Im Januar wurde ein führendes Technologieunternehmen Opfer eines Passwort Spray-Angriffs, bei dem E-Mail-Konten der Geschäftsführung und verschiedener Abteilungen kompromittiert wurden. Gleichzeitig wurde ein bekanntes Cybersicherheitsunternehmen Opfer eines Brute-Force-Angriffs auf seinen X-Account, woraufhin Phishing-Links an die Follower des Accounts verschickt wurden. Hackern gelingt das durch verschiedene Methode, eine davon ist das Password Spraying. Was Password Spraying ist und wie sich Unternehmen davor schützen, lesen Sie in diesem Beitrag.
Passwort Spraying: Was bedeutet das?
Passwort Spraying ist eines der vielen Sicherheitsrisiken, die heutzutage von Hackern ausgehen. Wie der Begriff schon andeutet, probieren Hacker wahllos viele verschiedene Passwörter aus und „sprühen“ sie herum. Dabei probieren sie viele häufig verwendete Passwörter für wenige Benutzerkonten aus, manchmal konzentrieren sie sich sogar auf ein einziges Konto. Sie versuchen nicht, sich schnell hintereinander anzumelden, um nicht wegen zu vieler Versuche geblockt zu werden.
Gelingt es Hackern, in ein Konto einzudringen, können sie sich frei im System bewegen, permanenten Zugriff erlangen, sensible Daten extrahieren und Malware wie Ransomware freisetzen, um Lösegeld zu erpressen.
Beispiel für einen Passwort Spraying-Angriff
Ein Hacker hat es auf eine Fluggesellschaft abgesehen. Er hat eine Liste von Mitarbeiterkonten, die Zugang zur Kundendatenbank haben. Anstatt jedes Passwort einzeln zu erraten, probiert der Hacker für jedes Konto eine häufig verwendete Passwortkombination aus, z.B. „meinpasswort000“, bis er Zugang hat. Ist er erst einmal drin, beginnt er, Kundendaten wie persönliche Informationen, Reiseverläufe und Kreditkartennummern zu stehlen und zu verkaufen.
Ein solches Datenleck kann schwerwiegende Probleme nach sich ziehen. Die Fluggesellschaft muss sich mit vielen verärgerten Kunden und deren Fragen auseinandersetzen. Die Behörden beginnen zu ermitteln und können hohe Strafen verhängen. Der Ruf des Unternehmens leidet stark und es kann Jahre dauern, bis das Vertrauen wiederhergestellt ist.
4 gängige Passwort-Hacking-Methoden im Überblick
Leider ist Passwort Spraying nicht die einzige Methode, mit der Hacker versuchen, Zugriff auf die Konten ihrer Opfer zu erlangen. Hier ein Überblick über die 4 gängigsten Passwort-Hacking-Methoden.
1. Passwort Spraying
Hacker probieren eine Reihe von häufig verwendeten Passwörtern auf vielen verschiedenen Benutzerkonten aus. Anstatt sich auf ein einzelnes Konto zu konzentrieren und viele Passwörter auszuprobieren, verwenden sie ein oder zwei gängige Passwörter und probieren diese bei vielen Konten aus. Ziel ist es, ein Konto zu finden, für das dieses gängige Passwort zufällig das richtige ist. Diese Technik verringert das Risiko, dass der Hacker aufgrund zu vieler fehlgeschlagener Anmeldeversuche für ein Konto gesperrt wird.
2. Phishing
Hacker versuchen, durch gefälschte E-Mails oder Nachrichten an persönliche Daten wie Passwörter oder Kreditkarteninformationen zu gelangen. Sie gestalten diese Nachrichten so, dass sie von vertrauenswürdigen Quellen wie Banken oder bekannten Unternehmen zu stammen scheinen. Fällt jemand darauf herein und gibt seine Daten ein, haben die Betrüger Zugriff auf seine Konten oder finanziellen Mittel.
