Die faule Frucht im Unternehmen

17. Oktober 2019

Kategorien

Die faule Frucht im Unternehmen

Studie “Under the Hoodie“ von Rapid7 zeigt die Gefahr von Passwörtern

von Sascha Salzner, Marketing Manager, APIIDA AG

Der Sommer ist vorüber, und wir sind im Herbst_2019! angekommen. Dieser steht wie jedes Jahr ganz im Zeichen der Ernte. Ob Äpfel, Birnen und Pflaumen, Holunder-, Preisel- oder Brombeeren – alles wird nun gepflückt. Das oberste Gebot bei der Ernte: Faule Früchte dürfen nicht in den Körben landen. Bestimmt achten auch Sie beim Essen darauf, nichts Verdorbenes zu verspeisen – unabhängig von der Jahreszeit. Und diese Vorsicht täte auch anderen Bereichen gut. Zum Beispiel der Anmeldung in Firmensystemen, wenn es um Passwörter und Co. geht.

Studie „Under the Hoodie“ – Die faule Frucht „Passwort“

Vor kurzem hat Rapid7 die neue Studie „Under the Hoodie“ veröffentlicht, die darauf schließen lässt, dass Sie sehr wahrscheinlich nicht so vorsichtig sind und Ihrem Unternehmen damit schaden könnten. Diese im dritten Jahr in Folge erschienene Studie basiert auf Ergebnissen von 180 Penetrationstests, die von September 2018 bis Ende Mai 2019 durchgeführt wurden.Besonders beunruhigend ist das Ergebnis, das die Studie zum Thema „Passwort“ liefert. Eine zentrale Rolle spielt das „Passwortmanagement“. Denn das ist laut Rapid7 selbst für die technisch ausgereiftesten IT-Sicherheitsorganisationen eine große Herausforderung – trotz jahrelanger IT-Sicherheitsschulungen. Die geernteten Früchte sind auch heute noch oft von nicht ausreichender Qualität oder gar gänzlich faul und verdorben. Schließlich berichtet Rapid7 sogar über die effektivsten Methoden, mit denen Hacker Passwörter knacken können.

Die Studie zeigt, dass bei fast 73% der Aufträge zum Erbeuten von Zugangsdaten mindestens ein Passwort offengelegt wird. Bei 60% dieser Fälle fanden die Hacker einfach zu knackende Passwörter vor. Zum Beispiel mittels dem sogenannten „Password Spraying“. Dabei probierten die Hacker schwache oder bekannte Passwörter aus und nutzten bekannte Standardwerte wie die aktuelle Jahreszeit, das aktuelle Jahr, Variationen des Worts „Password“ sowie leicht zu erratende, organisationsspezifische Passwörter. Offline-Passwort-Hacking mit einer sogenannten Hash-Datei war zur Überraschung der Tester die beste Methode zur Erlangung von Benutzer-Anmeldeinformationen. Die Tester stellten zudem fest, dass viele der gecrackten Passwörter mit ein wenig Zeit auch mühelos hätten erraten werden können.

Als eine Ursache gilt, dass das Passwortmanagement in sehr vielen Unternehmen ähnlich aufgebaut ist: Die Passwörter haben einen Groß- und einen Kleinbuchstaben, eine Zahl und ein Sonderzeichen und müssen alle 90 Tage geändert werden. Diese Ist-Situation führt zu einem unsicheren Passwortmanagement, da Mitarbeiter das System austricksen und unabhängig voneinander Muster entwickeln. Ihre Passwörter sind beispielsweise „Sommer2019!“, „Herbst2019!“ und so weiter. Vielleicht haben Sie sich gerade auch selbst erwischt? Nutzen Sie eines dieser Passwörter oder aber Herbst_2019!, über das Sie wahrscheinlich schon zu Beginn dieses Beitrages gestolpert sind?

Neue Wege mit neuen Lösungen

Natürlich geht es längst auch anders. Wir von der APIIDA sind der Meinung, dass Unternehmen den Weg in ein passwortloses Unternehmen wählen sollten. Denn dort wo sich keiner mehr ein Passwort ausdenken und merken muss, wird die Gefahr von Hackerangriffen erheblich eingedämmt und die faulen Früchte automatisch aussortiert. Für diesen Weg haben wir einen passenden Baustein: Die Authentifizierungslösung APIIDA Mobile Authentication. Die Lösung verwendet eine Smartphone-App, die eine direkte, verschlüsselte und sichere Verbindung zu dem Firmenrechner herstellt. Die App benötigt keine Internetverbindung und speichert die Identität sicher und verschlüsselt im Smartphone. Via FaceID oder TouchID findet die sichere Anmeldung am Firmenrechner zu jeder Zeit an jedem Ort statt. APIIDA Mobile Authentication ist mit anderen Worten die reife, gute und einsetzbare (essbare) Frucht für Ihr Unternehmen. Im Herbst 2019 und zu jeder anderen Zeit.

Weitere Informationen zur Studie finden Sie auf www.rapid7.com.