Sie sind hier: HomeTelekommunikation

Der Countdown läuft: Wann wird Ihr Passwort gestohlen?

Erst kürzlich hat das Bundeskriminalamt (BKA) im Darknet eine Datenbank mit rund 500 Millionen Zugangsdaten aus Hacker-Attacken aufgespürt. Die Datensätze enthalten so sensible Informationen wie E-Mail-Adressen und Passwörter von Internetdiensten.

Bildquelle: © Robert Mizerek - fotolia.com

Bis die Provider ihre Kunden über den Diebstahl informiert hatten, sind die Angreifer längst mit wertvollen persönlichen Informationen über alle Berge. Denn meistens verstreicht sehr viel wertvolle Zeit, bis die Unternehmen das Datenleck überhaupt erst einmal bemerkt haben: Laut Experten dauert das durchschnittlich mehr als vier Monate, im öffentlichen Sektor sogar bis zu einem Jahr und darüber hinaus.

Passwörter wiegen Nutzer in falscher Sicherheit

Diese Zeitspannen kommen im Digitalzeitalter, das in Minuten und Sekunden denkt und handelt, geradezu Ewigkeiten gleich. Während die Kunden also noch ahnungslos sind, haben sich die Angreifer bei mehrfach genutzten Passwörtern bereits in diverse Webportale eingeloggt und dort möglicherweise weiteren Schaden für den Nutzer verursacht. Das kann von kostspieligen Bestellungen auf Amazon über Kontoabbuchungen bis hin zum umfangreichen Identitätsdiebstahl reichen. Die Geschickte eines US-amerikanischen Journalisten ist ein erschreckendes Beispiel: Nachdem sein Google-Konto angegriffen und gelöscht wurde, nahmen sich die Angreifer seinen Twitter-Account vor und sendeten in seinem Namen kompromittierende Inhalte. Denn er hatte alle Accounts und sensiblen Daten miteinander verknüpft. So ließen sich auch Amazon- und Apple-ID-Accounts problemlos hacken und per Fernzugriff alle Daten auf seinem iPhone, iPad und MacBook löschen. Hätte er damals eine Zwei-Faktor-Authentifizierung (2FA) für sein Google-Konto genutzt, wären die Angreifer nach eigener Aussage des Journalisten nicht so weit gekommen.

Neben den Endnutzern sind aber auch Unternehmen dringend in der Pflicht, ein Optimum an Sicherheit zu gewährleisten. Denn sie sammeln, übermitteln und speichern täglich wertvolle Kundendaten, die oftmals hochsensibel sind. Die ab dem 25. Mai 2018 in Kraft tretende EU-Datenschutz-Grundverordnung (DSGVO) verpflichtet Unternehmen dazu, genau diese Daten vor Missbrauch zu schützen. Bis dahin müssen die Verantwortlichen umfassende technische Maßnahmen treffen, um höchsten Datenschutzanforderungen zu genügen. Bei Nichteinhaltung drohen Strafen von bis zu 20 Millionen Euro bzw. bis zu vier Prozent des Unternehmensumsatzes. Es ist also ein schnelles Handeln gefragt. Denn digitale Transaktionen jeglicher Art sind aus dem Alltag von Unternehmen und Verbrauchern nicht mehr wegzudenken, und sie werden in den nächsten Jahren dramatisch weiter an Bedeutung gewinnen – sowohl im B2B- als auch im B2C-Bereich. Man denke nur an E-Commerce, Online-Banking, digitale Verträge, vernetzte Fahrzeuge, Smart-Home-Ausstattungen oder kritische Infrastrukturen von Energieversorgern, die heute überwiegend von der IT gesteuert werden.

Authentifizierung auf Knopfdruck

Passwörter alleine versagen längst, wenn es um den Schutz digitaler Identitäten und Transaktionen geht, und sie wiegen die User in falscher Sicherheit: Denn mittlerweile sind gestohlene oder schwache Passwörter in 81 Prozent aller Fälle die Ursache für einen Hack. 2016 waren es „nur“ knapp über 60 Prozent. Wann Datenverluste Unternehmen, Mitarbeiter und Kunden betreffen, ist inzwischen also nur eine Frage der Zeit – wenn keine zusätzlichen Schutzmaßnahmen getroffen werden. Dabei lässt sich Transaktionssicherheit vergleichsweise schnell und einfach durch eine risikobasierte Multi-Faktor-Authentifizierung (MFA) gewährleisten. Bei dieser Methodik wird die Rechtmäßigkeit einer Transaktion durch mindestens zwei voneinander unabhängige Berechtigungsnachweise einfach per Knopfdruck bestätigt.

Im Investment-Banking können beispielsweise außergewöhnlich hohe, häufige oder auf sonstige Art auffällige Überweisungen mittels Push-Token verifiziert werden. Das dauert nicht länger als die Eingabe eines herkömmlichen Passworts, ist aber deutlich sicherer: Übersteigt eine Transaktion eine definierte Höhe, muss diese noch einmal zusätzlich bestätigt werden – beispielsweise durch zwei Vorgesetzte oder speziell dafür verantwortliche Compliance-Mitarbeiter.