2. Dezember 2021 Awareness als Schlüssel: Sicheres Passwort-Management für den Alltag

Studien zeigen – die Awareness rund um das Thema Passwort-Sicherheit ist nach wie vor gering. Warum Sie das Teilen von Passwörtern vermeiden sollten und welche Lösungen es stattdessen gibt, erfahren Sie hier.

Werden Passwörter im Privat- und Berufsleben eingesetzt und mit anderen Personen geteilt, kann das hohe Sicherheitsrisiken bergen. Durch das teilen von Passwörtern mit anderen Personen ist nur mehr sehr schwer oder oftmals auch gar nicht mehr nachvollziehbar, wer zu welchem Zeitpunkt Zugang zu einem geschützten System oder Konto hatte. Ist darüber hinaus das Passwort zu einem geteilten Zugang kompromittiert, sind davon alle Benutzerinnen beziehungsweise Benutzer betroffen. Demzufolge ist in diesem Zusammenhang Awareness ein zentrales Konzept gegen Cyber-Bedrohungen und bezeichnet die Sensibilisierung von Userinnen und Usern in Bezug auf die Sicherheit von Passwörtern. Personen, die unbedacht Passwörter teilen, sind sich der weitreichenden Konsequenzen, etwa verursacht durch Datendiebstahl, oft nicht bewusst.

Je mehr Personen den Zugang zu einem Passwort teilen, desto schneller entzieht sich der Kontrolle, wie die Login-Daten verwendet werden und ob sie am Ende in falsche Hände geraten. Denn es gilt: Die Angriffsfläche nimmt mit jeder weiteren Person, die Zugang zu einem Passwort hat, zu. Wird ferner dasselbe Passwort für unterschiedliche Anwendungen verwendet, sind im schlimmsten Fall alle damit verbundenen Benutzerkonten durch Unbefugte zugänglich und demzufolge kompromittiert. Insbesondere die Weitergabe von Passwörtern über ungesicherte Kanäle wie E-Mail oder unzureichend geschützte Messenger-Dienste birgt Gefahren, da Cyberkriminelle diese via Phishing, oder Malware abgreifen können.

Wenig Awareness bei Passwort Security

Laut einer Studie des „Ponemon Institute“, das sich mit IT- und digitalen Sicherheitsthemen befasst, zeigen sich 63 Prozent der Befragten über die Privatsphäre und Sicherheit ihrer persönlichen Daten beunruhigt. Vor dem Hintergrund steigender Fallzahlen durch Cyber-Angriffe wie Phishing ist diese Entwicklung durchaus nachvollziehbar. Dabei sind die Probleme bis zu einem gewissen Grad hausgemacht. Viele Userinnen und User wählen häufig schwache Passwörter wie „123456“ oder „Passwort1“, die zum Beispiel mittels sogenannter Brute-Force-Attacken (Anm.: Angreiferinnen und Angreifer versuchen durch automatisches Durchprobieren aller möglichen Zeichenkombination Passwörter zu knacken) von Cyberkriminellen schnell und einfach ermittelt werden können. Außerdem verwenden 55 Prozent der Befragten keine Zwei-Faktor-Authentifizierung zum Schutz ihrer beruflichen Konten. Für ihre privaten Zugänge verzichten sogar 67 Prozent auf diese Sicherheitsvorkehrung unter Verwendung unterschiedlicher Authentifizierungsfaktoren. Sind Menschen einmal Opfer eines Cyber-Angriffs geworden, verändern sie ihr Verhalten im Hinblick auf die Passwort-Security außerdem nicht wesentlich, hält die Studie des Ponemon-Instituts zudem fest. So gestehen 57 Prozent der Befragten, die bereits einen Phishing-Angriff erlebt haben, ihren Umgang mit Passwörtern auch nach der Attacke nicht verändert zu haben.

Passwörter nicht teilen

Grundsätzlich gilt es, das Teilen von Passwörtern ausdrücklich sowie weitgehend zu vermeiden. Denn ob ein geteiltes Passwort unautorisiert weitergeleitet oder gar missbräuchlich verwendet wird, kann sich schnell Ihrer Kontrolle entziehen. Dies gilt besonders bei sensiblen Zugangsdaten. Teilen Sie beispielsweise die Zugangsdaten Ihres Mail-Accounts mit anderen Personen, so können sich diese mithilfe der Funktion „Passwort zurücksetzen“ auch Zugang zu ihren anderen Konten verschaffen, sofern diese mit ihrem Mail-Account verknüpft sind. Hier ist also besondere Vorsicht geboten. Außerdem haben Cyberkriminelle ein leichteres Spiel Ihre Daten abzugreifen, wenn Sie diese unverschlüsselt versenden.

Mögliche Gefahren, denen sich Userinnen und User beim Teilen von Passwörtern aussetzen:

• Password Stealer. Nach dem unbeabsichtigten Download dieses Trojaners, werden eingegebene Anmeldedaten unbemerkt abgegriffen und an die Hackerin oder den Hacker übermittelt. Der Password Stealer arbeitet unbemerkt im Hintergrund des Computersystems.
• Phishing. Via E-Mail, SMS oder Fake-Werbung verleiten Cyberkriminelle unter Vortäuschung einer seriösen Anfrage ihre Opfer dazu, bestimmte Kennwörter oder Anmeldedaten preiszugeben.
• Identitätsdiebstahl. Nachdem viele Nutzerinnen und Nutzer ein und dasselbe Passwort für verschiedene Anwendungen verwenden, kann die Kompromittierung eines Benutzerkontos schnell zum Diebstahl der gesamten digitalen Identität führen.
• Credential Stuffing. Gestohlene Kontodaten können in weiterer Folge von Cyberkriminellen für den Versuch, sich auf verschiedenen potenziellen Anwendungen der Userin oder des Users anzumelden, eingesetzt werden.

In verschiedenen Anwendungsbereichen - beispielsweise innerhalb von Familie und Freunden für die Verwendung von Streaming- und Onlinediensten oder auch bei einer Projektarbeit für die Schule - ist das Teilen von Passwörtern trotz vorhandener Sicherheitsbedenken noch immer eine weitverbreitete Praxis. Wer in solchen Fällen ungeachtet aller Risiken Passwörter mit anderen teilen möchte, sollte zumindest auf geeignete Passwort-Management-Tools zurückgreifen, die ein höheres Maß an Sicherheit für das Verwalten von sensiblen Daten bieten. Auch im Unternehmensumfeld lässt sich vermehrt beobachten, dass Zugangsdaten wie etwa Passwörter geteilt werden.

Was tun, wenn Passwort-teilen nicht vermeidbar ist

Manchmal ist das Teilen von Passwörtern nicht vermeidbar. Nämlich dann, wenn mehrere Personen – etwa aus Redundanzgründen – Zugang zu Ressourcen benötigen. Dabei kann es sich etwa um Social-Media-Accounts handeln. Auch das Teilen von Zugangsdaten für die technische Infrastruktur (z.B. Router, Firewall) oder beispielsweise um Zugänge von eCommerce-Plattformen oder Räume von Videokonferenzen für einen erweiterten Personenkreis nutzbar zu machen, lässt sich vermehrt beobachten. Solche Zugänge zu eCommerce-Plattformen können sowohl im Privatumfeld als auch im Unternehmensbereich für notwendige Anschaffungen (etwa für Büromaterial), nämlich zur Verbesserung der Redundanz, geteilt werden.

Mittels sogenannter Passwort-Manager, die auf Passwort-Safes oder Passwort-Vaults setzen, lässt sich das Teilen von Passwörtern bewältigen. Dabei erhalten Personengruppen Zugang zu geteilten Passwort-Vaults. Persönliche Zugänge können zumeist mit dem gleichen Passwort-Manager administriert werden. Es erfolgt jedoch eine Trennung zwischen geteilten Vaults und privaten Vaults, wenn das Teilen von Passwörtern notwendig ist und die damit verbunden Risiken akzeptabel sind.