Anmerkung: Dieser Blogpost wurde für das Modul Enterprise IT (113601a) verfasst.
Einleitung
In der heutigen Zeit, in der die Welt zunehmend digitalisiert wird und persönliche sowie berufliche Informationen vermehrt online gespeichert werden, spielen Passwörter eine zentrale Rolle bei der Benutzer-Authentifizierung. Sie fungieren als primärer Schutzmechanismus gegen unbefugten Zugriff und sind somit ein wesentlicher Bestandteil der IT-Sicherheitsarchitektur. Dennoch steigt die Häufigkeit von Passwortdiebstählen kontinuierlich. 2024 waren laut einer Studie des Digitalverbands Bitkom bis zu 74% der Unternehmen von digitalem Diebstahl betroffen. In mehr als einem Drittel kam es dabei zum Diebstahl von Passwörtern[1] – eine Entwicklung, die Unternehmen vor enorme Herausforderungen stellt und die Notwendigkeit robuster Sicherheitsstrategien deutlich macht. Dieser Blog beschäftigt sich mit Fragen wie: Mit welchen Methoden werden Passwörter gestohlen? Welche Auswirkungen haben Passwortdiebstähle auf die betroffenen Unternehmen? Welche rechtlichen Anforderungen gibt es für Unternehmen und welche Sicherheitsmaßnahmen können sie ergreifen?
Definition und Grundlagen
Was sind Passwortdiebstähle?
Passwortdiebstähle beschreiben den Vorgang, bei dem Angreifer digitale Zugangsdaten wie Kennwörter oder PINs aus- oder mitlesen und anschließend diese sensiblen Daten entwenden.[2] Dabei verwenden sie verschiedene Methoden, um an die Anmeldedaten zu gelangen, die für die Authentifizierung und den Schutz von IT-Systemen notwendig sind und verschaffen sich so unautorisierten Zugang zu vertraulichen Systemen und Daten.
Methoden von Passwortdiebstähle
Um an die Passwörter zu gelangen, setzen Angreifer unterschiedliche Methoden ein. Zu den gängigen gehören zum Beispiel:
- Phishing: Angreifer versuchen über verschiedene Wege, wie zum Beispiel E-Mails und Nachrichten, an persönliche Zugangsdaten wie Passwörter zu gelangen. Dabei geben sie sich häufig als vertrauenswürdige Organisation aus und verleiten das Opfer dazu, auf einen Link zu klicken oder sensible Informationen preiszugeben.[3] Die gestohlenen Daten werden dann für weitere Angriffe genutzt, wie zum Beispiel das Zurücksetzen von Passwörtern oder den Zugang zu Unternehmensnetzwerken.
- Brute-Force-Angriffe: Bei dieser Methode versuchen die Angreifer systematisch zahlreiche Kombinationen aus Benutzernamen und Passwörter aus, um so die korrekten Zugangsdaten zu ermitteln. Für eine Brute-Force-Attacke werden meist Automatisierungstools, Skripte oder Bots eingesetzt, die so lange verschiedene Kombinationen von Benutzernamen und Passwörtern ausprobieren, bis sie den richtigen Zugang finden.[4]
- Keylogger: Hierbei handelt es sich um eine Art von Malware, die unbemerkt installiert wird, um alle Tastatureingaben des Benutzers heimlich aufzuzeichnen und den Angreifern zur Verfügung zu stellen. Dabei werden auch Benutzerzugänge, Passwörter und PINs erfasst.[3]
Große Passwortdiebstähle
Yahoo (2013/2014)
Im Jahr 2013 und 2014 kam es zu zwei massiven Datenlecks bei Yahoo. Bei dem Angriff im Jahr 2013 waren dabei alle 3 Milliarden Nutzer betroffen.[5] Die Angreifer nutzten eine Kombination aus Phishing und gestohlenen Zugangsdaten von Drittanbietern, um Zugriff auf die Datenbank zu erlangen. Dabei wurden Namen, E-Mail-Adressen, Telefonnummern und mit MD5 verschlüsselte Passwörter entwendet. [6] Auch im Jahr 2014 gelang es den Angreifern, Daten von mehr als 500 Millionen Kunden zu stehlen.[7]
Die Auswirkungen auf Yahoo waren gravierend. Das Unternehmen musste den betroffenen Nutzern aus beiden Angriffen insgesamt 117,5 Millionen US-Dollar an Entschädigungen zahlen.[6] Zudem führte die verspätete Offenlegung der Sicherheitsvorfälle zu einer zusätzlichen Strafzahlung von 35 Millionen US-Dollar[6] und der Kaufpreis für Yahoo wurde um 350 Millionen Dollar reduziert.[5]
Zynga (2019)
2019 wurde der Mobile-Game-Hersteller Zynga Opfer eines Hackerangriffs, bei dem insgesamt über 200 Millionen persönliche Daten entwendet wurden.[8] Unter den gestohlenen Informationen befanden sich Namen, E-Mail-Adressen und individuelle Zynga-Konto-IDs. Darüber hinaus erhielt der Angreifer auch den Zugriff auf die zugehörigen Login-IDs und Passwörter. Während bei einem Teil der betroffenen Konten die Passwörter lediglich als Hashes vorlagen – wobei das verwendete Hash-Verfahren nicht im Detail bekannt war und das direkte Knacken erschwerte – wurden sogar auch Klartext-Passwörter von rund 7 Millionen Nutzern gestohlen.[8]
Wie hoch der finanzielle Schaden für das Unternehmen war, ist nicht bekannt.
