Im Jahr 2021 feiern wir den 60. Jahrestag der Erfindung des Computerpassworts. Doch auch nach 60 Jahren verwenden viele Nutzer:innen – ob privat oder beruflich – noch immer Passwörter wie „Passwort123“.
Deshalb hat der Passwortmanager Dashlane auch in diesem Jahr seine sechste jährliche Liste der schlimmsten Passwortsünder veröffentlicht. Nachdem die CoronaPandemie Menschen weltweit dazu gezwungen hat, ihr berufliches und privates Leben online zu führen, hätten sowohl Unternehmen als auch Nutzer:innen die Erfahrungen des letzten Jahres nutzen können, um ihre Sicherheitskompetenzen zu schulen. Die Liste der diesjährigen Passwortsünder zeigt jedoch, dass auch in 2021 in vielen Unternehmen wenig für die Cybersicherheit getan wurde.
„Wenn Unternehmen nicht anfangen, sicherere Passwortpraktiken in ihrer gesamten Organisation zu implementieren, werden die Sicherheitsverletzungen nur noch größer und gefährlicher”, sagt JD Sherman, CEO von Dashlane. „Wenn das Unternehmen ein Auto wäre, würde niemand aussteigen, ohne die Fenster hochzukurbeln und die Türen zu verschließen. Doch Computerbenutzer:innen scheinen ihre Autos laufen zu lassen und die Schlüssel im Zündschloss stecken zu lassen. Ein Passwortmanager wie Dashlane übernimmt einen Großteil der lästigen Aufgaben, die Passwörter und Systeme sicherer machen.”
Wiederholungstäter: an sie vergab Dashlane bereits im Sommer einen „Worst Password Award“
SolarWinds, COMB und Verkada wurden Mitte des Jahres in Dashlanes „Liste der schlechtesten Passwörter“ erwähnt. Auch deshalb gehören sie zu den schlimmsten Passwortsündern des Jahres 2021.
1. SolarWinds: Seit September 2019 wurden unter anderem mit dem kompromittierten Solarwinds-Produkt „Orion“ umfangreiche Cyberattacken ausgeführt. Sie zielten vor allem auf behördliche und privatwirtschaftliche Rechnernetzwerke in den USA und Europa. Aber auch deutsche Behörden waren von einem der größten Hacks seit Jahren betroffen. Im Februar 2021 beschuldigten dann sowohl aktuelle als auch ehemalige Führungskräfte des amerikanischen Netzsoftware-Spezialisten einen Praktikanten, das viel zu unsichere Passwort „solarwinds123“ verwendet zu haben, das online durchgesickert war. Kurz vorher hatten zwei Hauptinvestoren, die bis dahin zusammen rund 70 % der Aktien hielten, Anteile am Unternehmen im Wert von 280 Millionen Dollar verkauft.
2. COMB: Oder auch „Compilation of Many Breaches“ ist das Ergebnis eines Online-Hackerforums, das über drei Milliarden einzigartige E-Mails und Passwörter veröffentlicht hat, die aus früheren Lecks bei Netflix, LinkedIn, Bitcoin und anderen Unternehmen stammen. Da 4,7 Milliarden Menschen online sind, umfasste COMB die Daten von fast 70 % der weltweiten Internetnutzer:innen!
3. Verkada: Man stellt sich einmal vor, die eigene Sicherheitskamera zeichnet alles auf – und dann landet es für alle sichtbar im Internet. Nachdem ein internationales Hackerkollektiv mit einem im Internet gefundenen Benutzernamen und Passwort in die Systeme des Unternehmens für Cloud-basierte Gebäudesicherheitssysteme eingedrungen war, verschaffte es sich Zugang zu den Kameras der Verkada-Kund:innen. Betroffen waren unter anderem Tesla-Fabriken und – Lager, Fitnessstudios der Kette Equinox, Krankenhäuser, Gefängnisse und Schulen. Wieder einmal zeigte sich, dass auch weltbekannte Großkonzerne das Thema Cybersicherheit nicht vernachlässigen sollten.
4. Facebook: Oder Meta? Was feststeht ist, dass 2021 kein gutes Jahr für das Unternehmen war. Da hilft auch kein Re-Branding. 533 Millionen Facebook-Nutzer:innen waren von der Datenpanne im April 2021 betroffen. Dass Facebook wegen mangelndem Datenschutz seit Jahren in der Kritik steht, überrascht niemanden mehr. Wer dem Netzwerk jedoch immer noch nicht den Rücken kehren will, sollte sich zumindest intensiv mit Facebooks Datennutzung und der Sicherheit des eigenen Kontos beschäftigen.
5. Rechtsabteilung der Stadt New York: Die Rechtsabteilung der Stadt New York hütet einige der am strengsten gehüteten Geheimnisse der Stadt: Beweise für polizeiliches Fehlverhalten, die Identitäten von Angeklagten, Krankenakten von Kläger:innen und persönliche Daten von Tausenden von Stadtbediensteten. Doch alles, was ein Hacker im Juni brauchte, um in das Netzwerk der 1.000 Anwält:innen zählenden Behörde einzudringen, war das gestohlene E-MailPasswort eines Mitarbeitenden.
