Warum sind sichere Passwörter für KMU so wichtig?
Dem Verizon Data Breach Investivation Report von 2018 zufolge bleiben gestohlene Zugangsdaten einer der Hauptgründe für Datenlecks. Immer wieder geraten riesige „Collections“ von Zugangsdaten an die Öffentlichkeit. Entsprechend unzuverlässig ist der Schutz über Passwörter allein.
Viele KMU gehen davon aus, dass sie kein attraktives Ziel für Cyberangriffe seien. Ein gefährlicher Trugschluss. Gerade kleine und mittelständische Unternehmen sind äußerst spannend für Kriminelle, besitzen sie doch potenziell sehr wertvolle Daten, die zugleich kaum abgesichert sind.
Mehr erfahren
In den letzten Jahren hat dieses Problem noch an Brisanz gewonnen. Immer mehr Unternehmen nutzen IoT-Geräte, um Unternehmensprozesse zu optimieren. Unglücklicherweise erhöhen diese Geräte das Risiko eines Angriffs – insbesondere dann, wenn sie unzureichend gesichert sind und/oder Standardeinstellungen verwenden.
Das ist vor allem auch in Hinblick auf die DSGVO und andere Datenschutzregularien weltweit problematisch; werden hier doch häufig „geeignete technische und organisatorische Maßnahmen“ gefordert, um IT-Infrastrukturen abzusichern. Werden lediglich einfache, statische Passwörter verwendet, muss im Fall eines Datenlecks mit empfindlichen Strafen gerechnet werden.
Wie gelangen Kriminelle an Passwörter?
1. Eine noch immer beliebte Methode, an Passwörter zu gelangen, ist, dem potenziellen Opfer beim Tippen über die Schulter zu schauen (sog. Shoulder Surfing).
2. Weiterhin häufig genutzt werden sogenannte „Social Engineering“-Methoden. Hierbei erhält das potenzielle Opfer beispielsweise eine E-Mail, in der es zur Preisgabe von Zugangsdaten aufgefordert wird. Solche Phishing-Mails werden immer schwerer von legitimen Mails zu unterscheiden – dadurch wird es selbst für erfahrene Nutzer schwierig, sie zu erkennen.
3. Haben es Angreifer einmal geschafft, ins Netzwerk einzudringen, können sie mithilfe spezieller Malware gezielt nach Dokumenten suchen, die Passwörter enthalten oder Tastatureingaben der Nutzer loggen. Diese Informationen werden dann an die C&C-Server der Angreifer gesendet und dort bei Bedarf entschlüsselt.
4. Technisch aufwändiger ist das Abfangen von Netzwerktraffic von Unternehmensgeräten, die außerhalb des Unternehmensnetzwerks benutzt werden.
5. Sehr häufig werden Passwörter aber auch schlicht per Brute Force abgezogen. Mithilfe automatisierter Skripte werden unzählige Passwortkombinationen ausprobiert, bis schließlich das passende gefunden wird. Je komplexer und länger das Passwort, umso länger dauert dieser Vorgang natürlich.
Wie sieht eine gute Passwortrichtlinie aus?
Um ihr Unternehmen effektiv zu schützen, sollten Sie die folgenden Schritte in Bezug auf Passwortrichtlinien einhalten:
- Schulen Sie Ihre Mitarbeiter in Bezug auf gute Passwörter.
- Lassen Sie durch die IT-Abteilung Passwortrichtlinien festlegen, inklusive passender Durchsetzungsstrategien.
- Implementieren Sie zusätzliche Maßnahmen, um die Passwortsicherheit im gesamten Unternehmen zu erhöhen.
Was können Sie tun, um die Passwortsicherheit in Ihrem Unternehmen zu erhöhen?
Das Mittel der Wahl ist hier eine Zwei-Faktor-Authentifizierung. Hierbei muss der Nutzer sich zusätzlich zu Nutzername und Passwort („etwas, das der Nutzer kennt“) mit einmal Einmal-Code („etwas, das der Nutzer hat“) authentifizieren. So sind Unternehmensdaten selbst im Fall von Passwortdiebstahl oder -verlust geschützt.
Mittlerweile sind Mobilgeräte selbst häufig Ziel von Malware-Angriffen. Entsprechend verzichten die meisten Anbieter darauf, SMS für die 2FA zur verwenden und nutzen stattdessen Push-Benachrichtigungen. Um die Sicherheit der Anmeldung noch weiter zu erhöhen, können für die sogenannte Multi-Faktor-Authentifizierung biometrische Informationen („etwas, das der Nutzer ist“) für die Authentifizierung zum Einsatz kommen.
Profitieren Sie von ESETs leistungsfähiger 2FA
Mit nur einer Bildschirmberührung schützen Ihre Mitarbeiter alle unternehmensinternen Daten vor dem Zugriff Unbefugter und sorgen zugleich dafür, dass gesetzliche Vorgaben eingehalten werden. Verfügbar für iOS und Android, unkompliziert zu verwalten und innerhalb von nur 10 Minuten aufgesetzt, ist ESET Secure Authentication die perfekte Lösung für Unternehmen jeder Größe.
