Im vergangenen Jahr handelte es sich bei 69 Prozent aller Spam-Mails um Cyberangriffe, so berichtet der BSI Lagebericht 2022. Diese Zahl zeigt, wie groß das Risiko ist, Opfer einer Cyber-Attacke zu werden. Und, dass Hacker es auf Einzelpersonen abgesehen haben. Genau genommen auf deren Passwörter, um Zugriff auf persönliche Informationen oder Unternehmensdaten zu erhalten.
Zum Glück kann man sich gegen Cyberangriffe wehren – wenn man weiß, mit welchen Methoden Hacker heutzutage arbeiten.
Der moderne Hacker
Der stereotypische Hacker ist ein Einzelkämpfer, der im schwarzen Hoodie vor einem selbst zusammengebauten PC am Schreibtisch sitzt und einen Code nach dem anderen durchkämmt, auf der Suche nach einer Schwachstelle im System, die er angreifen kann. Doch diese Vorstellung hat mit der Realität oft nichts mehr gemein: Wenn in den Nachrichten von Cyberangriffen auf Organisationen, Unternehmen oder Privatpersonen die Rede ist, steckt dahinter meist die ausgeklügelte Strategie eines professionell organisierten Teams an Cyberkriminellen. Deren Ziel ist es nicht, das IT-Sicherheitssystem ihrer Opfer mit Hilfe ihrer eigenen Codierungsexpertise zu durchdringen. Vielmehr wissen Cyberkriminelle heutzutage, wie man viel einfacher Sicherheitssysteme knacken kann: indem man lernt, die Schwächen der menschlichen Psyche auszunutzen.
Dabei ist das Ziel der Hacker, durch verschiedene Tricks die Passwörter von (möglichst vielen) Einzelpersonen zu knacken. Diese gewähren den Kriminellen Zugriff – nicht nur auf persönliche Daten, sondern auch auf IT-Systeme von Unternehmen und Organisationen. Die folgenden drei Methoden wenden Cyberkriminelle am häufigsten an, um Passwörter zu knacken.
Social Engineering und Phishing
Beim Social Engineering wird die Psyche der Internetnutzenden manipuliert, indem menschliche Eigenschaften wie Vertrauen, Hilfsbereitschaft, Respekt vor Autorität oder Angst ausgenutzt werden. So werden die Opfer von Social Engineering dazu verleitet, vertrauliche Informationen preiszugeben, Überweisungen zu tätigen oder Schadsoftware zu installieren. Beim Phishing, der bekanntesten Form des Social Engineerings, sollen Personen durch meist sehr echt wirkende E-Mails dazu gebracht werden, auf einen Link zu klicken. Dieser bringt sie auf eine ebenso echt wirkende gefälschte Website, wo sie ihre Anmeldeinformationen eingeben sollen.
Um Zugriff auf möglichst viele Anmeldeinformationen zu haben, versenden Cyberkriminelle bei Phishing Attacken massenweise E-Mails. Ihr Erfolg hängt letztendlich davon ab, wie gut die Attacke getarnt ist und wie einfach das Opfer in die Falle tappt. Besonders bei Unternehmensmitarbeitenden haben die Angreifer häufig einfaches Spiel, denn viele sind müde, gestresst, ausgebrannt und vor allem: nicht ausreichend aufgeklärt. Deshalb sind sie nicht wachsam genug und fallen somit leichter auf eine Social Engineering-Attacke herein. Zudem verfügt nicht jedes Unternehmen über ein IT-Sicherheitssystem, das solchen Attacken standhalten kann.
