Nicht einmal Cybersecurity-Unternehmen sind vor "123456" gefeit
In fast allen Cybersicherheits-Unternehmen gibt es Mitarbeiter, die schwache Passwörter verwenden. Eine Immuniweb-Analyse von Listen im Dark Web förderte etwa "123456" oder "passsword" zu Tage.
Die alte Redensart, wonach Schuhmacher die schlechtesten Schuhe tragen, scheint auf die Cybersicherheits-Branche zuzutreffen, oder zumindest auf deren Mitarbeiter. Laut einer Untersuchung des Genfer IT-Sicherheitsunternehmens Immuniweb, ist die Verwendung von schwachen Passwörtern in der Branche nämlich nicht gerade ungewöhnlich.
Mit Hilfe seiner maschinellen Lerntechnologie durchsuchte Immuniweb das Dark Web nach gestohlenen Zugangsdaten von Unternehmen aus der Cybersecurity-Branche. Immuniweb analysierte die Daten von 398 Firmen aus 26 Ländern. Die Ergebnisse zeigen, dass fast die Hälfte der Mitarbeitenden dieser Unternehmen identische Passwörter auf verschiedenen Systemen verwenden. Zudem waren fast ein Drittel dieser Passwörter schwach. Sie waren etwa weniger als 8 Zeichen lang, enthielten keine Grossbuchstaben, Zahlen oder Sonderzeichen.
Mit mehr als 1000 Treffern stehen "password" und "123456" an der Spitze der Liste der am häufigsten verwendeten Passwörter. Auch die sehr schwachen "1234" und "111111" tauchen in der Aufzählung auf.
Geschäftliche E-Mail-Adressen via Pornoseiten abgegriffen
Der Diebstahl von Passwörtern, oder von Zugangsdaten im Allgemeinen, macht fast einen Drittel aller Angriffe aus, denen Cybersicherheitsfirmen in den vergangenen acht Jahren zum Opfer gefallen waren. In der Hälfte dieser Fälle wurden zusätzlich zu den persönlichen Anmeldedaten auch Daten des Unternehmens abgegriffen. Kaum eine Firma blieb von einem derartigen Diebstahl verschont, wie die Untersuchung zeigt. Von den registrierten 631'512 Sicherheitsvorfällen wird das Risiko bei 160'529 als hoch oder kritisch eingestuft. Betroffen waren drei Schweizer Unternehmen und fast 300 aus den USA. Mehr als 5000 geschäftliche E-Mail-Adressen wurden über Porno- oder Datingseiten geleakt.
Weiter untersuchte Immuniweb, inwiefern auf den Websites der 398 untersuchten Unternehmen bekannte Richtlinien eingehalten werden. Das Ergebnis: Zwei Drittel halten sich nicht an den Payment Card Industry Data Security Standard (PCI DSS), der beschreibt, wie Kreditkartentransaktionen im Internet sicher abgewickelt werden. Und die Hälfte der untersuchten Websites erfüllt die Anforderungen der DSGVO nicht.
Wird ein Datendiebstahl bekannt, sind Internetnutzer angehalten, ihre Passwörter zu ändern. Doch laut einer Studie der Carnegie Mellon University befolgt die Anweisung kaum jemand. Und wer es tut, dessen neues Passwort ist meistens nicht stärker als das alte.