Montagmorgen
Es ist Montagmorgen, Sie kommen zur Arbeit und wollen sich an ihrem Geschäftsaccount anmelden. Es erscheint die Meldung "Benutzername und Passwort stimmen nicht überein".
OK, halb so schlimm, denken Sie und beschliessen noch rasch einen Kaffee zu holen bevor, sie sich an den ICT-Helpdesk wenden, um das Passwort zurücksetzen zu lassen.
In diesem Moment klingelt das Telefon. Sie erkennen Herrn Wegmüllers Stimme auf der Gegenseite, der Geschäftsleiter eines kürzlich akquirierten Kunden. Er möchte wissen, was diese komische Mail zu bedeuten hat, die er am Freitagabend von Ihnen erhalten hat. Den Anhang habe er leider nicht korrekt öffnen können, deshalb fragt er telefonisch nach.
Sie denken kurz nach. Obwohl Sie dieses Wochenende an der Geburtstagsfeier einer Kollegin ein, zwei Gläser des guten Rotweins getrunken haben, sind Sie ziemlich sicher: Sie haben Herr Wegmüller keine E-Mail zugestellt. Also erklären Sie ihm, dass es sich um ein Missverständnis handeln muss.
Gleichzeitig erscheint Ihr Chef im Büro und fragt in die Runde, ob jemand wisse, weshalb er den Finanzbericht vom letztem Jahr nicht mehr öffnen kann. Ob er da wieder ein neues Programm brauche, es siehe alles so kryptisch aus. Sie finden, dass es nun wirklich an der Zeit ist den IT-Helpdesk anzurufen. Etwas ratlos meint dieser nach einiger Zeit, dass er einen genaueren Blick auf die IT-Infrastruktur werfen müsse.
Zehn Minuten später steht die halbe Belegschaft in Ihrem Büro, es herrscht das komplette Chaos, denn die Hälfte der Computer ist nicht mehr bedienbar. Sie wurden gehacked...!
Nun: Solch ähnliche Szenarien tragen sich täglich in der Geschäftswelt zu und es kann jeden treffen! Aber was könnte an diesem Montagmorgen genau vorgefallen sein? Und was hat es mit Ihnen zu tun?
Das Passwort, der Schlüssel zur Katastrophe
Aber wie kam es soweit, dass Benutzername und Passwort nicht übereistimmten und sich herausstellte, dass Ihr Unternehmen gehacked wurde? Die folgende Grafik zeigt einen möglichen Ablauf, wie es am Montagmorgen zu diesem Zwischenfall gekommen sein könnte. Denn unsichere Passwörter können aus mehreren Gründen eine grosse Gefahr darstellen.
In der heutigen Zeit nutzen wir alle immer mehr Online-Services, die einen Benutzernamen und ein Passwort voraussetzten, wie z.B. Netflix oder Zalando. Wenn einer dieser Dienste Opfer eines Cyberangriffs wird, sind die Benutzerdaten innert kürzester Zeit in einer riesigen Datenbank veröffentlicht, auf die Hacker zugreifen können. Mit Hilfe von automatisierten Methoden versuchen Cyberkriminelle diese Datensammlung zu nutzen, um auf andere Ihrer Accounts, wie zum Beispiel auf Ihr geschäftliches E-Mailkonto zuzugreifen.
Ist der Angreifer erfolgreich, hat er unterschiedliche Möglichkeiten den gekaperten Account zu nutzen. Er kann zum Beispiel E-Mails in Ihrem Namen versenden und einen Virus verbreiten. Da der Geschäftsaccount oft mit anderen Diensten verknüpft ist (Single-Sign-On), hat der Kriminelle oftmals die Möglichkeit mit Hilfe Ihres Emailkontos auf sensible Geschäftsdaten und vertrauliche Information zuzugreifen. Sobald sich Hacker den Zugriff zu solchen Daten verschafft haben, werden diese meistens durch sie vernichtet, um das Unternehmen zu erpressen.
Wenn Sie also geschäftlich Passwörter verwenden, die Sie auch privat einsetzen, erhöhen Sie folgendes Risiko: Ihrem Unternehmen kann aufgrund eines Datenlecks eines anderen Anbieters Schaden zugefügt werden.
Wichtig zu wissen: Es braucht dafür nicht unbedingt ein Datenleck oder Softwarefehler. Es reicht schon, wenn Sie eines der 50 unsichersten Passwörter verwenden oder eines, das jenen ähnlich ist. Denn diese sind in Datensammlungen von Hackern meist schon enthalten.
Wann ist ein Passwort unsicher?
Auch Passwörter mit ähnlichem Aufbau, wie zum Beispiel: mallorca99 oder lange Passwörter welche ein einfaches Passwort kopieren (adminadminadmin) gehören zu dieser gefährlichen Kategorie!
Wie schütze ich mich möglichst vor einer solchen Katastrophe?
Dont's!
- Verwenden Sie nie ein Passwort für Ihren Arbeitsaccount, welches Sie auch für andere (private) Logins einsetzen.
- Verwenden Sie nie ein Passwort, welches sich in der Top 50 der meist genutzten Passwörter befindet oder ähnlich aufgebaut ist.
Do's!
- Benützen Sie einen Passwortsafe oder -manager. (z.B KeePass Password Safe, 1Password, Dashlane, Lastpass)
- Setzen Sie ein starkes Passwort mit Hilfe von Passwortsätzen: Zum Beispiel: "Fritz übt 31 Katzen zu fangen"
Auf den ersten Blick scheint dies eine mühsame Passwortlänge zu sein, aber: Es ist einfach zu merken, fast unknackbar und kann Sie vor bösen Überraschungen wie oben geschildert bewahren!
Wichtig dabei: Verwenden Sie mehr als 4 Wörter und nehmen Sie möglichst zusammenhangslose Wörter. Verwenden Sie das Kennwort jeweils für nur jeweils einen Account.
- Nutzen Sie, wo immer möglich, eine Mehrfach-Authentifizierung (MFA).
- Prüfen Sie ab und zu, ob einer Ihrer Accounts gehacked wurde. (z.B unter https://haveibeenpwned.com/)