Passwortdiebstahl
Author
Robin Laufenburg, Do, 7. Okt. 2021
in IT-Sicherheit

Passwortdiebstahl

Wie Sie sich vor Passwortdieben & Co. schützen

Jeder kann sich wohl denken, was Passwortdiebstahl ist. Doch was sind Passwortdiebe und wie arbeiten sie? Was sind die Unterschiede zwischen Passwortdiebstahl und Passworthacking? Und wie schützen Sie sich davor?

Diese und weitere Fragen beantworten wir für Sie hier!

Passwortdiebstahl: Was sind Passwortdiebe?

Passwortdiebstahl (auch Kennwortdiebstahl oder Passwort-Stealing) bezeichnet das Aus- oder Mitlesen von digitalen Zugangsdaten wie Kennwörtern oder PINs sowie die darauf folgende Entwendung dieser sensiblen Daten. Hierbei kann es sich um Systemlogins oder Websitelogins handeln, aber auch um weitere Zugangs- und Anmeldedaten.

Beim Passwortdiebstahl werden sogenannte Passwortdiebe (auch Kennwortdiebe oder Password-Stealer) eingesetzt. Sie verbreiten sich meistens mithilfe von Trojanern und gelangen so auf entsprechende Systeme. Meistens nutzen Kriminelle dafür Phishing- oder Spear-Phishing-Attacken.

Potenzielle Opfer bekommen betrügerische E-Mails oder Nachrichten, die meistens erschreckend authentisch wirken. Hierin werden sie aufgefordert, auf Links oder QR-Codes zu klicken oder sich bestimmte Daten aus dem Anhang herunterzuladen. Die Downloads schleusen Passwortdiebe aufs entsprechende System. Diese Art von Phishing ist auch als Passwort-Phishing bekannt. Passwortdiebe gehören zur Spyware. Sie sind darauf ausgelegt, die Passwörter, PINs und andere Zugangsdaten ihrer Opfer zu sammeln und an Cyberkriminelle weiterzugeben.

Passwortdieb

Ein Passwortdieb ist ein Programm, das gezielt versucht, möglichst viele Passwörter zu sammeln. Bild: Pexels/MikhailNilov

Methoden von Passwortdieben

Passwortdiebe können dabei ganz unterschiedliche Methoden einsetzen, mit denen sie an Ihre Passwörter kommen. Zu den bekanntesten Methoden gehören der Passwortdiebstahl mithilfe von

  • Auslesen: Erschreckend oft speichern Personen ihre Passwörter in Excel-Dokumenten oder Textdateien. Passwortdiebe suchen die Systeme ihrer Opfer nach entsprechenden Dateien und Dokumenten durch und leiten erfolgreich gefundene Passwörter direkt weiter.
  • Erraten: Meistens versuchen sich Passwortdiebe erst einmal an gängigen Passwortkombinationen. Dazu gehören unter anderem „Passwort“, „123456@“, „abc123“ oder „qwertz“. Passwortdiebe greifen auf die in einer Liste gespeicherten Passwörter zurück und probieren sie in entsprechenden Anmeldefeldern automatisiert aus.
  • Wörterbuchangriff: Passwortdiebe nutzen Programme, die etliche Passwörter pro Sekunde austesten. Ist ein getestetes Passwort erfolgreich, wird es an die Cyberkriminellen weitergegeben. Entsprechende Programme sind auch fähig, verschiedene Wörter aus Wörterbüchern zu kombinieren und diese als potenzielle Passwörter auszutesten. Wörterbuchangriffe sind eine Brute-Force-Technik.
  • traditionellem Brute-Force-Angriff: Ähnlich wie beim Wörterbuch-Angriff probieren Passwortdiebe beim traditionellen Brute-Force-Angriff unzählige Passwortkombinationen aus, bei denen es sich jedoch um zufällig aneinandergereihte Zahlen- und Buchstabencodes handelt. Während Wörterbuch-Angriffe eher bei einfachen Passwörtern erfolgreich ist, sind gewöhnliche Brute-Force-Angriffe beim Knacken von kryptischen Passwörtern erfolgreicher.
  • Keylogger bzw. Sniffing-Angriff: Die meisten Kennwortdiebe protokollieren Getipptes und versuchen, Passwörter automatisiert herauszufiltern. Viele kopieren aber Anmeldeinformationen auch direkt aus dem Webbrowser oder zeichnen nur das in Anmeldefeldern Getippte auf. Zu den bekanntesten Passwortdieben gehört der Keylogger AgentTesla.
  • Social Hacking: Genau genommen basiert Passwortdiebstahl eigentlich immer auf Social-Hacking. Die Passwortdiebe werden immerhin mittels Passwort-Phishing auf fremde Systeme geschleust. Dennoch können Passwortdiebe ihre Opfer auch direkt auffordern oder überzeugen, die Passwörter freiwillig weiter- oder einzugeben. In dem Fall liegt ein ganzheitlicher Social-Hacking-Angriff vor.

