Wochenrückblick des BACS

Recycling ist gut - aber bitte nicht bei Passwörtern

Uhr
von Lia Perbo und msc

Wieso man auf seinen Internetdiensten verschiedene Passwörter benutzen sollte, zeigt ein Beispiel, das dem BACS gemeldet wurde. Demnach haben verschiedene Hackergruppen ein Passwort geklaut und das Opfer gleich mehrfach attackiert.

(Source: Volodymyr Kondriianenko / unsplash.com)
(Source: Volodymyr Kondriianenko / unsplash.com)

Es ist keine grosse Neuigkeit, dass man starke - also komplexe - Passwörter verwenden sollte. Auch, dass man für verschiedene Plattformen verschiedene Passwörter benutzen sollte, dürfte den allermeisten Menschen klar sein. Trotzdem kommt es immer wieder zu Passwortdiebstählen.

Manchmal mit weitreichenden Folgen, wie der jüngste dem Bundesamt für Cybersicherheit (BACS) gemeldete Fall zeigt: Das abgeflossene Passwort einer betroffenen Person wurde gleich mehrfach verwendet, wie das BACS in seinem aktuellen Wochenrückblick schreibt. So wurde es nicht nur zur Drohkulisse in einem Sextortion-E-Mail, also einer Erpressungsmasche mit Nacktbildern - parallel wurden auch diverse Social-Media-Konten der Person übernommen. Doch damit nicht genug: Darauffolgend erhielten Hacker Zugriff auf einen Webshop und schiesslich wurde über das E-Mail-Konto des Opfers auch noch Schadsoftware an alle Kontakte gesendet, wie das BACS mitteilt. 

Das BACS geht davon aus, dass es sich in diesem Fall um unterschiedliche Tätergruppen handelt, die das Passwort auf einschlägigen Foren gefunden haben. Eine Überprüfung der E-Mail-Adresse auf "Have I Been Pwned" durch das BACS bestätigt diese Vermutung. "Have I been Pwned" ist ein Dienst, über den User überprüfen können, ob ein Passwort im Zusammenhang mit einer E-Mail-Adresse abgeflossen ist. 

Passwort-Recycling mit schwerwiegenden Folgen

Dass es Hackern nun gelungen ist, mit dem entwendeten Passwort gleich verschiedene Dienste zu kompromittieren, zeigt auf: Das Opfer verwendete überall dasselbe Passwort. Die verschiedenen Täter hätten unabhängig voneinander und fast gleichzeitig das geklaute Passwort für verschiedene Zwecke verwendet, schreibt das BACS. Der Vorfall zeige, wie wichtig es ist, für jeden Internetdienst ein eigenes Passwort zu verwenden. 

Um nicht in eine ähnliche Situation zu geraten, empfiehlt das BACS, folgende Punkte zu beachten: 

  • Verwendung eines Passwortes mit mindestens 12 Zeichen, bestehend aus Gross- und Kleinbuchstaben, Zahlen und möglichst auch Sonderzeichen.
  • Keine Mehrfachverwendung von Passwörtern.
  • Einsatz von Zwei-Faktor-Authentisierung. Damit wird zusätzlich zum Passwort zum Beispiel ein Zahlencode abgefragt, welcher in einer App ("Authenticator-App") erzeugt und angezeigt wird. Keine Angst: der Aufwand zur Einrichtung ist einmalig und minimal, und in vielen Fällen muss der Code nicht jedes Mal eingegeben werden, sondern nur dann, wenn man sich von einem unbekannten Gerät aus einloggt. Mit einem zweiten Faktor steigt der Aufwand für Angreifer massiv, um das Konto übernehmen zu können.
  • Das Passwort für den E-Mail-Account sollte einzig im Webmail (URL kontrollieren) oder in den E-Mail-Programmen auf PC und Handy eingegeben werden.
  • Kommen Sie keiner Aufforderung nach, das Passwort auf Webseiten einzugeben, die Sie über Links in E-Mails geöffnet haben.
  • Verwenden Sie nach Möglichkeit mehrere E-Mail-Adressen für verschiedene Einsatzzwecke.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

    Webcode
    AtsgcYJw