Zum Europäischen Datenschutztag: Cyberkriminelle ruhen auch die restlichen 364 Tage nicht. Ein Kommentar von Alexander Koch, VP Sales EMEA bei Yubico.
Am Freitag, den 28. Januar ist es wieder so weit: Europäer werden durch einen dedizierten Tag auf die Gefahren im Internet aufmerksam gemacht. Der Europäische Datenschutztag soll uns die Tatsache ins Bewusstsein rufen, dass wir uns nicht leichtsinnig und ungeschützt im Internet bewegen sollen. Da jeden Tag mehr Wertschöpfung über das Internet stattfindet, ist ein gesundes Maß an Vorsicht auch mehr als angebracht. Denn neben offensichtlich wertvollen Zugängen wie dem Online-Banking-Account sind auch sensible Daten eine gewinnbringende Ware, derer sich die Cyberkriminellen nur allzu gerne ermächtigen würden. Eine digitale Identität, die durch Online-Accounts repräsentiert wird, eröffnet den kriminellen Hackern nämlich vielfältige Möglichkeiten, Profit zu generieren oder sie für unrechtmäßige Zwecke zu missbrauchen.
Hier sind einige der meistgenutzten Angriffstechniken:
Erraten schwacher Passwörter: Jeder, der im Internet unterwegs ist, wird gelegentlich mit der Aufforderung konfrontiert, ein starkes Passwort anlegen zu müssen. Nicht selten benötigt man mehrere Anläufe, bis das System mit der Eingabe zufrieden ist. Was wie eine nervige Schikane empfunden werden könnte, hat jedoch seinen Sinn. Ein zu einfaches Passwort, das beispielsweise aus nur einem kurzen Wort besteht, ist von Cyberkriminellen sehr einfach zu knacken. Ihre Tools sind darauf spezialisiert, alle gängigen Wörter durchzuprobieren, bis sie einen Glückstreffer landen.
Credential-Stuffing: Eine weitere Unsitte ist es, das gleiche Passwort für verschiedene Accounts zu verwenden. Was meist aus Bequemlichkeit passiert, stellt für die Nutzer jedoch ein enormes Risiko dar. Denn Cyberkriminelle bedienen sich häufig in Datenbanken aus dem Darknet, die Abermillionen von Zugangsdaten archiviert haben und sich aus vergangenen Sicherheitslücken und Datenlecks speisen. Oft sind sich die Geschädigten gar nicht bewusst, dass sich ihre Zugangsdaten in solchen Listen wiederfinden. Viele Nutzer ignorieren selbst explizite Warnungen, wenn wieder einmal ein schwerwiegender Leak einer großen Plattform bekanntgeworden ist. Die Aufforderung zur Passwortänderung wird in den Wind geschlagen und kurz darauf wieder vergessen. Ein fataler Fehler, denn auf diese Weise ermöglichen sie den Angreifern den fortlaufenden Missbrauch ihrer digitalen Identität.
Phishing: Eine weitverbreitete und hervorragend skalierbare Methode der Hacker ist das sogenannte Phishing. Gleich einem Kutter, werfen sie ihr großes Fangnetz aus und warten darauf, dass unachtsame Menschen ihnen ins Netz gehen. Als Fangnetz dienen häufig betrügerische E-Mails, meist mit Links zu schädlichen Seiten. Einmal draufgeklickt, landet das Opfer auf einer Seite mit Schadsoftware. Ist der Rechner erst einmal infiziert, laden die Angreifer häufig weitere Malware nach und kompromittieren das Endgerät sowie alle darauf befindlichen Daten und Zugangsinformationen.
Wie kann man sich schützen?
Eine der wirksamsten Methoden, um seine Zugänge vor bösartigen Hackern zu schützen, ist die Absicherung aller Accounts durch multiple Faktoren. Um eine Übernahme von Nutzerkonten auch nach einem Passwortverlust zu gewährleisten, kann man zusätzliche Faktoren zur Identifizierung und Authentifizierung einrichten. Viele Institutionen – wie zum Beispiel Banken – bieten diese Lösung bereits seit einiger Zeit an, um ihre Kunden vor Cyberattacken zu schützen. Hat ein krimineller Hacker erstmal das Passwort in seinen Besitz gebracht, benötigt er trotzdem noch mindestens einen weiteren Faktor, um den Zugang zum Nutzerkonto seines Opfers zu erlangen. Mithilfe eines physischen Hardwaretokens besitzt der Nutzer einen Zusatzfaktor, der unmöglich vom Hacker erbeutet werden kann.
Nicht ohne Grund setzen immer mehr Firmen auf eine physische Authentifizierung, die ihnen größtmögliche Sicherheit bietet. Wer auf Nummer sicher gehen will, prüft vor der Anschaffung, ob das jeweilige Portal die Möglichkeit zur Multifaktor-Authentifizierung ermöglicht. Branchengrößen wie Google, Microsoft oder Facebook sowie die meisten E-Mailportale sind bereits seit vielen Jahren MFA-kompatibel – und jeden Tag stoßen weitere Seiten hinzu.
Wer 365 Tage im Jahr die maximale Sicherheit für seine Online-Zugänge haben möchte, sichert diese mit Multifaktor-Authentifizierung ab.
#Yubico
