Woche 11: Recycling ist gut, aber nicht bei Passwörtern

19.03.2024 - Starke und komplexe Passwörter sind ein wichtiges Element, um den Zugang zu Internetdiensten adäquat zu schützen. Solche Passwörter haben jedoch den Nachteil, dass sie schwer zu merken sind, was viele Nutzerinnen und Nutzer dazu verleitet, entweder für verschiedene Dienste das gleiche Passwort zu wählen oder die Passwörter systematisch aufzubauen. Dies wiederum vermindert die Sicherheit deutlich. Daher empfiehlt sich die Verwendung eines Passwortmanagers. Dass aber auch dies seine Tücken hat, zeigt ein Beispiel, das dem BACS diese Woche gemeldet wurde.

Passwortrückstellung über E-Mail oder gleiches Passwort

Letzte Woche wurde dem BACS ein Fall gemeldet, bei dem ein abgeflossenes Passwort gleich mehrfach verwendet wurde. So wurde das Passwort nicht nur in einer Fake-Sextortion-E-Mail als Drohkulisse verwendet, sondern es wurden auch diverse Social Media-Konten übernommen. Ausserdem erfolgte ein Zugriff auf einen Webshop, und schliesslich wurde über das E-Mail-Konto des Opfers auch noch Schadsoftware an all darin gespeicherten Kontakte gesendet.

In solchen Fällen liegt der Verdacht nahe, dass die Angreifer Zugriff auf die E-Mail-Adresse hatten und mit der Passwortrücksetzungsfunktion dann versuchen, verschiedene Accounts zu übernehmen. Das BACS hat hierzu bereits einen Wochenrückblick publiziert:

Da es sich bei den oben beschriebenen Angriffen jedoch um unterschiedliche Tätergruppen gehandelt haben dürfte, geht das BACS in diesem Fall von einem anderen Sachverhalt aus. Das Passwort ist in diesem Fall wohl schon vor einiger Zeit abgeflossen und auf den einschlägigen Foren angeboten worden. Eine Überprüfung der E-Mail-Adresse auf «Have I Been Pwned» bestätigt diese Vermutung. «Have I been Pwned» ist ein Dienst, über welchen überprüft werden kann, ob ein Passwort im Zusammenhang mit einer E-Mail-Adresse abgeflossen ist. Im vorliegenden Fall tauchte das Passwort im Jahr 2020 in einer Datensammlung auf, die in verschiedenen Hacker-Foren angeboten wurde. Es muss daher davon ausgegangen werden, dass die Zugangsdaten verschiedenen Tätergruppen bekannt waren und von diesen auch für ihre Zwecke missbraucht wurden.

Eintrag auf «Have I been pwned», dass das Passwort im November 2020 in einer Datensammlung in Hackerforen aufgetaucht ist.
Eintrag auf «Have I been pwned», dass das Passwort im November 2020 in einer Datensammlung in Hackerforen aufgetaucht ist.

Wie kann es aber sein, dass mit dem entwendeten Passwort nun verschiedene Dienste kompromittiert werden konnten? Die Antwort ist ganz einfach: Das Opfer hat in diesem Fall dasselbe Passwort gleich für mehrere Dienste verwendet. Die verschiedenen Täter haben unabhängig voneinander und fast gleichzeitig das abgeflossene Passwort für verschiedene Zwecke verwendet. Dieser Vorfall zeigt, wie wichtig es ist, für jeden Internetdienst ein eigenes Passwort zu verwenden.

Verwendung von systematischen Passwörtern

Damit ist es aber noch nicht getan. Achten Sie auch darauf, keine systematischen Passwörter zu verwenden. Wenn Sie beispielsweise ein Passwort der Form «DiesisteinsuperPasswort!01» verwenden, dann liegt es mehr als nahe, dass die Person auch das Passwort «DiesisteinsuperPasswort!02» benutzt. Mit ein bisschen Kombinieren, Probieren und Raten schaffen es die Angreifer dann trotzdem, ein Konto zu übernehmen.

Passwortmanager unbedingt mit starkem Passwort

Abhilfe schafft hier ein Passwort-Manager. Ein Passwort-Manager oder ein Passwort-Tresor ist ein Tool, das Ihnen bei der Erstellung und Aufbewahrung sicherer Passwörter hilft. Er generiert und speichert komplexe Passwörter und füllt sie automatisch ein, wenn Sie sich bei Websites und Apps anmelden. Man muss sich so weder beim Erstellen eines Kontos ein kompliziertes Passwort ausdenken, noch muss man sich das Passwort für die Zukunft merken.

Allerdings gilt es auch hier einen wichtigen Punkt zu beachten. Solche Passwort-Manager sind durch ein Haupt-Passwort, ein sogenanntes Master-Passwort, geschützt. Wenn dieses Passwort in die falschen Hände gerät, ist die gewonnene Sicherheit wieder dahin. Der Angreifer hat in diesem Fall nicht nur Zugriff zu sämtlichen Passwörtern, er weiss auch genau, bei welchen Diensten das Opfer ein Konto hat. Genau ein solcher Fall wurde dem BACS letzte Woche gemeldet. Eine Schadsoftware hat sich Zugang zum Computer des Opfers verschafft, auf dem sich auch eine Passwort Manager-Datei befunden hat. Da die Datei nur durch ein einfach zu erratendes Passwort geschützt war, war es nur eine Frage der Zeit, bis die Passwörter in die Hände der Angreifer gelangen könnten. Daher musste das Opfer die Passwörter bei allen Diensten präventiv ändern. Glücklicherweise hat in diesem Fall das Opfer den Zugriff rechtzeitig bemerkt und konnte zeitnah handeln. Bleiben eine Infektion und ein damit verbundener Datenabfluss unentdeckt, kann dies schwerwiegende Folgen haben. Ein sicheres Master-Passwort ist daher unerlässlich.

Vorsichtsmassnahmen

  • Verwendung eines Passwortes mit mindestens 12 Zeichen, bestehend aus Gross- und Kleinbuchstaben, Zahlen und möglichst auch Sonderzeichen.
  • Keine Mehrfachverwendung von Passwörtern.
  • Einsatz von Zwei-Faktor-Authentisierung. Damit wird zusätzlich zum Passwort zum Beispiel ein Zahlencode abgefragt, welcher in einer App («Authenticator-App») erzeugt und angezeigt wird. Keine Angst: der Aufwand zur Einrichtung ist einmalig und minimal, und in vielen Fällen muss der Code nicht jedes Mal eingegeben werden, sondern nur dann, wenn man sich von einem unbekannten Gerät aus einloggt. Mit einem zweiten Faktor steigt der Aufwand für Angreifer massiv, um das Konto übernehmen zu können.
  • Das Passwort für den E-Mail-Account sollte einzig im Webmail (URL kontrollieren) oder in den E-Mail-Programmen auf PC und Handy eingegeben werden. Kommen Sie keiner Aufforderung nach, das Passwort auf Webseiten einzugeben, die Sie über Links in E-Mails geöffnet haben.
  • Verwenden Sie nach Möglichkeit mehrere E-Mail-Adressen für verschiedene Einsatzzwecke.

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 19.03.2024

Zum Seitenanfang

https://www.ncsc.admin.ch/content/ncsc/de/home/aktuell/im-fokus/2024/wochenrueckblick_11.html