Cyberbedrohungen
Passwortsicherheit, Teil 2
Angriffe, bei denen sich Täter die Mühe machen, ein konkretes einzelnes Opfer anzugreifen, lohnen sich vor allem bei Unternehmenskonten. Um wachsam bleiben zu können, ist es wichtig, die vielen raffinierten Techniken der Kriminellen zu kennen.
Großflächig angelegte Passwortangriffe dienen dazu, die Zugänge zufällig betroffener User zu erhalten. Es gibt aber auch das Gegenteil: gezielte Angriffe, bei denen sich Täter die Mühe machen, ein konkretes einzelnes Opfer anzugreifen. Solche Attacken finden sehr häufig im Unternehmensumfeld und in der Politik statt. Kriminelle versuchen so beispielsweise die Accounts von hochrangigen Führungskräften herauszufinden und zu knacken – so genanntes „Whaling“, also die Jagd auf den ganz großen Fisch (korrekterweise eigentlich den ganz großen Meeressäuger). Eher seltener sind gezielte Angriffe auf „normale“ Verbraucher zu beobachten – meist nur, wenn diese in Verbindung (Kind, Partner, Freunde) zu interessanten Zielen stehen oder aus persönlichen Motiven wie Hass oder Eifersucht ins Visier der Täter geraten.
Zum Phishen gehen
Auch für zielgerichtete Angriffe gibt es verschiedene Techniken, wobei die einfachste darin besteht, das Opfer nach seinen Zugangsdaten zu fragen. Gemeint sind natürlich Phishing, Vishing, SMishing und Co. Also Mails, Anrufe oder SMS (und ähnliches) mit dem Ziel, das Opfer zu der unbedachten Handlung zu verführen, sein Passwort zu nennen oder auf einer Webseite einzugeben. Phishing-Angriffe erfolgen dann gezielt, wenn die Mail Details zur angeschriebenen Person enthält. So können Anspielungen auf Hobbies, Beruf oder sogar die Referenz zu Freunden und Familie auftauchen, kurzum Daten, die häufig schon nach kurzer Recherche in sozialen Medien zu finden sind.
Im Unternehmenskontext sollte auch eine Kumulierung von „normalen“ Phishing-Angriffen auf die Unternehmensleitung zu erhöhten Vorsichtsmaßnahmen führen. Häufig bedenken Angreifer eine Zielperson erst mit generisch (und damit billig) erstellten Angriffsmails, bevor sie eher aufwendige „Designerware“ bemühen. Tipps & Tricks beim Phishing kommen noch der dritten Folge dieser kleinen Serie.
Gezieltes „Knacken“ von Passwörtern
Diese Methode wird tatsächlich eher selten eingesetzt. Je nachdem wo und wie die Passwörter gespeichert sind, können sie in der Regel nicht einfach ausgelesen werden. Doch auch hier gibt es keine vollständige Sicherheit. Eine Variante, die man im Privatnutzer-Bereich häufig findet, ist der Einsatz spezieller Malware, sogenannter Keylogger. Sind diese auf einem System installiert, schreiben sie einfach alle Tastatureingaben mit. Da Passwörter häufig sehr kryptisch aussehen und meist direkt nach dem Nutzernamen eingegeben werden, können sie in der Aufzeichnung schnell identifiziert werden. Nun müssen die Angreifer nur noch herausfinden, wo das Passwort eingegeben wurde. Aber auch das lässt sich mitloggen.
Eine andere Methode ist „Password Recovery“. Sie kommt zum Einsatz, wenn die Applikation, für die man einen Zugriff möchte, im Fall eines vergessenen Passworts mit „Sicherheitsfragen“ arbeitet. Gefragt wird dann beispielsweise nach dem ersten Haustier, dem Mädchennamen der Mutter oder anderen persönlichen Details, die man sich selbst im Vorfeld aussuchen kann. Die Eingabe ist Freitext – niemand muss hier korrekt antworten. Allerdings sollte sich der Nutzer an die Eingabe erinnern können, weshalb viele Menschen tatsächlich die Wahrheit hinterlegen. Leider sind im Social-Media-Zeitalter solche persönlichen Details, die sonst vermeintlich niemand kennen kann, oftmals gar nicht so schwer herauszufinden. In einem bekannt gewordenen Fall aus dem Jahr 2008 wurde der private Mail-Account der US-Politikerin Sarah Palin deshalb geknackt, weil die Antworten auf die Sicherheitsfragen auf ihrer eigenen, aufwendig gestalteten Homepage nachlesbar waren.
Sonderfall „Kerberoasting“
Eine häufig bei gezielten Angriffen auf Unternehmen eingesetzte Methode ist das sogenannte „Kerberoasting“ – zusammengesetzt aus Kerberos (einem Authentifizierungsmodell) und „roasting“, englisch für „grillen“. Dabei werden die verschlüsselten Authentifizierungsdaten kopiert und offline geknackt. Die Länge der verwendeten Passwörter ist dabei entscheidend für den Aufwand, den Angreifer treiben müssen. Ein Passwort mit einer Länge von acht Zeichen kann mit entsprechenden Technologien innerhalb von Minuten geknackt werden. Ist es deutlich länger (idealerweise mindestens 25 Zeichen) sind entweder Kosten oder Zeitaufwand so hoch, dass es sich für Angreifer in der Regel nicht lohnt. Kerberoasting wird für das Ausspähen von Service-Passwörtern und Administrator-Accounts verwendet und hilft Cyberkriminellen dabei, sich in Unternehmensnetzwerken auszubreiten.
Zentrale Passwort-Manager sichern
Passwort-Manager sind beliebte und sinnvolle Werkzeuge, um mit der Vielzahl unterschiedlicher Zugangsdaten zurecht zu kommen. Es gibt sie als eigenständige Software oder integriert in Applikationen wie Browser oder Security-Tools. Statt sich viele verschiedene Zugänge merken zu müssen, reicht es damit, eine Zugriffsmethode einzurichten. Aber auch hier gilt: Es gibt keine hundertprozentig sichere Technik.
So sollten Sie sich darüber bewusst sein, dass jeder, der Zugriff auf Ihr System hat, alle Applikationen so nutzen kann wie sie selbst. Das macht diese Programme wiederum selbst zu lohnenden Zielen von Angriffen. Ein Passwort-Manager, der nicht mit einem wirklich starken und einzigartigen Passwort sowie einer Multifaktorauthentifizierung abgesichert ist, kann deshalb mehr schaden als nützen.
Dieser Beitrag (wie auch schon frühere) ist zuerst im LANline Security Awareness Newsletter erschienen. Interessenten können sich hier kostenlos für den Newsletter anmelden.