6. Ticketmaster: Im Jahr 2018 war Ticketmaster bereits Ziel eines Malware-Angriffs geworden. 2021 ging es nicht um ein Datenleck, sondern Ticketmaster Mitarbeite:innenr, die unrechtmäßig erlangte Passwörter nutzten, um die Computersysteme eines konkurrierenden Unternehmens zu hacken. Ticketmaster und die Mutterfirma Live Nation mussten Anfang des Jahres eine Strafe in Höhe von 10 Millionen Dollar für den Hack zahlen. Platz 6 ist also ein klassischer Fall von Betriebsspionage.
7. RockYou2021: Dieser Hack ist nicht allen Internetnutzer:innen ein Begriff. Dabei ist es eines der größten Passwort-Leaks der Geschichte. Mit über 8,4 Milliarden unique entries, zusammengefasst in einer 100 GB großen Textdatei. Deshalb wurde vermutet, dass RockYou2021 potenziell die Passwörter der gesamten Online-Weltbevölkerung mal beinahe Faktor zwei enthalten könnte. Der Name entstammt dem „RockYou 2009 Hack“, bei dem damals 32 Millionen Zugangsdaten offengelegt wurden. Da stellt sich die Frage: haben Internetnutzer:innen in den letzten 12 Jahren nichts gelernt?
8. GoDaddy/WordPress: Ende November 2021 wurden die Daten von bis zu 1,2 Millionen Kund:innen des US-amerikanischen Hosting- und Domain-Riesen GoDaddy offengelegt, nachdem sich Hacker Zugang zur verwalteten WordPress-Hosting-Umgebung des Unternehmens verschafft hatten. Bereits 2018 waren durch einen AWS-Fehler Daten auf GoDaddy-Servern offengelegt worden. Der unbefugte Zugriff blieb Monate lang unbemerkt. 2020 gelang es einem Hacker erneut, Zugriff auf SSH-Konto einiger Kund:innen zu erhalten.
9. ActMobile Networks: ActMobile Networks betreibt mehrere VPN-Marken (Dash VPN, FreeVPN.org und Dash Net Accelerated VPN). Und genau das macht diesen Hack so gefährlich. Im Oktober fand die Security-Firma Comparitech heraus, dass 45 Millionen Benutzerdatensätzen mit E-Mail-Adressen, verschlüsselten Passwörtern, vollständigem Namen und Benutzernamen, 281 Millionen Benutzergerätedatensätzen mit IP-Adresse, Bezirkscode, Geräte- und Benutzer-ID sowie 6 Millionen Kaufdatensätzen mit gekauften Produkten und Quittungen offengelegt worden waren. ActMobile Networks bestreitet bis heute die Kompromittierung der Daten.
10. DailyQuiz.me: Quizfrage: Wie viele Anmeldedaten wurden im Mai 2021 von Benutzerkonten auf der Website von DailyQuiz.me gestohlen? Die Antwort lautet 8,3 Millionen. Die Hacker exfiltrierten die Datenbank der Website, die dann in Untergrundforen und Telegram-Kanälen zum Verkauf angeboten wurde. Der Inhalt der Datenbank umfasst Passwörter, E-Mails und IPAdressen im Klartext. Das sind fast so viele Anmeldedaten, wie die Stadt New York Bewohner:innen hat (8,4 Millionen).
Auch wenn einige der hier genannten Unternehmen nicht allen deutschen Verbraucher:innen bekannt sind, zeigt es doch, dass in unserer vernetzten Welt das Thema Cybersicherheit immer noch zu nachlässig behandelt wird. Die Liste der schlimmsten Passwortsünder erinnert Internetnutzer:innen jedes Jahr daran, wie leicht uns im Internet ein Fauxpas unterlaufen kann – selbst wenn wir denken, dass wir geschützt sind. Daten aus einem Bericht des amerikanischen Telekommunikationsunternehmens Verizon zu Datenschutzverletzungen aus dem Jahr 2021 zeigen, dass die durchschnittlichen Kosten einer Datenschutzverletzung bei 4,24 Millionen US-Dollar liegen und dass 80 % der Datenschutzverletzungen durch schwache, wiederverwendete und gestohlene Mitarbeiterpasswörter verursacht werden.
Die wichtigsten Tipps für sichere Passwörter – ob zuhause oder am Arbeitsplatz:
- Verwendung zufälliger und unterschiedlicher Passwörter für jedes Konto: Hacker können Passwörter von kompromittierten Konten verwenden, um leicht auf andere Konten zuzugreifen. Man kann sich nur davor schützen, indem man für jedes Konto zufällige und unterschiedliche Passwörter verwendet.
- Aktivierung der Zwei-Faktor-Authentifizierung (2FA): 2FA ist eine Funktion, die dem normalen Anmeldeverfahren einen zusätzlichen “Faktor” hinzufügt, um die echte Identität zu verifizieren. Das kann etwas sein, das nur die Nutzer:innen wissen (Passwort, PIN-Nummer, Postleitzahl, usw.), die Nutzer:innen erkennt (Gesichtserkennung, Fingerabdrücke, Retina-Scans, usw.), oder etwas, das nur die Nutzer:innen haben (Smartcard, Smartphone, usw.). Die meisten Apps oder Websites nutzen zur Verifizierung eine E-Mail oder eine Textnachricht.
- Installation eines Passwort-Managers: Ein Passwort-Manager ist die einzige Möglichkeit, komplizierte und einzigartige Passwörter für eine unbegrenzte Anzahl von Konten sicher und bequem zu verwalten – und ermöglicht gleichzeitig automatische Logins und ein sicheres automatisches Ausfüllen von persönlichen Daten und Zahlungsinformationen.
www.dashlane.com/de