Kennen Sie haveibeenpwned oder den BreachAlarm? Auf diesen Plattformen können Sie anonym prüfen, ob Ihr Account gehackt wurde. Wir zeigen Ihnen am Ende dieses Beitrags, wie das funktioniert. Viel wichtiger sind die Statistiken, die Sie dort einsehen können: Pro Tag werden über 333.000 Passwörter gestohlen – beim größten bisher erfassten Hack erhielten die Angreifer Zugang zu über 500 Millionen Accounts.
Diese Zahlen potenzieren sich, da Nutzer ihre Passwörter für verschiedene Dienste und Webportale mehrfach verwenden. Wie ein US-amerikanischer Journalist, der durch seinen sorglosen Passwortgebrauch seine gesamte digitale Identität aufs Spiel setzte: Erst wurde sein Google-Konto gelöscht, dann sein Twitter-Account missbraucht, und letztlich hackten die Angreifer auch seine Amazon- und Apple-ID-Accounts.

Komplexere längere Passwörter sind keine Lösung

Trotz des großen Risikos sind Passwörter noch immer die meistgenutzte Authentifizierungslösung. Die technischen Standards sind zwar anspruchsvoller geworden: Passwörter müssen aus drei von vier Merkmalen wie Klein- oder Großbuchstaben, Ziffern und Sonderzeichen bestehen sowie mindestens 10 Zeichen lang sein. Für einen Durchschnittsnutzer erfordert es aber eine außerordentliche Gedächtnisleistung, sich für jeden genutzten Service neue Zugangsdaten von dieser Komplexität zu merken. Um im Passwort-Dschungel noch eine Chance auf Nutzbarkeit zu haben, werden die Hälfte aller Passwörter nach denselben Schemata konstruiert:

• Großbuchstabe – 4x Kleinbuchstabe – 2x Ziffer
• Großbuchstabe – 5x Kleinbuchstabe – 2x Ziffer
• Großbuchstabe – 3x Kleinbuchstabe – 4x Ziffer
• Die vorherigen Kombinationen mit angehängtem Ausrufezeichen

Passwörter lassen sich leicht erraten

Die harte Mathematik verdeutlich, dass Angreifer nach diesen Schemata schneller an ihr Ziel kommen, da sie weniger Daten durchprobieren müssen. Bei 8 Zeichen reduziert sich die Anzahl der möglichen Varianten von einer Zahl mit 84 Nullen auf eine Zahl mit 6 Nullen. Noch erschreckender werden die Risikoszenarien, wenn man sich Folgendes vor Augen führt: Ein Angreifer kann in der Regel mit 10 Versuchen pro Passwort 1 Prozent aller Accounts übernehmen. Ohne Rate-Limits und unter Einbeziehung von Informationen aus öffentlich zugänglichen Quellen lassen sich mit 100 Versuchen zwischen 32 bis 73 Prozent der Accounts systematisch „erraten“.

All diese Beispiele machen eines ganz deutlich: Digitale Identitäten, die heute mit Google, Amazon & Co. sowie zahlreichen sensiblen Transaktionen im Online-Banking zum Alltag gehören, lassen sich auf diese Weise nicht ausreichend schützen. Gestohlene oder schwache Passwörter sind inzwischen in 81 Prozent aller Fälle die Ursache für einen Hack. Das ist laut Verizon ein Anstieg um 20 Prozentpunkte im Vergleich zum Vorjahr.

Mehr Sicherheit per Smartphone-Klick

Um die Herausforderung wirklich sicherer digitaler Identitäten und Transaktionen auf lange Sicht und unter Zuhilfenahme der bestehenden Technologie in den Griff zu bekommen, hilft nur die 2-Faktor- (2FA) bzw. Multi-Faktor-Authentifizierung (MFA) wirklich weiter. Denn sie entlastet den Nutzer von der Verantwortung, für die Passwort-Sicherheit zu sorgen, und gewährleistet gleichzeitig, dass wichtige Arbeitsprozesse ohne Unterbrechung weiterlaufen. Mit modernen Konzepten wie Push-Token lassen sich sogar sicherheitskritische digitale Transaktionen und Genehmigungsprozesse nach dem Mehraugenprinzip oder unter Gewährleistung der Nichtabstreitbarkeit umsetzen. Dabei wird automatisch eine Push-Benachrichtigung ausgesendet, wenn ein Nutzer auf geschützten Content zugreifen oder eine Transaktion auslösen will. Die freigebende Person muss dafür nur „OK“ oder „Nicht OK“ auf ihrem Smartphone anklicken – einfacher geht es kaum.

Durch Multi-Faktor-Authentifizierungslösungen wie LinOTP lassen sich auch neue Vorgaben wie die gerade veröffentlichten NIST Guidelines aus den USA, die PSD2-Richtlinie im Zahlungsverkehr von Banken oder die EU-Datenschutz-Grundverordnung nachweisbar umsetzen. Denn mittlerweile betrifft die strengere Datenschutz-Compliance alle Branchen weltweit – sowohl im B2B- als auch im B2C-Bereich. So empfiehlt der Bundesverband IT-Sicherheit e.V. (TeleTrusT) in einer aktuellen Handreichung die Technologie. Und auch viele große weltweite Anbieter wie Google, Apple oder Facebook setzen bereits auf diese Lösungen, um die digitalen Identitäten ihrer Kunden zu schützen.

Wer jetzt nicht handelt, verliert

Die aktuellen Bedrohungen und regulatorischen Anforderungen machen eines ganz klar deutlich: Wo ich früher als CEO, CIO oder CISO noch mit einem blauen Auge davongekommen bin, handele ich heute grob fahrlässig, wenn ich nicht die geeigneten Sicherheitsmaßnahmen durchsetze. Denn laut BSI ist jedes zweite Unternehmen von Cyberangriffen betroffen. Es ist höchste Zeit, das Thema anzugehen, um Kunden- und Unternehmensdaten wirklich zu schützen.

Apropos Datenverluste: Ich hatte am Anfang des Beitrags noch Informationen zu haveibeenpawned und BreachAlarm versprochen. Sie können sich im Falle eines Missbrauchs direkt über https://haveibeenpwned.com benachrichtigen lassen. Oder Sie gehen alternativ auf unseren KeyIdentity-Blog und finden heraus, wie Sie sich durch MFA-Lösungen schützen können.