Konsequenzen von Passwortdiebstählen für Unternehmen
Die oben genannten Beispiele verdeutlichen, dass Passwortdiebstähle Unternehmen mit schwerwiegenden Konsequenzen konfrontieren können. Oft führen derartige Vorfälle zu erheblichen finanziellen Verlusten, da Unternehmen neben den Kosten für die Wiederherstellung kompromittierter Systeme auch beträchtliche Mittel für die Implementierung von fortschrittlichen Sicherheitsmaßnahmen aufwenden müssen, um zukünftigen Angriffen vorzubeugen. Zudem können bei Verstößen, zum Beispiel gegen die Vorgaben der DSGVO, hohe Bußgelder verhängt werden, die sich in manchen Fällen auf Millionenbeträge belaufen. Auch Schadenersatzforderungen können in Folge eines Passwortdiebstahls in erheblichem Ausmaß entstehen, wodurch die finanzielle Belastung weiter zunimmt.[9]
Neben diesen direkten finanziellen Auswirkungen wirken sich Passwortdiebstähle jedoch auch negativ auf das Image eines Unternehmens aus. Der Ruf kann erheblich in Mitleidenschaft gezogen werden, was dazu führt, dass Kunden, Geschäftspartner und Investoren das Vertrauen in die Zuverlässigkeit und Sicherheit des Unternehmens verlieren.[9] Diese Vertrauensverluste können wiederum zu einem Rückgang der Nutzerzahlen führen, was auch einen Rückgang der Einnahmen zur Folge haben kann.
Passwortdiebstähle können Unternehmen wirtschaftlich gefährden – sie verursachen nicht nur kurzfristige finanzielle Belastungen und rechtliche Konsequenzen, sondern können auch das langfristige Vertrauen schädigen.
Rechtliche Anforderungen und Folgen bei Verstößen
Aus regulatorischer Sicht ist es für Unternehmen von zentraler Bedeutung, die rechtlichen Anforderungen im Zusammenhang mit Datenschutz und Datensicherheit zu verstehen und umzusetzen. Besonders im Hinblick auf Passwortdiebstähle und Datenlecks müssen Unternehmen sicherstellen, dass sie den gesetzlichen Vorgaben entsprechen, um mögliche rechtliche Konsequenzen zu vermeiden.
Die Datenschutz-Grundverordnung (DVSGO) der Europäischen Union spielt dabei eine zentrale Rolle, da sie strenge Vorgaben für den Umgang mit personenbezogenen Daten vorgibt. Sie legt fest, unter welchen Bedingungen Unternehmen Daten erheben, verarbeiten und speichern dürfen. Wird der Schutz dieser Daten – etwa infolge eines Passwortdiebstahls – verletzt, sind Unternehmen verpflichtet, den Vorfall gemäß Artikel 33 Absatz 1 DSGVO unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden, der zuständigen Aufsichtsbehörde zu melden. Wird diese Meldepflicht nicht eingehalten, drohen Bußgelder von bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (Art. 13 Abs. 4 DSGVO). [7] Bei schwerwiegenden Vorfällen, bei denen ein erhöhtes Risiko besteht, dass die persönlichen Rechte und Freiheiten natürlicher Personen gefährdet werden, müssen auch die betroffenen Personen unverzüglich informiert werden (Art. 34 Abs. 1 DSGVO).[10]
Zusätzlich zur DSGVO gibt es noch weitere nationale und internationale Datenschutzvorschriften und -gesetze, die für Unternehmen wichtig sind, insbesondere um den datenschutzrechtlichen Anforderungen in verschiedenen Ländern gerecht zu werden und rechtliche Risiken in internationalen Geschäftsbeziehungen zu minimieren. Beispiele hierfür sind:
- BDSG (Bundesdatenschutzgesetz): Das BDSG regelt ergänzend zur DSGVO innerhalb von Deutschland weitere Aspekte des Datenschutzes, wie zum Beispiel die Datenschutzbeauftragten Pflicht (§38 BDSG) und Anforderungen an die Sicherheit der Datenverarbeitung (§64 BDSG).