Man kann sich jedoch vor Social Engineering-Angriffen schützen, indem man folgende Tipps befolgt:
- Bei E-Mails auf typische Anzeichen achten, wie zum Beispiel seltsame Links, eine ungewohnt auffordernde Ansprache oder unbekannte Absenderadressen
- Nicht im Affekt auf E-Mails reagieren, die zu einer sofortigen Handlung drängen
- Im Zweifel den oder die Absender:in separat kontaktieren, um sicherzugehen, dass es sich um eine legitime E-Mail handelt
- Starke, einzigartige Passwörter verwenden
- 2-Faktor-Authentifizierung aktivieren, um ihren Online-Konten eine zweite Sicherheitsebene hinzuzufügen
- Warnungen zu ungewöhnlichen Anmeldeversuchen ernst nehmen und überprüfen
Credential Stuffing
Beim Credential Stuffing nutzen Hacker den Fakt, dass es online mittlerweile eine enorme Menge an Daten gibt, die durch Datenleaks in Umlauf geraten sind. Diese werden mithilfe von spezialisierter Software im großen Umfang für die Anmeldung bei beliebten Webdiensten verwendet. Dabei wird davon ausgegangen, dass Internetnutzende ihre Passwörter mehrfach verwenden – eine häufig korrekte Annahme, die auf menschlicher Bequemlichkeit und Vergesslichkeit beruht. Und oft genug angewendet ist diese Methode auch gefährlich erfolgreich.
Internetnutzende können nicht dagegen tun, dass ihre Daten geleaked werden wenn ein Webdienst, wie kürzlich Facebook und Whatsapp, eine Datenpanne erleidet. Was sie aber tun können, ist für jeden Account ein starkes, einzigartiges Passwort zu erstellen und dieses regelmäßig zu wechseln, sodass ihre Accounts nicht durch Credential Stuffing gehackt werden können.
Brute Force- und Wörterbuchangriffe
Brute Force-Angriffe basieren auf Wortlisten, anhand derer Hacker Passwörter herauszufinden versuchen. Sie nutzen beispielsweise eine systematische Aneinanderreihung von Buchstaben, auf deren Basis jede mögliche Passwortkombination durchgespielt wird. Ein Wörterbuchangriff ist ein spezieller Typ von Brute Force-Angriff, der noch fokussierter und effizienter ist: Es werden echte Wörter, zum Beispiel aus Datenleaks oder auch aus einem Wörterbuch verwendet. So können automatisierte Programme eine unendliche Anzahl an Usernamen- und Passwort-Kombinationen durchprobieren.
Viele Webseiten und Apps haben bereits Schutzmechanismen gegen solche Angriffe eingerichtet. Wird ein Passwort zu oft falsch eingegeben, wird mittlerweile meist automatisch der Zugriff auf den Account verweigert. Deshalb haben sich die Hacker bereits angepasst und Wörterbuchangriffe basieren zunehmend auf Listen aus gehashten Passwörtern.
Webseiten speichern Passwörter häufig in gehashter Form, das heißt sie werden beim Registrieren per Algorithmus in eine zufällige Buchstabenreihe verwandelt, sodass sie im Falle eines Datenleaks nicht einfach weiterverwendet werden können. Um gehashte Passwörter dennoch für Wörterbuchangriffe zu nutzen, werden beliebte Passwörter durch häufig verwendete Hashing-Algorithmen geführt und das Ergebnis mit den geleakten, bereits gehashten Passwörtern verglichen. Und im Falle einer Übereinstimmung verwendet, um auf den entsprechenden Account zuzugreifen.
Um nicht Opfer eines Brute Force-Angriffs zu werden, können Internetnutzende einige Vorkehrungen treffen. Wie immer ist die Verwendung starker, einzigartiger Passwörter neben der Einrichtung einer Zwei-Faktor-Authentifizierung elementar. Zusätzlich lässt sich die Anzahl der zulässigen Anmeldeversuche für jeden Account begrenzen. Wird das Passwort doch einmal kompromittiert, sollte es unbedingt schnellstmöglich geändert werden, bevor es von Cyberkriminellen verwendet werden kann.
Der Mensch ist die Zukunft der Cybersecurity
Heutzutage findet ein großer Teil unseres Lebens online statt. Deshalb ist es notwendig, auch online Maßnahmen zum Schutz von Personen und Unternehmen zu ergreifen. In Zeiten, in denen Cyberkriminelle zunehmend Einzelpersonen ins Visier nehmen und versuchen, ihre Schwächen auszunutzen, ist es essentiell, besonders Einzelpersonen online zu schützen. Auch, um Unternehmen und Organisationen vor Cyberangriffen zu bewahren. Dabei ist ein Sicherheitsansatz von Vorteil, der die Tools und das Wissen bereitstellt, die Menschen brauchen, um online sicher zu agieren. Zum Beispiel ein Passwortmanager wie 1Password, der starke, einzigartige Zugangsdaten automatisch erstellt, verwaltet und sichert.