Schutz vor Passwortdiebstahl – schieben Sie ‚Password Stealing‘ den Riegel vor

PINs, Passwörter und Codes sind allgegenwärtig – ob beim Zahlen mit der Bankkarte, beim Entsperren des Smartphones, dem Zugang zu Gebäuden oder dem Login in Online-Konten. Sie gehören zu den am meisten genutzten Methoden, um Zugriff auf sensible Daten oder Zugang zu geschützten Orten durch Unbefugte zu verhindern. Ein starkes Passwort schützt nicht nur vor unerlaubtem Zugriff, sondern auch vor Datendiebstahl. Aber auch das beste Passwort nützt einem nichts, wenn es geklaut wird. In diesem Artikel werden wir uns die neuesten Methoden des sogenannten Password Stealing ansehen und Maßnahmen vorstellen, wie man sich vor dieser Art des Hacker-Angriffs schützen kann.

Passwörter sind ein wichtiger Aspekt in der Informationssicherheit. Sie schützen vor Cyber-Kriminalität und unerlaubtem Zugriff auf sensibles Material. Leider ist der Zugangsschutz anhand von Passwörtern durch eine zunehmende Anzahl von sogenannte Passwort-Stealing-Angriffen von Cyber-Kriminellen immer anfälliger. In diesem Blog-Artikel werden wir uns die neuesten Methoden des Password Stealing ansehen und Methoden vorstellen, wie man sich davor schützen kann.

Was ist Password Stealing?

Unter Password Stealing versteht man eine Art von Cyber-Angriff, bei dem ein Angreifer Zugang zu geschützten Daten oder Konten erlangt, indem er das Passwort des Benutzers stiehlt. Die Methode wird von Hackern verwendet, um Zugangsdaten, wie Benutzernamen und Passwörter, abzugreifen und auf nicht autorisierte Weise auf Systeme, Netzwerke, Websites oder andere (Online-)Ressourcen zuzugreifen. Um dies zu tun, verwenden Cyber-Kriminelle eine Vielzahl von Techniken, darunter Phishing, Keylogging, Sniffing, Social Engineering und Malware.

Die am häufigsten für den Passwortklau verwendeten Methoden sind Phishing und Malware:

• Phishing: Phishing-Mails sind die wohl erfolgreichste Masche von Hackern, um Passwörter zu stehlen. Beim Phishing versenden Betrüger E-Mails, die so gestaltet sind, dass sie als legitim angesehen werden, obwohl sie nicht von einem bekannten Absender, sondern von einem Betrüger stammen. Sie enthalten Links zu Websites, welche nicht vertrauenswürdig sind. Wenn ein Benutzer auf den Link klickt, wird er aufgefordert, seine Anmeldeinformationen einzugeben. Diese Informationen werden dann an den Angreifer gesendet – das Passwort oder die Kreditkartendaten sind geklaut.
• Malware: Malware ist neben Phishing eine weitere häufige Methode des Password Stealings. Hierbei handelt es sich um eine Art von Software, die auf einem Computer installiert wird, um sensible Informationen zu stehlen. Eine Malware ist in der Lage, beim Passwort-Klau zu helfen, indem sie Eingaben auf dem Bildschirm des Benutzers aufzeichnet. Malware kann auf einem Computer installiert werden, indem der Benutzer einen infizierten Link aufruft oder eine infizierte Datei herunterlädt.

Weit weniger bekannt – aber nicht weniger gefährlich – sind die folgenden Methoden, die Hacker zum Passwortdiebstahl verwenden:

• Keylogging: Beim Keylogging werden die getätigten Tastatureingaben auf einem Gerät heimlich mitgelesen – manchmal vollständig, manchmal selektiv. Die sogenannten Keylogger haben es dabei gezielt auf Konto- und Login-Daten abgesehen. In einigen Fällen ebenso spannend: Private Chatverläufe und sensiblen Suchanfragen, die im Zweifelsfall gegen den User verwendet werden können. Technisch wird hierzu in der Regel Spyware auf dem Endgerät des Betroffenen installiert, ohne dass der Nutzer die verdächtige Software bemerkt. Übrigens: Keylogger selbst zeichnen die Tastatureingaben oft nur auf und geben die Informationen später an andere Cyberkriminelle weiter.
• Sniffing: Das Password Sniffing ist eine Hacking-Methode, bei der durch eine spezielle Software, die auf dem Endgerät des Betroffenen installiert sein muss, Benutzernamen und Passwörter gestohlen werden, indem der Netzwerkverkehr aufgezeichnet wird. Häufigster Tatort: Öffentliche WLAN-Netzwerke.
• Social Engineering: Unter dem Begriff Social Engineering werden alle Methoden zusammengefasst, bei denen Angst, Vertrauen, Hilfsbereitschaft oder andere, gutherzige menschliche Eigenschaften bewusst ausgenutzt werden, um Menschen zu manipulieren und so an vertrauliche Daten zu kommen. Ein Anruf vom vermeintlichen neuen IT-Administrator der Firma, der aus Sicherheitsgründen das Passwort abfragt? Eine typische Social Engineering Masche. Phising ist übrigens die am weitesten verbreitete Social Engineering Taktik – denn auch hier wird mit dem Vertrauen des Gegenübers gespielt.

Neben diesen Maßnahmen gibt es noch weitere, ganz profane Wege für Hacker, um an Passwörter zu gelangen – denn erschreckend oft sichern User ihre Kennwörter in Excel-Dateien oder Textdateien, welche dann, womöglich auch noch als „passwoerter.xls“ bezeichnet, einfach offen auf dem Desktop liegen... Das ist natürlich so, als würde man einen Zettel an die Haustür kleben, auf dem steht: „Schlüssel liegt unter der Fußmatte“. Ebenso erschreckend oft verwenden Menschen die immer gleichen Passwortkombinationen. Zu den gängigsten zählen „123456789“, „abc123“ und „password“. Da lohnt es sich durchaus, einfach mal eine Liste übliche Passwortkombinationen durchzuprobieren.

So kann man sich gegen Password Stealing schützen

Um sich vor Password Stealing zu schützen, sollten Benutzer folgende Schutzmaßnahmen ergreifen:

• Nur auf Links und Dateien zugreifen, die vertrauenswürdig sind
• Sichere Passwörter wählen, die aus einer Kombination von Zahlen, Buchstaben und Sonderzeichen bestehen
• Ein- und dasselbe Passwort nicht für mehrere Systeme verwenden
• Passwörter regelmäßig ändern
• Antiviren-Software installieren, um Malware zu verhindern
• Zwei-Faktor-Authentifizierung einrichten
• Im Zweifelsfall immer jemanden mit Expertise zu Rate ziehen

Passwörter sind aus unserem Leben nicht wegzudenken. So sehr sie auch Sicherheit verschaffen, so anfällig sind sie gleichzeitig. Wir hoffen, dieser Artikel hat geholfen, die Methodik von Passwort Stealing besser zu verstehen, um sich vor solchen Angriffen in Zukunft proaktiv schützen zu können.