
Cyberkriminelle
Der Name sagt alles. Ihr Motiv ist auch offensichtlich: Cyberkriminelle sind finanziell motiviert, d. h., sie wollen Geld. Mit Passwörtern können sie sich auf zwei Arten bereichern: Einerseits, indem sie sie verkaufen – ein Satz Zugangsdaten ist im Darkweb durchschnittlich 10 Dollar wert –, und andererseits, indem sie sich damit Zugriff auf Konten oder Systeme verschaffen. In weiterer Folge können sie durch Ransomware, Datenexfiltration oder Erpressung an Geld gelangen oder im Fall von Bankkonten diese direkt leerräumen.
Böswillige Insider
Auch wenn es manchmal naheliegen könnte: Darunter versteht man nicht die Kollegen, die im Pausenraum Fleischkäse in der Mikrowelle erhitzen. Böswillige Insider sind Angestellte, die ihrem Arbeitgeber Schaden zufügen möchten, indem sie missbräuchlich auf Firmennetzwerke zugreifen. Vielleicht wollen sie Ihre Zugangsdaten nur ausspionieren, um mit Ihrem Konto kriminelle Handlungen auszuführen – dann hat es den Anschein, als wären Sie die schuldige Person, was IT-Forensikern die Arbeit erschwert. Oder sie haben es auf Ihre Passwörter abgesehen, weil Sie Zugriff auf verschiedene Teile des Firmennetzwerks haben: z. B. auf vertrauliche Finanzdaten oder industrielle Steuerungssysteme, die materielle Schäden verursachen könnten.
Wie verschaffen sich diese Akteure Zugriff auf Ihre Passwörter?
Es gibt einige Gemeinsamkeiten bei den eingesetzten Methoden. Viele Akteure verwenden beispielsweise allgemein erhältliche Malware oder kaufen Zugangsdaten im Darkweb, die bei einem früheren Angriff erbeutet wurden. Es gibt aber auch einige Unterschiede bei ihren Vorgehensweisen, die wir uns jetzt näher ansehen werden.
Nationalstaaten verfügen über das am besten ausgebildete Personal und die meisten Ressourcen, sodass ihnen am meisten Optionen offenstehen. Häufig entwickeln sie ihre eigene Malware und nutzen neue oder unveröffentlichte Schwachstellen in Software aus, um sich Zugriff auf Geräte oder Netzwerke zu verschaffen und Passwörter zu exfiltrieren. Unter Umständen verwenden sie auch Spearphishing-E-Mails, um bestimmte Personen gezielt zur Herausgabe ihrer Passwörter zu bringen. Oder sie greifen einen vorgelagerten Dienstanbieter wie einen Cloud-Service-Provider an, um sich mit einem Schlag Zugriff auf viele Konten und Zugangsdaten zu verschaffen.
Cyberkriminelle gehen – was kaum überrascht – etwas unternehmerischer an die Sache heran. Manche Gruppierungen konzentrieren sich größtenteils darauf, Passwörter über Infostealer-Malware oder Phishing-E-Mails zu ergattern und diese dann im Darkweb zu verkaufen (lesen Sie unseren
Blogbeitrag zum Thema Infostealer, wenn Sie mehr erfahren möchten). Andere verwenden Malware wie Phishing-Kits oder Infostealer, die von Dritten erstellt und als Dienst vertrieben wird, wie wir es etwa von Office-Software kennen. Diese Malware-as-a-Service-Angebote (MaaS) sollen es technisch weniger versierten Personen ermöglichen, Phishing- oder Malware-Angriffe zu planen und in die Tat umzusetzen. Mit ihrer einfachen Benutzeroberfläche ist es ein Leichtes, Benutzer gezielt anzuvisieren.
Insider mit böswilligen Absichten haben einen Vorsprung gegenüber den anderen Akteuren, da sie in der Regel bereits Zugang zu den Büros und Netzwerken des Unternehmens haben. Sie können die Schreibtische von Kollegen nach Notizen mit Passwörtern durchsuchen oder in freigegebenen Netzwerkordnern nachsehen, ob jemand auf einer SharePoint-Website oder in einem anderen allgemein zugänglichen Bereich Passwörter gespeichert hat. Vielleicht überprüfen sie auch Code-Repositorys auf fest programmierte Passwörter – jeweils mit dem Ziel, unberechtigterweise Zugriff zu erlangen und ihrem Arbeitgeber und/oder ihren Kollegen auf irgendeine Weise Schaden zuzufügen.
Wie können Sie das Risiko und den Schaden minimieren?
Das kommt wohl kaum überraschend: indem Sie einen Passwort-Manager verwenden. Dann müssen Sie sich nur ein einziges Master-Passwort merken und können für jedes Ihrer Konten ein anderes komplexes Passwort erstellen und speichern. Und sollte eines Ihrer Passwörter kompromittiert werden, können Sie ganz einfach ein neues generieren. Mit der Darkweb-Überwachung profitieren LastPass-Kunden zudem von einem kostenlosen Monitoringdienst für ihre Zugangsdaten. Wenn Sie diese Funktion aktivieren, überwacht unser Dienst eine Datenbank mit kompromittierten Zugangsdaten und benachrichtigt Sie, falls Daten von Ihnen gefunden werden. So können Sie proaktiv Maßnahmen zu Ihrem Schutz ergreifen. Wenn Sie für jedes Konto ein anderes Passwort verwenden, minimiert dies außerdem den möglichen Schaden, sollte eines davon in falsche Hände gelangen. Denn heutzutage lautet die Frage nicht,
ob Zugangsdaten von Ihnen offengelegt werden, sondern
wann. Und darauf sollten Sie vorbereitet sein. Wir können Ihnen gerne dabei helfen.
