Der Welt-Passwort-Tag findet jedes Jahr am zweiten Donnerstag im Mai statt. Er soll darauf aufmerksam machen, wie wichtig ein verantwortungsvoller Umgang mit Passwörtern ist. Waren Passwörter ursprünglich eine anerkannte Sicherheitsmaßnahme, werden sie heute immer mehr zu einer Belastung für Unternehmen. Warum? Die Fahrlässigkeit von Mitarbeitenden und der Anstieg cyberkrimineller Aktivitäten haben dazu geführt, dass die reine Kombination aus Benutzername und Kennwort mehr als fraglich geworden ist.
Marcin Kleczynski, CEO von Malwarebytes, ein weltweit führender Anbieter von Echtzeit-Cyberschutz, erklärt dies wie folgt: „Konnte der Zugang zum Unternehmensnetzwerk früher einmal durch ein einziges Sicherheitsniveaugeschützt werden, kann und darf dieser Ansatz heute so nicht mehr verfolgt werden. Erhalten Mitarbeitende über einen Benutzername und ein Passwort vollen Zugang zum Unternehmensnetzwerk, ist dies so, als würde man Cyberkriminellen sprichwörtlich den Schlüssel zum Schloss direkt in die Hand geben. Ob über Key-Logger, Malware zum Abfangen von Credentials oder Spear-Phishing – Cyberkriminelle haben ein breites Spektrum an ausgeklügelten Methoden entwickelt, um auf Anmeldedaten zuzugreifen.
Homeoffice und mobile Arbeitsmodelle gefährden die Sicherheit von Anmeldeinformationen zusätzlich. Die große Anzahl an neuen, potenziell gefährdeten Zugangspunkten zum Netzwerk hat die Sicherheitsvorkehrungen in vielen Unternehmen geschwächt. Cyberkriminelle wissen das. Es überrascht nicht, dass kompromittierte Zugangsdaten als häufigste Ursache für Sicherheitsvorfälle in Unternehmen genannt werden. Es ist daher wichtiger denn je, dass Unternehmen die Art und Weise, wie sie Zugangsdaten schützen, überdenken und auf zeitgemäße Ansätze für die Anmeldesicherheit setzen.“
5 Tipps von Malwarebytes für eine bessere Anmeldesicherheit
1. Passwort-Hygiene:
Für die meisten Menschen ist Passwort-Hygiene nach wie vor ein Problem. Zwei Drittel der Benutzer:innen verwenden ihre Passwörter für mehrere Konten wieder. Angesichts der Tatsache, dass Cyberkriminelle zunehmend Credential Stuffing betreiben – also gestohlene Zugangsdaten verwenden, um auf weitere Konten und Dienste zuzugreifen – ist es ein wichtiger Schritt, die Wiederverwendung von Passwörtern zu vermeiden und auf starke, häufig aktualisierte Passwörter zu achten.
2.Multi-Faktor-Authentifizierung (MFA):
Es gibt über 8,4 Milliarden Passwörter, die bei Datenlecks gestohlen wurden und auf die Cyberkriminelle Zugriff haben. Die Multi-Faktor-Authentifizierung kann helfen, Cyberangriffe dennoch abzuwehren. Die MFA fordert mindestens zwei Identifizierungsebenen – neben einem Passwort zum Beispiel die Antwort auf eine Sicherheitsfrage, ein Security-Token, einen Fingerabdruck oder die Gesichtserkennung.
3. Single-Sign-on (SSO):
Neben dem Diebstahl von Anmeldedaten ist auch Passwortmüdigkeit eine der Hauptursachen für Sicherheitsverletzungen. Werden Benutzer:innen aufgefordert, ihre Passwörter häufig zu ändern, nehmen sie oft zu einfache Änderungen vor, wie den Austausch eines Sonderzeichens durch ein anderes. Die Tatsache, sich für zahlreiche Konten verschiedene Passwörter merken zu müssen, verleitet zudem zur Wiederverwendung. Hier kann die SSO-Authentifizierung helfen: Diese ermöglicht es, über einen einzigen Authentifizierungsprozess (z. B. in Kombination mit MFA) Zugriff auf mehrere Systeme, Services oder Applikationen zu erhalten.
4. Least-Privilege-Prinzip (PoLP):
Das Least-Privilege-Prinzip ist ein Konzept der Informationssicherheit, bei dem Benutzer:innen nur die für ihre Tätigkeit und Verantwortlichkeiten erforderlichen Zugriffsrechte gewährt werden. Auf diese Weise wird der Zugriff der Mitarbeitenden, unter Anbetracht ihrer Verantwortlichkeit, auf bestimmte Funktionen beschränkt. Der Vorteil: Verschaffen sich Cyberkriminelle Zugang zu Anmeldedaten, erhalten sie nicht automatisch Zugriff auf das gesamte Unternehmensnetzwerk.
5. Zero-Trust-Modell:
Da Cyberkriminelle immer neue Methoden zum Diebstahl von Zugangsdaten entwickeln, reichen herkömmliche Sicherheitsmaßnahmen nicht mehr aus. Das Sicherheitskonzept Zero Trust basiert daher auf dem Grundsatz, keinem Benutzer, keiner Benutzerin, keinem Gerät und keinem Dienst innerhalb oder außerhalb des eigenen Netzwerkes zu vertrauen. Letztere sind stattdessen stets zu überprüfen, bevor Zugang zum Netzwerk gewährt wird. Zugriff auf bestimmte Ressourcen wird damit nur auf einer bedarfsorientierten Basis erteilt.
