Digitale Pandemie: Hacker nehmen verstärkt den Mittelstand ins Visier

Log-in Nutzername Passwort (Bild: Shutterstock)

Cyberkriminelle kaufen Zugangsdaten auf Passwort-Marktplätzen im Dark Web, warnt Sandra Rios, Head of LastPass Business.

Das Coronavirus hat eine “digitale Pandemie” ausgelöst. Viele kleine und mittlere Unternehmen (KMU) haben die Pandemie genutzt, um ihre Sicherheitsmaßnahmen zu überprüfen. Dennoch ist ihr Schutz an vielen Stellen nicht ausreichend: Laut einer von IDC im Auftrag von LastPass durchgeführten Studie hat der Homeoffice-Trend bei 98 Prozent der Unternehmen Auswirkungen auf die Sicherheit – insbesondere durch ungesicherte mobile Geräte und mangelhaften Umgang mit Passwörtern. Unternehmen können sich nicht mehr allein auf Protokolle, Richtlinien und Infrastrukturen aus der Zeit vor der Pandemie verlassen: Hacker machen sich die neuen Schwachstellen zunutze und nehmen verstärkt den Mittelstand ins Visier.

Dabei werden einige Hacker immer kreativer und tricksen Sicherheitsexperten aus. Andere verlassen sich darauf, unvorbereitete Ziele mit einfachen und bewährten Methoden anzugreifen. Vor allem Social-Engineering-Angriffe haben zugenommen. Laut der LastPass-Studie hat die Mehrheit der Unternehmen (83 Prozent) bereits Sicherheitsvorfälle erlebt, die auf kompromittierte Passwörter oder Phishing zurückzuführen sind. Diese Gefahr fasst das Infosec Institute so zusammen: “Der Angreifer hackt sich nicht ein. Er loggt sich ein – mit Ihren Anmeldedaten.”

Dauerproblem: schwache Passwörter

Nicht nur im Privatleben, sondern auch am Arbeitsplatz ist der nachlässige Umgang mit Passwörtern ein konstantes Problem. Da sich Mitarbeiter oft nur schwer mehr als 50 Passwörter merken können, greifen sie auf die gleichen Passwörter für mehrere Konten zurück. In einer Google-Umfrage von 2019 gaben 65 Prozent der Befragten an, Passwörter mehrfach zu verwenden. Laut der LastPass-Studie betrifft dies vor allem KMUs: In 32 Prozent der kleineren Unternehmen kämpfen die Mitarbeiter mit zu vielen Passwörtern. Eigentlich weiß jeder, dass ein starkes Passwort aus mindestens 16 Zeichen besteht und sowohl Groß- und Kleinbuchstaben als auch Zahlen und Symbole enthält. Doch die Realität sieht oft anders aus.

Hinzu kommt, dass Cyberkriminelle auf immer mehr Passwort-Marktplätzen im Dark Web Listen mit Benutzernamen und Passwörtern kaufen können. Nach dem so genannten “Spray and Pray”-Prinzip versuchen sie, sich durch automatisierte Anmeldeversuche bei Diensten wie Google oder Microsoft 365 Zugang zu Konten zu verschaffen – und hinterlassen dabei oft keine Spuren. Nutzen Sie daher zusätzlich zu sicheren Einmalpasswörtern einen Überwachungsdienst für das Dark Web.

Die richtigen Maßnahmen ergreifen

Laut einer Studie des BSI bezeichnen 26 Prozent der Befragten den Schaden, der Unternehmen durch einen Cyberangriff entsteht, als “sehr groß” oder sogar “existenzbedrohend”. Die hohen Kosten sind nicht das einzige Problem. Erfolgreiche Angriffe können auch das Tagesgeschäft beeinträchtigen oder den Ruf des Unternehmens schädigen. Investitionen in die Cybersicherheit werden daher immer wichtiger: Laut BSI wollen 81 Prozent der Unternehmen regelmäßige Sicherheitsschulungen für Mitarbeiter anbieten. Ein besonderes Augenmerk liegt dabei auf remote arbeitenden Mitarbeitern, wie VPN (66 Prozent der Nennungen), Verschlüsselung von Datenträgern (65 Prozent) und Mobile Device Management (38 Prozent).

Besorgniserregend ist jedoch, dass fast ein Drittel der Unternehmen angibt, dass ein kleines Unternehmen keine Lösungen wie Single Sign-On (SSO) und Multi-Faktor-Authentifizierung (MFA) benötigt. Dabei ist jedes Unternehmen, unabhängig von seiner Größe, ein potenzielles Ziel für Cyberkriminelle.

Um die Mitarbeiter zu entlasten, sollten Unternehmen Lösungen für das Identitäts- und Zugriffsmanagement einsetzen. Vor allem die Einführung eines Passwortmanagers ist eine einfach umzusetzende, benutzerfreundliche und sehr effektive Maßnahme. Die Benutzer können sichere Passwörter erstellen und speichern. Beim Besuch einer bekannten Website werden die Anmeldedaten dann automatisch ausgefüllt. Gleichzeitig spielen Passwort-Manager eine wichtige Rolle bei der Abwehr von möglichen Angreifern. Nach Angaben der IDC-Analysten setzen bereits 45 Prozent der Unternehmen einen Passwortmanager oder eine EPM-Lösung (Enterprise Password Management) ein.

Fazit

Die neuen Arbeitsmodelle erhöhen die Flexibilität und Agilität, auch für KMU. Um den steigenden Sicherheitsrisiken zu begegnen, müssen sie die richtigen Lösungen für das Identitäts- und Zugriffsmanagement einsetzen. Gefragt sind umfassende und benutzerfreundliche Lösungen, die es den Mitarbeitern ermöglichen, ihre Arbeit von jedem Ort aus sicher zu erledigen – unabhängig von der Größe des Unternehmens.

Sandra Rios, Head of LastPass Business