News | IT-Security | Tipps

Twitter und Zoom führen Liste der größten Passwort-Sünder 2020 an

Auch Experian, Nintendo und Marriott erscheinen in der fünften Auflage des Rankings.

Dashlane, ein Anbieter von Passwort- und Online-Identitätsverwaltungsdiensten, veröffentlichte bereits die fünfte Ausgabe der größten Passwort-Sünder des Jahres. In diesem Jahr hebt die Liste besonders Unternehmen und Organisationen hervor, die die größten Sicherheitsverstöße durch schwache oder unzureichend gesicherte Passwörter hatten.

Während der Pandemie wurden soziale Netzwerke immer wichtiger, um in Verbindung zu Freunden und Familie zu bleiben. Doch Angestellte und Nutzer von Twitter und Zoom wurden durch die Verwendung von schwachen Passwörtern Opfer von Cyberangriffen. Und nicht nur Twitter und Zoom fielen Hacks zum Opfer, auch Unternehmen aus der Welt des Reisens oder der Spiele sind auf dieser Liste vertreten.

Die Liste der größten Passwort-Sünder dient als jährliche Erinnerung daran, wie einfach es ist, einen Internet-Fauxpas zu begehen. Die Daten zeigen, dass der durchschnittliche Internetnutzer über 200 digitale Konten hat, die Passwörter erfordern, eine Zahl, die sich in den nächsten fünf Jahren voraussichtlich auf circa 400 verdoppeln wird.

»Nur weil ein größerer Teil unseres Lebens nun online stattfindet, heißt das nicht, dass die digitale Welt auch sicherer geworden ist. Jeder muss nach wie vor sichere und einmalige Passwörter verwenden und gängige Praktiken der Cybersicherheit umsetzten«, sagt Jay-Leaf Clark, IT-Leiter von Dashlane. »Die Verwendung eines Passwortmanagers, um Ihre Informationen sicher zu halten – egal, ob es sich um eine Einzelperson oder ein Unternehmen handelt – wird dazu beitragen, es Kriminellen im Internet schwer zu machen.«

»Passwort-Sünder« von 2020 – beginnend mit dem schlimmsten Sünder:

 

  1. Twitter: Im Juli fielen einige Twitter-Mitarbeiter auf den ältesten Trick der Welt rein: Phishing. Die Attacke wurde von einem 17-jährigen Schüler aus Florida orchestriert. Die Angestellten setzten ihre Passwörter auf einer Dummy-Seite zurück und teilten dem Schüler so ihre Anmeldeinformationen mit. Zudem konnte der Angreifer Multifaktor-Authentifizierungscodes extrahieren und erlangte so Zugang zu 130 verifizierten Accounts. Darunter die von Barack Obama, Elon Musk, Bill Gates und Joe Biden und postete in ihren Namen Bitcoin-Scams. Twitter versuchte schnellstmöglich herauszufinden, wie der Breach zustande kam und lies alle Mitarbeiter ihre Passwörter händisch ändern.

 

  1. Zoom: Anfang des Jahres mussten plötzlich mehr Menschen, denn je von zuhause aus arbeiten und waren so vermehrt auf Video-Dienste, wie zum Beispiel Zoom angewiesen – eine tolle Gelegenheit für Hacker. Im April wurden eine halbe Millionen Zoom-Zugangsdaten im Dark Web zum Verkauf angeboten. Cyberkriminelle hatten sich durch verschiedene Methoden Zugang zu diesen verschafft, darunter Credential Stuffing und Bots.

 

  1. Easyjet: Die günstigen Preise der britischen Airline EasyJet warteten mit versteckten Kosten auf: gestohlene Daten ihrer Kunden. Ein Cyberangriff erbeutete neun Millionen E-Mail-Adressen und Reisepläne, sowie über 2.000 Kreditkarten-Daten. Noch schräger: EasyJet sagte dem britischen Sender BBC, dass sie von dem Hack bereits im Januar wussten, dennoch informierten sie betroffene Kunden erst im April.

 

  1. Experian: Der Wiederholungstäter unter den Passwortsündern, und das größte Kreditunternehmen der Welt erlebte einen massiven Breach ihrer Daten in der südafrikanischen Niederlassung. Die Angestellten vielen auf einen Betrüger herein, der sich als Kunde ausgab und gaben an ihn persönliche Daten Dritter weiter. Der dadurch ausgelöste Angriff betraf circa 24 Millionen Südafrikaner und 800.000 Unternehmen.