Passwortdiebe können auch mehrere Methoden gleichzeitig nutzen, um an die Passwörter ihrer Opfer zu kommen. Umso komplexer ein Passwortdieb gestaltet ist, desto eher ist er fähig, Passwörter zu knacken.

Passwortdiebstahl vs. Passworthacking

Die Begriffe „Passwortdiebstahl“ und „Passworthack“ werden übrigens meistens synonym verwendet. Dennoch können beide Arten der Passwortentwendung auch voneinander unterschieden werde: Da es für den Passwortdiebstahl auch immer besagte Passwortdiebe braucht, handelt es sich um den Klau konkret erkannter Kennwörter.

Bei einem Passworthack hingegen entwenden Kriminelle ganze, oft maschinell erstellte Listen mit aktuellen Anmeldedaten diverser Benutzer. Ob Ihre Passwörter einer Social-Media-Plattform in der entsprechenden Liste auftauchen, erfahren Sie in der Regel auf der Website „Have I been pwned“. Dort finden sich Hinweise zu so ziemlich allen bekanntermaßen geleakten Benutzerinformationen. Zu den Leaks, die Have I been pwned ausgewertet hat, gehören der Facebook-Datenleck mit über 500 Millionen Opfern und der LinkedIn-Hack mit 700 Millionen gehackten Accounts.

Gefahr durch Passwortdiebe

Passwortdiebe sind eine ernstzunehmende Gefahr für Privatpersonen und Firmen. Bild: Pexels/TimaMiroshnichenko

Gefahr durch Passwortdiebe

Nach Kaspersky-Analyse aus dem Jahr 2020 ist Deutschland europaweit am stärksten vom Passwortdiebstahl betroffen. International belegt Deutschland dicht hinter Russland den zweiten Rang auf der Liste der von Passwortdiebstahl betroffenen Länder. Laut Softwareunternehmen Kaspersky wurden im Jahr 2019 über 150.000 Angriffsversuche von Passwort-Stealern durchgeführt. Das seien doppelt so viele wie in Frankreich oder Italien verzeichnet wurden. Auch sei die Anzahl des versuchten Passwortdiebstahls im Vergleich zum Vorjahr um circa 72 Prozent gestiegen.

Passwortsicherheit ist ein wichtiges und vielschichtiges Thema. Ohne Frage stellen Passwortdiebe eine große Gefahr für Privatpersonen oder Firmen dar. Besonders Kleinunternehmen sind gefährdet, da sie viel zu oft kein professionelles IT-Sicherheitskonzept umgesetzt haben und Passwortdiebe meistens viel zu spät erst enttarnen.

Schutz vor Passwortdiebstahl

Damit Sie umfangreich geschützt sind, bedarf es aber weit mehr als sichere Passwörter. Sowohl Firmennetzwerke mit sämtlichen eingebundenen Geräten, als auch private Computer, Notebooks und Smartphones sollten stets mit vollumfänglichen IT-Sicherheitsmaßnahmen wie einem Antivirenschutz abgesichert sein. Dabei bietet es sich auch an, die Zwei-Fach-Authentifizierung einzurichten. Diese kann die Zugriffsbeschränkung mittels biometrischer Authentifizierung beinhalten.

Wenn Sie Hilfe bei der Umsetzung von IT-Sicherheitsmaßnahmen wie der Einrichtung einer Zwei-Faktor-Authentifizierung benötigen, ist PC-SPEZIALIST in Ihrer Nähe der geeignete Ansprechpartner für Sie. Auch unterstützt sie das kompetente Expertenteam von PC-SPEZIALIST bei der Einrichtung eines Passwort-Managers. Möchten Sie aber erst einmal erfahren, welche Passwort-Manager es gibt, können Sie das in unserem entsprechenden Ratgeber lesen.

Übrigens, haben wir noch einen Tipp, wie Sie sich vor Passwortdiebstahl umfassend schützen: Mit dem Eins-Für-Alles-Paket kümmert sich ein kompetentes Expertenteam um die automatische Installation Ihrer Patches und um die Installation und laufende Betreuung Ihres Antivirenprogramms. Das an Kleinunternehmen gerichtete Patch-Management und der Managed Antivirus sind zentraler Bestandteil des IT-Basisschutzes von PC-SPEZIALIST. Mit dem digitalen Grundschutz geben Sie Ihre IT in die Hände eines kompetenten IT-Experten. Nehmen Sie jetzt Kontakt auf.

_______________________________________________

Weiterführende Links: secion, Kaspersky daily, Passwort Depot, Bundesamt für Sicherheit in der Informationstechnik (BSI)

0 Kommentare

    Schreiben Sie einen Kommentar

    Ihre E-Mail Adresse wird nicht veröffentlicht.