Gefahr durch schwache und unsichere Passwörter wächst

Passwort-Hygiene ist wichtig. Da Angriffe oft über die Manipulation von Mitarbeitern starten, stellen unsichere Passwörter ein Einfallstor für Hacker dar.

Die Verluste, die der deutschen Wirtschaft durch Diebstahl, Spionage und Sabotage entstehen, haben ein Rekordniveau erreicht: Dem Branchenverband Bitkom zufolge hat sich der jährliche Gesamtschaden 2020/21 mit 223 Milliarden Euro gegenüber dem Vorjahreszeitraum mehr als verdoppelt. Verantwortlich für diesen Anstieg sind vor allem Erpressungsvorfälle: Die durch Ransomware-Angriffe verursachten Schäden haben sich im Vergleich zu 2018/19 mehr als vervierfacht (+358 Prozent). 

Ein großer Teil der Attacken beginnt mit der Manipulation von Beschäftigten, dem sogenannten Social Engineering. Laut Bitkom nutzten Kriminelle in 41 Prozent der deutschen Firmen den „Faktor Mensch“ als vermeintlich schwächstes Glied der Sicherheitskette aus, um an sensible Daten wie Passwörter zu gelangen. Begünstigt wurde diese Entwicklung durch den pandemiebedingt verstärkten Umstieg auf Homeoffice in den letzten beiden Jahren.

Passwörter werden immer schneller geknackt

Ein nicht zu unterschätzendes Problem bilden dabei schwache und unsichere Passwörter.  Denn Hacker können die Kennwörter immer schneller knacken: Einer Studie des US-Softwareanbieters Hive Systems zufolge ließ sich noch 2020 ein komplexes achtstelliges Passwort in acht Stunden auslesen. Heute ist dies in weniger als einer Stunde möglich. 

Die Daten von Hive Systems basieren darauf, wie lange ein Hacker brauchen würde, um einen Passwort-Hash mit einer erstklassigen Grafikkarte und Brute-Force-Methoden zu knacken, also dem Ausprobieren aller möglichen Fälle. Ein „Hash“ ist eine verschlüsselte Passwort-Version, die bei bekannter Hash-Software reproduzierbar ist. Wird etwa das Wort „Passwort“ mit MD5-Software gehasht, ist es als 5f4dcc3b5aa765d61d8327deb882cf99 sichtbar. 

Einfache Zahlenfolgen als Passwort besonders beliebt

Ein starkes Kennwort besteht aus mindestens 16 Zeichen – und zwar Groß- und Kleinbuchstaben sowie Zahlen und Symbolen, empfiehlt Dan DeMichele, Vice President bei LastPass. Nur dann eigne es sich „als erste und wichtigste Verteidigungslinie gegen Cyber-Angriffe“. Allerdings wird dieser Tipp vielerorts nicht beherzigt. Einer Studie von web.de zufolge nutzt fast jeder zweite Deutsche Passwörter mit zehn oder weniger Zeichen. Hinzu kommt, dass viele Passwörter nicht sicher sind: 44 Prozent der Befragten verwenden persönliche Informationen – beispielsweise die Geburtsdaten von Familienangehörigen, Partnern oder Freunden, Jahrestage oder die Namen oder Kosenamen von Kindern, Partnern, oder Haustieren. Am häufigsten war nach Angaben des Hasso-Plattner-Instituts (HPI) 2021 die Zahlenfolge 123456, gefolgt von „passwort“, 12345 und „hallo“. 

Der Grund für diese fehlende Vorsicht: Viele Anwender sind „passwortmüde“, also überfordert von immer mehr Kennwörtern, die sie sich im digitalen Alltag ausdenken und merken müssen.  Fatal ist zudem, dass mehr als die Hälfte der Deutschen (52 Prozent) Passwörter mehrfach verwenden – etwa für Online-Bankgeschäfte, digitale Behördengänge, E-Mail und soziale Medien. Fünf Prozent nutzen sogar für alle Accounts dasselbe Kennwort. Wird es geknackt, sind also automatisch alle anderen Konten in Gefahr.

Ein starkes und sicheres Passwort…

  • … besteht aus Sonderzeichen, Zahlen und Groß- und Kleinbuchstaben sowie Symbolen.
  • … hat mindestens 16 Zeichen. Je länger es ist, desto mehr Zeit ist erforderlich, um es zu knacken. Das schreckt Hacker ab, die auf einen schnellen Gewinn aus sind.
  • … basiert auf einer Mehr-Faktor-Authentifizierung. Hier müssen Hacker zwei Sicherheitsstufen überwinden, bevor sie auf das Konto zugreifen können.
  • … wird von einem Passwort-Manager automatisiert erstellt und gespeichert. Das hilft, sich mehrere eindeutige Passwörter zu merken und ist sicherer, als sie aufzuschreiben oder im Handy zu speichern.
  • … muss nur aktualisiert werden, wenn es kompromittiert wurde. Hier hilft das Dark Web Monitoring von Passwort-Managern wie beispielsweise von LastPass. 

Wie sich Unternehmen schützen können

Nicht nur große Unternehmen sind für Hacker ein beliebtes Ziel. Auch kleinere Firmen müssen ihre Cyber-Abwehr verstärken und sich auf potenzielle Hackerangriffe vorbereiten, warnt LastPass-Experte DeMichele. Zu den wichtigsten Sofortmaßnahmen zähle die Aktivierung der Multi-Faktor-Authentifizierung (MFA): „Eine MFA reduziert das Risiko kompromittierter Passwörter erheblich und bietet eine weitere, dringend benötigte Schutzebene vor Angriffen.“ Auch die Verwendung eines Tools zum Erstellen und Speichern von Passwörtern erhöht deren Sicherheit. Laut Studie von Hive bräuchten Hacker 3.000 Jahre, um ein von einem Passwort-Manager erstelltes 12-stelliges Passwort auszulesen.