 

  1. Marriot: Starwood, die Muttergesellschaft des Marriott-Megakonzerns, erholte sich immer noch von einer Datenpanne aus dem Jahr 2018, als 5,2 Millionen Marriott-Gäste einem Hack im Januar zum Opfer fielen. Der Übeltäter? Kompromittierte Anmeldedaten von Marriott-Mitarbeitern.

 

  1. Nintendo: Während des Lockdowns nahm auch der Verkauf von Spielekonsolen zu, doch wer zu den Nutzern der Switch zählte, erlebte eine böse Überraschung. 300.000 Konten wurden durch nicht autorisierte Logins kompromittiert. Wie genau die Hacker Zugang zu den Konten erlangten ist nicht geklärt, fest steht jedoch, dass Zugänge mit schwachen Passwörtern besonders betroffen waren.

 

  1. Zoosk: Beim Dating ist es wichtig etwas über sich preiszugeben – das bedeutet jedoch nicht, dass man sensible persönliche Daten anschließend zum Verkauf im Dark Web wiederfinden möchte. Zoosk, eine Online-Dating-Plattform, fiel im Mai einer Cyberattacke zum Opfer, bei welcher über 200 Millionen Datensätze, einschließlich persönlicher Daten wie Geschlecht und Geburtsdatum, kompromittiert wurden.

 

 

Antivirus, VPN und Passwortschutz – Brauche ich das?

 

Der Monat der Cybersicherheit ist der richtige Moment, um über Mythen aufzuklären.


Das Internet hat vielen Internet-Nutzern ermöglicht, besser durch die Pandemie zu kommen. In diesem Jahr ist »das Netz« in einem nie gekannten Ausmaß zum wichtigsten Raum für menschliche Interaktion geworden – sei es für die Arbeit, die Schule oder die Freizeit. Doch die Pandemie hat im gleichen Zuge auch Hackern neue Möglichkeiten eröffnet. Angefangen hat es im März mit einer Vervielfachung von Corona-bezogenen Scams und Phishing-Angriffen. Und in einer internationalen Umfrage der Verbraucherauskunftei TransUnion gab schon im Juli fast ein Drittel der Befragten an, Ziel eines Online-Betrugsversuchs mit Bezug auf Corona geworden zu sein.

Somit kommt der »Europäische Aktionsmonat der Cyber-Sicherheit«, der im Oktober 2020 begangen wird, gerade zur rechten Zeit. Mit dieser Kampagne möchte die Europäische Union die Cybersicherheit fördern, aktuelle Informationen zur Online-Sicherheit bereitstellen und den Austausch bewährter Schutzverfahren erreichen. Was hat uns dieses besondere Jahr über Cybersicherheit gelehrt? Liviu Arsene, Leitender Bedrohungsanalyst beim Security-Spezialisten Bitdefender: »Eine Lektion aus der Corona-Pandemie ist, dass Hacker unsere Abhängigkeit von digitalen Hilfsmitteln und die damit verbundenen Hoffnungen, Ängste und Angewohnheiten gezielt ausnutzen. Sie nutzen auch aus, dass immer noch viele Mythen im Umlauf sind. Der Cybersecurity-Monat ermuntert jeden von uns, in unserem Umfeld an der Aufklärung dieser Mythen mitzuhelfen.« Bitdefender hat die wichtigsten Mythen zusammengestellt und rückt sie zurecht:

Mythos eins: Virenschutz ist ein Relikt der Vergangenheit.
Richtig ist: Ein Virenschutz, wie er noch vor wenigen Jahren gebräuchlich war, würde heute nicht mehr schützen. Was heute landläufig immer noch schlicht als »Antivirus« bezeichnet wird, hat sich in den meisten Fällen längst zu einer vielschichtigen Sicherheits-Suite weiterentwickelt, die nicht nur gegen bekannte und unbekannte Malware, sondern auch gegen Hacks, dateilose Angriffe oder Datenklau wirkt. Eine leistungsstarke Sicherheitslösung ist somit für jedes vernetzte Gerät ein Muss. Ein einziges ungeschütztes Gerät im Netzwerk ist eine offene Tür zu allen anderen Geräten – egal ob zuhause oder bei der Arbeit. Auch deshalb schützen die meisten Sicherheits-Suiten heute mehr als nur ein Gerät oder eine Geräteklasse. Wer seine Sicherheitslösung auf jedem Gerät im Haushalt einsetzt, kann sich viel Ärger ersparen.