- CCPA (California Consumer Privacy Act): Der CCPA ist ein Datenschutzgesetz der USA, das darauf abzielt, die personenbezogenen Daten der kalifornischen Einwohner zu schützen. International tätige Unternehmen in Deutschland sollten also auch auf dieses Gesetz achten.[11]
- APPI (Japan’s Personal Information Protection Law): Das APPI legt fest, wie Einzelpersonen und Organisationen – etwa Unternehmen, staatliche Stellen oder gemeinnützige Einrichtungen- mit den personenbezogenen Daten japanischer Bürger umgehen sollen. [12]
Verstoßen Unternehmen gegen Datenschutzbestimmungen, müssen sie mit gravierenden Folgen rechnen. Bei Verstößen gegen die wichtigsten Regelungen der DSGVO können Geldbußen von bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweiten Jahresumsatzes des vorherigen Geschäftsjahres von der zuständigen Aufsichtsbehörde verhängt werden (Art. 83 Abs.5 DSGVO). Neben der Verhängung von Bußgeldern kann ein Datenverstoß auch strafrechtliche Konsequenzen nach sich ziehen.[13] Zudem können betroffene Personen Schadenersatz- und Schmerzensgeldforderungen stellen.[14]
Sicherheitsmaßnahmen für Unternehmen
Unternehmen müssen verschiedene Maßnahmen ergreifen, um sich vor Angriffen zu schützen.
Strenge Passwortrichtlinien
Um die Sicherheit bei der Authentifizierung zu erhöhen, ist es unerlässlich, strenge Passwortrichtlinien zu implementieren. Durch die Festlegung robuster Passwortanforderungen können Unternehmen eine zusätzliche Schutzschicht gegen unbefugten Zugriff und potenzielle Datenverstöße schaffen. Regelmäßige Passwortaktualisierungen tragen zudem maßgeblich zur Absicherung der Systeme bei.[15] Darüber hinaus sollten Unternehmen dringend auf die Zwei-Faktor-Authentifizierung setzen, um die Sicherheit der Mitarbeiterkonten deutlich zu erhöhen. Durch die Nutzung eines zusätzlichen Identifizierungsfaktors wird der Zugriff erheblich geschützt und unbefugte Zugriffe effektiv erschwert.[16] Ergänzend dazu können Password Manager die Sicherheit erhöhen, indem sie die Verwaltung komplexer Passwörter erleichtern und so das Risiko schwacher oder mehrfach genutzter Passwörter minimieren.
Verschlüsslung sensibler Daten
Die Nutzung von Verschlüsselungstechnologien trägt dazu bei, sensible Daten vor unbefugtem Zugriff und Datenlecks zu schützen. Durch den Einsatz starker Verschlüsselungsprotokolle werden vertrauliche Informationen wie Finanzdaten, persönliche Details und geistiges Eigentum in eine unleserliche Form umgewandelt. Somit spielt die Verschlüsselung eine zentrale Rolle bei der Datensicherung.[15]
Regelmäßige Sicherheits-Updates und Patches
Die kontinuierliche Aktualisierung von Software und Systemen ist unerlässlich, um Sicherheitslücken zu schließen, die Schutzmaßnahmen zu optimieren und die Widerstandsfähigkeit gegenüber Cyberangriffen zu erhöhen. Durch regelmäßige Updates verringern Unternehmen effektiv das Risiko von Angriffen, die bekannte Schwachstellen ausnutzen. Zudem verbessert die zeitnahe Installation aktueller Sicherheitspatches und Fixes die Verteidigung gegen fortschreitend komplexe Cyberrisiken.[15]
Schulungen und Sensibilisierung für Mitarbeiter
Die Schulung der Mitarbeiter in den bewährten Sicherheitspraktiken ist entscheidend, um die Abwehr gegen Cyberbedrohungen wie Phishing und Malware zu verbessern. Es ist wichtig, dass die Mitarbeitenden in der Lage sind, verdächtige E-Mails, Links und Anhänge zu identifizieren und ein Bewusstsein für sichere Passwortverwaltung sowie effektive Datensicherheitsmaßnahmen zu entwickeln. Dadurch wird die Sicherheit des Unternehmens nachhaltig gestärkt.[15] Zusätzlich sollte den Mitarbeitenden klar vermittelt werden, welche schwerwiegenden Konsequenzen ein Cyberangriff haben kann – das schärft das Bewusstsein und fördert eine höhere Wachsamkeit.
