Schwache Administrator-Passwörter für über 7 Prozent aller kritischen Sicherheitslücken verantwortlich
München, 22. September 2016 – Dass Endnutzer gerne einfache Passwörter wie “1234”oder “Passwort” verwenden, ist eine bekannte Tatsache. Untersuchungen des Sicherheitsunternehmens Trustwave zeigen, dass auch viele Systemadministratoren gerne zu einfachen Passwörtern greifen. Mit fatalen Folgen für das jeweilige Unternehmen. Denn egal, wie gut die Unternehmens-Netzwerke abgesichert sind: Ein schwaches Admin-Kennwort kann blitzschnell geknackt werden und ist somit das perfekte Einfalltor für Cyberkriminelle.
Untersuchungen von Trustwave im Gobal Security Report 2016 zeigen, dass schwache Administrator- Passwörter in über 7 Prozent aller Fälle für kritische Schwachstellen in der Unternehmens-IT verantwortlich sind. In vielen Fällen werden diese Schwachstellen von Cyberkriminellen ausgenutzt und führen zu eklatanten Sicherheitsverletzungen und zum Diebstahl wichtiger Unternehmensdaten.
Der Aufwand, ein schwaches Passwort durch ein starkes zu ersetzen, ist gering. Ähnlich gering ist übrigens auch der Aufwand für Hacker, ein kurzes und einfaches Admin-Passwort zu knacken. Laut den Experten des Trustwave SpiderLabs, einem Team aus Forschern und ethischen Hackern, lassen sich Passwörter mit acht Zeichen mit der Brute-Force-Methode in weniger als einem Tag knacken – oft reichen dafür schon wenige Stunden aus.
Je mehr Zeichen ein Passwort hat, desto größer wird der Aufwand, es zu knacken. Für ein 10-Zeichen-Passwort erhöht sich der Zeitaufwand zum Beispiel auf ein Hundertfaches, noch länger dauert es, wenn ein Passwort aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht.
Auch Satzphrasen eignen sich gut als Passwörter und sind einfach zu merken. Allerdings sollten einige Buchstaben gegen Zahlen und Sonderzeichen ausgetauscht werden.
Wichtig ist es auch, Passwörter regelmäßig zu ändern. Spätestens alle 60 bis 90 Tage sollten Administratoren die Passwörter ändern – und dabei natürlich niemals dasselbe Passwort für unterschiedliche Konten verwenden.
In vielen Unternehmen lassen sich die vom Administrator vergebenen Passwörter auch von Mitarbeitern ändern, beispielsweise um zu gewährleisten, dass der Administrator keinen Zugriff auf die Mailkonten hat. Die Implementierung von Richtlinien für Kennwörter ist deshalb unabdingbar.
Ebenso wichtig ist es, mit Hilfe von sogenannten Passwort-Audit-Tools die Sicherheit der im Netzwerk verwendeten Passwörter zu überprüfen. Diese Tools analysieren alle Passwörter und zeigen detailliert an, welche davon einem Hackerangriff nicht standhalten würden.
Bei Konten mit sehr kritischen Unternehmensdaten sollte grundsätzlich eine Zwei-Faktor-Authentifizierung durchgeführt werden. Zugriff auf ein Konto ist dann nur durch Eingabe eines Passworts und zum Beispiel einem Token oder einem Code, der ans Telefon gesendet wird, möglich.
Den kompletten Trustwave Global Security Report 2016 können Sie hier kostenfrei herunterladen:
