Schluss mit dem Passwort. Bitte!

Das „Passwort“ ist das wahrscheinlich bekannteste Konzept in der Computertechnik überhaupt. Vermutlich wird man nur noch in entlegenen Amazonasgebieten Menschen finden, die mit dem Wort nichts anfangen können. Angeblich wurde es schon zu Cäsars Zeiten als Parole verwendet, damit nicht jeder Hinz und Kunz Zutritt zum eigenen Lager bekam. Allerdings sollte man meinen, dass Passwörter nach ein paar Tausend Jahren durch eine modernisierte Variante abgelöst worden wären. Der Leser weiß: Dem ist nicht so. Nach wie vor gehören Passwörter zum täglichen Computerleben. Und so allgegenwärtig sie sind, so ungeliebt sind sie auch. So weit so schlecht. Aber warum ist das wichtig? Weil viele der zurzeit erfolgreichsten und häufigsten Attacken auf Unternehmen davon leben, dass Passwörter (allein) ein so unsagbar schlechtes Mittel zum Schutz von persönlichen Accounts sind.

Angegriffen wird nämlich nach wie vor gern per Phishing. Sophos beispielsweise veröffentlichte vor ein paar Wochen die Ergebnisse seiner weltweiten Umfrage “The Impossible Puzzle of Cybersecurity”. Die Erhebung bestätigt, dass 53 Prozent aller IT-Verantwortlichen, die insgesamt zugaben, Opfer eines Cyberangriffs geworden zu sein, von einer Phishing-E-Mail getäuscht wurden. Phishing ist In. Es kostet wenig bis nichts und hat wundervolle Erfolgsquoten, vor allem, wenn man nicht einfach nur hirnlos Millionen von Mails herausschießt, sondern etwas raffinierter vorgeht. Mit Whaling beispielsweise, bei dem gezielt Führungskräfte angegriffen werden. Die fallen dann häufig dem darauffolgenden Business-Email Compromise (BEC), auch CEO-Fraud genannt, zum Opfer. Da sind schnell ein paar Hunderttausend Euro weg. Auch heute noch, nachdem wirklich jedes Online- und Offline-Medium darüber berichtet hat.

Der Weg zum Erfolg ist es, Druck aufzubauen und hohe Vertrauenswürdigkeit zu schaffen. Dazu nutzen die Angreifer gern laterale Ausbreitung. Das Konzept laterale Ausbreitung ist etwas, das man normalerweise von Hackern kennt, die zuerst ein recht unwichtiges aber ungeschütztes System im Netz des Opfers kapern und sich von dort über Rechteerhöhungen seitwärts (lateral) durch das Netz fräsen, bis sie die wertvollen Ressourcen eingenommen haben. Laterales Phishing nutzt gekaperte interne Accounts von – zwar unwichtigen – aber im Unternehmen beschäftigten Mitarbeitern, um die E-Mails besonders vertrauenswürdig erscheinen zu lassen. Es ist schließlich eine echte Firmenmailadresse und wenn das Opfer auf „Antworten“ drückt, wird es auch von dieser Adresse eine Antwort bekommen – vom Angreifer zwar, aber immer noch von der richtigen Adresse. Damit greifen auch Verteidigungsmaßnahmen wie die Markierung externer E-Mails ins Leere. Die Mail ist eben nicht extern. Eine aktuelle Studie des Firewall-Herstellers Barracuda in Zusammenarbeit mit Forschern der UC Berkeley und der UC San Diego ergab, dass eines von sieben untersuchten Unternehmen in den letzten sieben Monaten laterale Phishing-Angriffe erlebt hatte.

Und hier führt uns der Weg wieder zurück zum Passwort und warum das Passwort allein heute einfach nicht mehr ausreicht. Firmenmailaccounts sind nur dann einfach zu kompromittierten, wenn sie nur über ein Passwort und keinen zweiten Faktor geschützt waren. Hat der Angreifer das Passwort erbeutet – über Phishing, Social Engineering oder einen anderen Weg, wird das Konto zum Spielball. Wäre ein zweiter Faktor zum Anmelden notwendig, würden Passwortdiebstähle Null-Komma-Nichts bringen.

Viele Firmen setzen heute schon 2-Faktor Authentifizierung ein, meist wenn ein VPN genutzt wird. Aber immer noch verzichten sehr, sehr viele Unternehmen darauf. Aus Kostengründen oder weil das Thema zu komplex ist oder weil sich die Nutzer gegen einen Token am Schlüsselbund sträuben. Dabei sind heute mit Techniken wie Fido2 sehr elegante 2FA-Lösungen möglich. Sie kosten wenig, könnten auch privat genutzt werden und würden eben dafür sorgen, dass das Passwort überflüssig oder zumindest durch einen simplen Code für alle Anwendungen ersetzt werden würde. Es wird höchste Zeit: 53% Phishing-Opfer sind einfach zu viel.