Wichtige Entwicklungen in der Passwortsicherheit
Passwortlose Authentifizierung
Die passwortlose Authentifizierung verzichtet auf die herkömmliche Verwendung von Passwörtern zur Verifizierung einer Nutzeridentität. Anstelle eines zu erstellenden, zu verwaltenden und zu überprüfenden Passworts werden alternative Faktoren genutzt – etwa biometrische Merkmale, Besitznachweise, kryptographische Schlüssel oder digitale Zertifikate. Dieses Verfahren wird als sicherer und benutzerfreundlicher angesehen als die Verifizierung mit Nutzernamen und Passwort.[17]
Eigenständige Password Manager
Eigenständige Password Manager helfen Nutzern dabei, starke Passwörter zu erstellen, sicher zu speichern und automatisch auszufüllen. Viele dieser Anwendungen unterstützen zudem die Verwaltung von Passkeys, 2FA-Codes sowie weiteren Daten wie Bilder, Dateien und Dokumenten. Darüber hinaus bieten sie oft die Möglichkeit, die Zwei-Faktor-Authentifizierung zu aktivieren, um so den Password Manager vor unbefugtem Zugriff zu schützen.[18]
Verhaltensbasierte Authentifizierung
Verhaltensbasierte Authentifizierung analysiert kontinuierlich Muster wie Mausbewegungen, Tastenanschläge und die Verbindungsdauer, um typische Verhalten eines Nutzers zu erlernen. Abweichungen von diesen Mustern lösen automatische Warnmeldungen aus, die an die zuständige Abteilung sowie an die betroffenen Geräte gesendet werden.[19]
Fazit
Passwortdiebstähle stellen eine ernsthafte Bedrohung für Unternehmen dar, da sie nicht nur finanzielle und rechtliche Konsequenzen nach sich ziehen, sondern auch das Vertrauen der Kunden und Geschäftspartner nachhaltig schädigen können. Die steigende Zahl von Cyberangriffen und die immer raffinierteren Methoden der Angreifer verdeutlichen die Notwendigkeit, umfassende Sicherheitsstrategien zu entwickeln und umzusetzen. Unternehmen müssen nicht nur technische Schutzmaßnahmen wie starke Passwortrichtlinien, Zwei-Faktor-Authentifizierung und Verschlüsselung einführen, sondern auch ihre Mitarbeitenden kontinuierlich schulen und für die Risiken von Cyberangriffen sensibilisieren. Durch die Umsetzung dieser Maßnahmen können Unternehmen das Risiko von Passwortdiebstählen verringen und gleichzeitig ihre Datensicherheit auf lange Sicht gewährleisten. In einer zunehmend vernetzten Welt, in der die Bedeutung von Datenschutz und IT-Sicherheit stetig wächst, ist der Schutz vor Passwortdiebstählen unerlässlich, um die Geschäftsintegrität und das Vertrauen der Kunden zu sichern.
Quellenverzeichnis
[1] Dr. Wintergerst, Ralf (2024). Wirtschaftsschutz 2024. Bitcom.org. Verfügbar unter: https://www.bitkom.org/sites/main/files/2024-08/240828-bitkom-charts-wirtschaftsschutz-cybercrime.pdf (Zugriff am 13.02.2025).
[2] Laufenburg, Robin (2021 in Cybersecurity). Passwortdiebstahl. PCspezialist.de. Verfügbar unter: https://www.pcspezialist.de/blog/2021/10/07/passwortdiebstahl/ (Zugriff am 13.02.2025).
[3] Kebschull, Udo Buch (2023). Computerhacking. Springer Verlag.
[4] Maier, Florian; Swinhoe, Dan (2022). Brute-Force-Angriffe: Was Sie über Hacker-Gewaltakte wissen müssen. Computerwoche.de. Verfügbar unter: https://www.computerwoche.de/article/2797010/was-sie-ueber-hacker-gewaltakte-wissen-muessen.html (Zugriff am 13.02.2025).
