Quelle: Home Security Heroes (c)
Die Herausforderungen rund um die IT-Sicherheit sind nur deshalb so spannend, weil sie stetig durch neue Technologien angefeuert werden. Die Krux daran: Sowohl die Verteidiger als auch die Angreifer bedienen sich oft derselben Innovationen und Technologien. Seit Jahren geht es darum, wer das Katz- und Maus-Spiel besser, schneller und effizienter beherrscht. Da der Fortschritt rasend schnell voranschreitet, gibt es keine Ruhepause – weder für diejenigen, die Schutzlösungen entwickeln und bereitstellen noch für diejenigen, die diesen Lösungen einsetzen. Dies gilt auch für die Passwortverwaltung. Während verantwortungsvolle Unternehmen sichere Passwörter im Einsatz haben, Daten auf einem sehr hohen Sicherheitsniveau verschlüsseln und für die Verwaltung und Bereitstellung ihrer Passwörter auf zuverlässige Softwarelösungen setzen, ist ein neues Schreckgespenst am Horizont aufgetaucht: die künstliche Intelligenz (KI).
Nun kann man sich in der in der aufgeheizten Stimmung vortrefflich darüber streiten, ab welchem technischen Stadium etwas als KI bezeichnet werden soll oder ob in bestimmten Fällen nicht doch eher eine vergleichsweise schlichte Automation als KI bezeichnet wird. Eines aber ist Fakt: Die großen Gruppen der Cyberkriminellen sind in der Lage und haben die nötigen Ressourcen, sich echter KI für ihre Machenschaften zu bedienen. Und leider wird es den Cyberkriminellen leicht gemacht, wenn die Unternehmen keine geeigneten Gegenmaßnahmen treffen.
KI-Passwort-Cracking
KI-Techniken zum Knacken von Passwörtern werden immer ausgefeilter. Für das Passwort-Cracking verwenden Cyberkriminelle Programme, die Variationen häufig verwendeter Passwörter analysieren und alle möglichen Kombinationen austesten – so lange, bis sie ein Passwort erfolgreich knacken, der sogenannte Brute-Force-Angriff. Mit KI-Technologien kann dieses Vorgehen beschleunigt und aus Sicht der Cyberkriminellen sogar perfektioniert werden.
Ein Bericht von Home Security Heroes zeigt, dass KI in der Lage ist, vor allem schlechte Passwörter leicht zu knacken [1]. Dies ist ein hohes Sicherheitsrisiko insbesondere für die Unternehmen, die keine sicheren Passwörter für ihre Konten verwenden. In dem Bericht wurde ein KI-gestütztes Tool zum Knacken von Passwörtern namens PassGAN an mehr als 15 Millionen häufig verwendeten beziehungsweise schlechten Passwörtern getestet. Die Resultate: 51 Prozent der Passwörter können in weniger als einer Minute geknackt werden, 65 Prozent in einer Stunde, 71 Prozent in einem Tag und 81 Prozent innerhalb eines Monats.
Passwortsicherheit auf hohem Niveau
Dieses Risiko lässt Unternehmen keine Wahl: Sie müssen ihre Passwörter im Griff haben und bestmöglich schützen – mit geeigneten Mitteln. Dazu gehört insbesondere der Einsatz eines professionellen Passwortmanagers beziehungsweise eine Privilleged Access-Management (PAM)-Lösung. Diese Lösungen generieren für jeden Zugang sichere Passwörter, die als eine der besten Schutzmöglichkeiten gelten – insbesondere wenn sie mit zusätzlichen Schutzmechanismen, wie der Zwei-Faktor-Authentifizierung (2FA), kombiniert werden.
Ein Beispiel: Bei einem Brute-Force-Angriff wird KI eingesetzt, um verschiedene Passwortkombinationen automatisch zu identifizieren. Diese Methode ist besonders effektiv bei schwachen oder kurzen Passwörtern. Mithilfe von KI können Cyberkriminelle in kürzester Zeit eine riesige Anzahl von Passwortkombinationen durchspielen und so die Geschwindigkeit für das Knacken der Passwörter drastisch erhöhen. Laut den Ergebnissen der Home Security Heroes wäre ein einfaches Passwort wie »123456« aufgrund seiner geringen Komplexität mit KI-gestützter Brute-Force-Technik extrem schnell geknackt. Für ein Passwort mit 16 Zeichen, das Zahlen, Groß- und Kleinbuchstaben sowie Symbole enthält, bräuchte die KI rechnerisch auch heute noch rund 1 Billion Jahre, bis es geknackt wäre.
Entscheidend ist der praktische Einsatz im Alltag
Die Nutzung von guten und komplexen Passwörtern ist wichtig für die Sicherheit im Unternehmen. Diese Tatsache hat allerdings keinerlei Wirkung, solange das Unternehmen nicht in der Lage ist, diese Passwortrichtlinien zu kontrollieren und durchzusetzen. Kein Mitarbeiter, kein Team, kein Administrator und auch kein Manager darf sich den vorgegebenen Passwortrichtlinien entziehen. Daher ist der Einsatz einer Passwort- oder PAM-Lösung mit einer sehr hohen Anwender-Akzeptanz von höchster Bedeutung. Die Lösung muss einfach in der Handhabung sein – für Anwender und Administratoren gleichermaßen. Darüber hinaus muss sich die Passwortlösung in den Arbeitsalltag nahtlos integrieren – etwa mit der Unterstützung kollaborativer Arbeitsumgebungen, in denen ganze Teams bestimmte Zugangsdaten teilen. Und die Lösung muss dem Zero-Trust- und Zero-Knowledge-Prinzip befolgen, bei dem selbst der Technologieanbieter absolut keinen Zugang zu den Passwörtern und Daten hat.
Ein Beispiel einer konsequenten Umsetzung dieser Passwortsicherheit ist die St. Anna Kinderkrebsforschung in Wien. Das Kinderkrebsforschungsinstitut hat die Passwortmanagement-Lösung von Keeper implementiert und gewährleistet damit die Sicherheit seiner digitalen Zugangsdaten. Durch die Verwendung gemeinsamer Ordner und dank One-Time-Share-Funktion können die Teams der Kinderkrebsforschung problemlos zusammenarbeiten und die erforderlichen Anmeldedaten kollaborativ nutzen, ohne die Sicherheit zu gefährden.
Ein weiteres wichtiges Feature einer Passwortmanagementlösung ist sowohl für Anwender als auch für Administratoren die automatische Warnung bei schlechten Passwörtern sowie ein Alarm, falls ein Passwort geknackt wurde. Der BreachWatch von Keeper Password Manager prüft zum Beispiel ständig ob die Anmeldedaten des Teams im Dark Web auftauchen. Wenn sie im Dark Web gefunden werden, benachrichtigt die Lösung sofort die Administratoren damit entsprechende Maßnahmen ergriffen werden.
Fazit
Die Gefahr, dass Passwörter mittels KI durch Cyberkriminelle geknackt werden, ist zwar vorhanden, kann aber auf ein überschaubares Ausmaß reduziert werden. Solange Unternehmen strenge Richtlinien für sichere Passwörter konsequent durchsetzen und eine sichere Plattform für die Speicherung und das Teilen von Zugangsdaten und Passwörtern nutzen, ist die Hürde für Kriminelle zu hoch – und zu unlukrativ. Das Wichtigste allerdings ist, dass diese Theorie lückenlos in der Praxis umgesetzt wird.
Darren Guccione, CEO und Mitbegründer von Keeper Security
[1] https://www.homesecurityheroes.com/ai-password-cracking/