Gefährdung durch Kennwort-DiebstahlPasswortlose Lösungen reduzieren die Angriffsfläche
21. September 2023Passwörter stellen inzwischen keinen Sicherheitsgarant mehr dar, sondern zunehmend eine Bedrohung. Laut der Aussagen des 2023 Data Breach Investigations Report von Verizon sind 86 Prozent aller im Report verzeichneten Sicherheitsverletzungen auf gestohlene, schwache oder veraltete Passwörter zurückzuführen. Bei 74 Prozent dieser Sicherheitsverletzungen ist zudem menschliches Versagen ein wichtiger Aspekt, sprich es handelte sich beispielsweise um Social Engineering-Angriffe.
Generell steht Angreifern eine ganze Reihe an Ansätzen zur Kompromittierung von Passwörtern zur Verfügung. Einige davon existieren schon seit Jahren, aber insbesondere der Einsatz von generativer KI hat die Entwicklung neuer Angriffsmethoden begünstigt:
- Social Engineering und Phishing: Social Engineering- und Phishing-Ansätze funktionieren, indem Nutzer mittels gefälschter E-Mails, Websites, Textnachrichten oder Telefonanrufe dazu gebracht werden, ihre Passwörter freiwillig preiszugeben. Diese gefälschten Nachrichten von legitimen zu unterscheiden, wird zunehmend schwierig. Beispielsweise geben sich Angreifer gegenüber den Mitarbeitern eines Unternehmens als deren Führungskräfte aus, um sie davon zu überzeugen, den Anweisungen in den gefälschten Nachrichten ohne große Rückfragen Folge zu leisten und zum Beispiel geistiges Eigentum und andere vertrauliche Unternehmensdaten preiszugeben.
- Brute Force-Angriffe: Bei einem Brute Force-Angriff testen Angreifer systematisch alle möglichen Passwortvarianten, bis sie die richtige gefunden haben. Mit heute verfügbaren Tools und Softwareapplikationen, darunter solche, die generative KI nutzen, können geschickte Angreifer in kurzer Zeit Milliarden von Varianten und Kombinationen testen – besonders schwache Passwörter sind so schnell geknackt.
- Credential Stuffing-Angriffe: Bei diesem Ansatz setzen Angreifer darauf, dass Nutzer ihre Passwörter für mehrere Konten wiederverwenden. Mit einmal gestohlenen Anmeldedaten können sich Angreifer also Zugang zu vielen verschiedenen Konten verschaffen.
- MFA-Prompt Bombing (den Nutzer mit Anfragen bombardieren): Nicht einmal die Multi-Faktor-Authentifizierung (MFA) ist ein perfekter Sicherheitsgarant gegen Angriffe. Bei einer der raffiniertesten Angriffsmethoden der vergangenen Jahre, die ebenfalls auf dem Social Engineering-Prinzip basiert, senden Angreifer eine Schwemme an gefälschten MFA-Push-Benachrichtigungen an Endgeräte, bis ein unaufmerksamer Nutzer eine davon bestätigt und dem Angreifer so Zugang gewährt.
- Malware: Es gibt verschiedene Arten von Malware, die speziell für den Diebstahl von Anmeldedaten sowie anderen vertraulichen Informationen entwickelt wurden. Eine dieser Varianten sind Keylogger (oder “Tastatur-Spione”), mit der ein Angreifer die Tastenanschläge auf einem Endgerät aufzeichnen und so eine Passworteingabe replizieren kann. Andere Varianten können beispielsweise Zwischenablagen und -speicher auf vertrauliche Informationen überwachen und an den Angreifer senden. Eine weitere Möglichkeit sind Credential Harvester, die direkt auf Webseiten oder in Anwendungen installiert werden und dort den Anmeldevorgang und die dafür notwendigen Daten aufzeichnen.
- Generative KI: Angreifer nutzen zunehmend auch generative KI, um automatisiert Passwörter zu knacken und neue Malware noch schneller und effizienter zu entwickeln. So lassen sich noch raffiniertere und gezieltere Phishing-Angriffe durchführen, die weitaus überzeugender wirken als je zuvor. Zudem können mithilfe von generativer KI sogenannte „Deep Fakes“ erstellt werden, die beispielsweise zuvor entwendete reale Daten wie Steuer- oder Sozialversicherungsnummern mit gefälschten persönlichen Informationen kombinieren, um eine komplett neue, fiktive Identität zu schaffen. Diese gefälschten Identitäten können dann verwendet werden, um beispielsweise Kredite oder Kreditkarten zu beantragen, Konten zu eröffnen oder Anträge auf Sozialleistungen oder medizinische Versorgung zu stellen.
Passwortlose Lösungen sind die Zukunft
Es gibt verschiedene Ansätze, um den Diebstahl von Passwörtern zu erschweren, aber die einzige Möglichkeit ihn komplett zu verhindern, ist die Abschaffung von Passwörtern. Eine passwortlose Authentifizierung minimiert nicht nur die Angriffsrisiken, die auf der Nutzung von Anmeldedaten basieren, sondern steigert in Unternehmen auch die Mitarbeiterproduktivität sowie die Kundenzufriedenheit, indem der Zugang zu Systemen und Dienstleistungen vereinfacht wird. Das Ergebnis: Ein sichereres Unternehmen mit zufriedeneren Nutzern und weniger Zeit- und Kostenaufwand für den Support.