 

Mythos zwei: Was ich durch ein Passwort schütze, ist sicher.
Richtig ist: Ein Passwort ist besser als kein Passwort. Aber schon ein zu schwach gewähltes Passwort kann das Leben eines Menschen auf den Kopf stellen. Ein Hacker kann mit digitalen Werkzeugen simple Passworte in kurzer Zeit knacken. Und dann kann er mit dem E-Mail-Konto, mit dem Bankkonto oder mit persönlichen Dokumenten machen, was er will. Anwender sollten lange, komplexe, einzigartige Passwörter, nutzen. Dann wird der Aufwand für den Hacker zu groß und er wird in den meisten Fällen aufgeben. Noch besser ist es, Zweifaktorauthentifizierung (2FA) zu aktivieren, wo immer diese Option besteht. Wenn möglich, sollte eine App die 2FA-Codes erzeugen, statt dass man sie sich per SMS schicken lässt. 2FA sichert zum Beispiel Online-Banking, selbst wenn Unbefugte an einen Benutzernamen samt richtigem Passwort gelangt sein sollten.

 

Mythos drei: Ein VPN bringt meiner Privatsphäre nichts.
Richtig ist: Doch, es bringt eine Menge. Man kann sich ruhig bewusst machen, was ein VPN schützt und was nicht. Klar: Ein VPN verhindert nicht, dass ein Anwender persönliche Daten aktiv freigibt, zum Beispiel, wenn er eine Webseite oder Google eingeloggt verwendet. Es schützt auch nicht gegen Cookies oder andere automatische Downloads. Aber das VPN, das in vielen Sicherheitslösungen als Zusatzfunktion enthalten ist, verschlüsselt den Internet-Datenverkehr und leitet ihn über zufällige, über die ganze Welt verteilte Knotenpunkte. Es verschleiert so die IP-Adresse des Anwenders. Das schützt durchaus vor der Massendatensammlung, die sowohl legitime Internet-Anbieter als auch Hacker betreiben. Ein VPN ist zudem in öffentlichen WLANs ein Muss: Denn nur, wer die Kommunikation des Endgeräts verschlüsselt, schützt diese vor halbseidenen Benutzern, die sich zufällig oder geplant im selben Netzwerk befinden. Weiß man nicht ganz genau, wer ein WLAN betreibt, sollte man unbedingt das VPN aktivieren, bevor man irgendetwas darin über diese Verbindung tut.

 

Mythos vier: Mich wird schon kein Cyberangriff treffen.
Dieser Mythos scheint über allen anderen zu stehen. Er ist spätestens seit den Ransomware-Attacken des letzten Jahrzehnts widerlegt, als viele Privatanwender ihre Daten verloren oder zurückkaufen mussten, und er wird von Monat zu Monat weniger plausibel. Es braucht keinerlei Voraussetzungen mehr, um Opfer zu werden. Nicht einmal die, dass man selbst das Internet oder digitale Geräte nutzt, denn unsere persönlichen Daten liegen längst auch bei Unternehmen oder Behörden auf vernetzten Geräten. Berichten zufolge wird einer von vier Menschen irgendwann einmal Opfer einer Datenpanne. Wer das Internet aktiv nutzt, kann durch einen unüberlegten Klick oder eine gut gestellte Falle zum Opfer werden. Doch man braucht keinen Fehler zu begehen: Es kann schon reichen, sich bei einem Online-Dienst angemeldet zu haben, der zu einem späteren Zeitpunkt gehackt wird.

Liviu Arsene, meint: »Aufgeklärte Verbraucher, die eine Security-Software, ein VPN sowie starke Passworte nutzen, tun viel dafür, unsere Gesellschaft sicherer vor den Gefahren zu machen, die im Internet drohen.« Die ECSM-Kampagne wird von der Agentur der Europäischen Union für Computer- und Netzsicherheit (ENISA) und der Europäischen Kommission koordiniert und von den EU-Mitgliedstaaten und Hunderten von Partnern aus Europa und darüber hinaus unterstützt

 

 

 

 

Zur Startseite →

← Zurück