3. Credential Stuffing
Hacker verwenden bereits gestohlene Anmeldedaten, anstatt sie einfach zu erraten. Sobald sie in ein Konto eingedrungen sind, probieren sie dasselbe Passwort auf anderen Plattformen aus, in der Hoffnung, dass die Person das Passwort mehrfach verwendet hat.
4. Brute-Force-Angriffe
Hacker probieren massenhaft verschiedene Kombinationen von Passwort und Benutzername aus, um in ein Konto einzudringen. Ein Hacker kann in nur 22 Sekunden unglaubliche 2,18 Billionen solcher Kombinationen ausprobieren. Das bedeutet, dass einfache Passwörter sehr schnell geknackt werden können.
So schützen Sie sich vor Passwort Spraying
Bei so vielen verschiedenen Arten von Cyber-Angriffen ist es entscheidend, starke Schutzmaßnahmen zu implementieren. Das gilt insbesondere für kleine und mittelständische Unternehmen, immer häufiger ins Visier von Hackern geraten. (1)
Schutzmaßnahmen für Unternehmen:
- Passwortregeln: Unternehmen sollten starke Passwörter verlangen. Dazu gehören Regeln zur Länge und Komplexität von Passwörtern sowie deren regelmäßige Aktualisierung.
- Zwei-Faktor-Authentifizierung (2FA): Mitarbeitende sollten angewiesen werden, 2FA zu verwenden. Diese bietet neben dem normalen Passwort eine zusätzliche Sicherheitsebene.
- Passwortlose Logins: Unternehmen können auch passwortlose Anmeldemethoden wie Fingerabdruckscanner oder digitale Schlüssel in Betracht ziehen.
Schutzmaßnahmen für Mitarbeitende:
- Passwörter regelmäßig überprüfen: Mitarbeitende sollten regelmäßig überprüfen, wie sicher ihre Passwörter sind. Außerdem sollten sie schwache oder gefährdete Passwörter schnell ändern.
- Einzigartige Passwörter erstellen: Mitarbeitende sollten für jedes Konto ein eigenes, komplexes Passwort erstellen und dieses mit einem Passwort-Manager sicher verwalten. Das hilft gegen das sogenannte Credential Stuffing.
- Zwei-Faktor-Authentifizierung (2FA) anwenden: Mitarbeitende sollten, wenn möglich, 2FA aktivieren, um sich zusätzlich vor unberechtigten Zugriffen zu schützen.
- Passwortlos anmelden: Mitarbeitende können die passwortlose Methoden wie Fingerabdruck-Scanner oder Sicherheitsschlüssel ausprobieren, um sich unabhängiger von normalen Passwörtern zu machen.
Passwortsicherheit optimieren mit Synology C2
Synology C2 Password und C2 Identity sind ideale Lösungen für Unternehmen, die gefährliche Schwachstellen bei Passwörtern beseitigen möchten. Beide Dienste bieten die oben genannten Funktionen und haben sich in der Unterstützung von Organisationen bei der Sicherung ihrer Passwörter bewährt.
C2 Password bietet einen klaren Überblick über alle Anmeldeinformationen, einschließlich des Zeitpunkts der letzten Überprüfung und des Sicherheitsstatus. Ein kurzer Blick auf das Dashboard zeigt Sicherheitsprobleme auf, sodass die Verantwortlichen sofort handeln können.
Mit C2 Identity können Unternehmen Passwortrichtlinien, Ablaufregeln, 2FA und passwortlose Anmeldemethoden definieren. Mit diesen detaillierten Einstellungen und Kontrollen können sie ihre Sicherheitspraktiken noch besser an die spezifischen Bedürfnisse ihres Unternehmens anpassen.
Schützen Sie Ihr Unternehmen jetzt vor Hacker-Angriffen
Böswillige Akteure handeln schnell und die Angriffsflächen werden immer größer. Im Kampf gegen Cybercrime zählt jede Sekunde.