[5] Süddeutsche Zeitung (2017). Hackerangriff bei Yahoo traf alle drei Milliarden Konten. Süddeutsche.de. Verfügbar unter: https://www.sueddeutsche.de/wirtschaft/yahoo-hackerangriff-bei-yahoo-traf-alle-drei-milliarden-konten-1.3693671(Zugriff am 16.02.2025).
[6| Bünte, Oliver (2019). Yahoo-Hacks: Yahoo soll noch 117,5 Millionen US-Dollar Entschädigung zahlen. Heise.de.Verfügbar unter: https://www.heise.de/news/Yahoo-Hacks-Yahoo-soll-117-5-Millionen-US-Dollar-als-Entschaedigung-zahlen-4387134.html (Zugriff am 16.02.2025).
[7] Spiegel Netzwelt (2016). Yahoo Mitarbeiter wussten schon 2014 von Hackerangriff. https://www.spiegel.de/netzwelt/web/yahoo-mitarbeiter-wussten-schon-2014-von-hackerangriff-a-1120679.html (Zugriff am 16.02.2025).
[8] Tremmel, Moritz (2019). Datenleck bei Spielerhersteller Zynga. Golem.de. Verfügbar unter: https://www.golem.de/news/mobile-games-datenleck-bei-spielehersteller-zynga-1910-144188.html (Zugriff am 20.02.2025).
[9] Mossmüller, Thomas (o.D.). Datenleck im Unternehmen – so schützt du dich davor. Breakinglabs.com. Verfügbar unter: https://www.breakinlabs.com/datenleck/ (Zugriff am 20.02.2025).
[10] Voigt, Paul; von dem Bussche, Axel (2024). EU-Datenschutz-Grundverordnung (DSGVO) Praktikerhandbuch. 2. Auflage, Springer Verlag.
[11] Usercentrics (2021): CCPA – die neuesten Entwicklungen und was das für europäische Unternehmen bedeutet. Usercentrics.com. Verfügbar unter: https://usercentrics.com/de/knowledge-hub/was-ist-ccpa/ (Zugriff am 21.02.2025)
[12] Kurbjuhn, Claudia (2022): Datenschutz in Japan: Alles, was Sie über APPI wissen müssen. Endpointprotector.de. Verfügbar unter: https://www.endpointprotector.de/blog/datenschutz-in-japan-alles-was-sie-ueber-appi-wissen-muessen/ (Zugriff am 21.02.2025)
[13] Bundesministerium des Innern und der Heimat (2023). Datenschutz-Grundverordnung- Häufig nachgefragt. Bmi.bund.de. Verfügbar unter: https://www.bmi.bund.de/SharedDocs/faqs/DE/themen/it-digitalpolitik/datenschutz/datenschutzgrundvo-liste.html (Zugriff am 21.02.2025).
[14] Lexware (2023): Datenschutz: Das ist für Sie als Unternehmer wichtig. Lexware.de. Verfügbar unter: https://www.lexware.de/wissen/unternehmensfuehrung/datenschutz/ (Zugriff am 24.02.2025).
[15] DataGuard (2024). Informationssicherheit im Unternehmen: Wie Sie Ihre Daten effektiv schützen. Dataguard.de.Verfügbar unter: https://www.dataguard.de/blog/wie-sie-ihre-daten-im-unternehmen-effektiv-schuetzen/#wie-k-nnen-unternehmen-ihre-daten-sch-tzen (Zugriff am 24.02.2025).
[16] Kovinski, Matthew; Forrest, Amber (2023): Was ist die Zwei-Faktor-Authentifizierung? Ibm.com. Verfügbar unter: https://www.ibm.com/de-de/topics/2fa (Zugriff am 24.02.2025)
[17] Luber, Stefan (2024). Was ist Passwortlose Authentifizierung? Security-insider.de. Verfügbar unter: https://www.security-insider.de/passwortlose-authentifizierung-sicherheit-benutzerfreundlichkeit-a-4cb55f62adb48c4341e202ff8f35a3cd/ (Zugriff am 27.02.2025)
[18] Trevino, Aranza (2024). Was ist ein Password Manager? Keepersecurity.com. Verfügbar unter: https://www.keepersecurity.com/blog/de/2024/07/11/what-is-a-password-manager-2/ (Zugriff am 27.02.2025)
[19] Bakos, Zoltan (2020). Verhaltensbasierte biometrische Authentifizierung. Security-insider.de. Verfügbar unter: https://www.security-insider.de/verhaltensbasierte-biometrische-authentifizierung-a-aadc35cb484f34c471be33c50ccbaf5b/ (Zugriff am 27.02.2025)
Leave a Reply
You must be logged in to post a comment.