Seien Sie mal ehrlich, gehören Sie auch zu den Personen, die für viele Benutzerkonten das gleiche oder ein ähnliches Passwort verwenden? Plagt Sie deshalb regelmäßig das schlechte Gewissen? Das ist gut so, denn diese Sicherheitslücke kann nicht nur für Sie persönlich riskant sein, sondern auch für ihr Unternehmen, wenn auch dienstlich genutzte Dienste und Systeme betroffen sind.
Eigentlich ist es selbsterklärend, bei der hohen Anzahl an Onlinediensten, die wir nutzen, häufen sich im Laufe der Zeit eine Menge Benutzerkonten: E-Mails, Online Shops, Soziale Medien, Banken und viele mehr. Daher ist es nicht verwunderlich, ja eigentlich nur menschlich, dass wir uns ab einer gewissen Anzahl an Diensten die jeweiligen Zugangsdaten, insbesondere die Passwörter, irgendwann nicht mehr merken können. Viele Benutzer machen sich das Leben deshalb einfacher, indem sie für ihre Benutzerkonten dasselbe Passwort verwenden. Das belegen auch wissenschaftliche Zahlen: rund die Hälfte aller Passwörter wird mehrfach verwendet (vgl. Malderle,T./ Wübbeling, M./Meier, M. 2021: 24). Das haben auch Cyberkriminelle für sich erkannt, weshalb sich in diesem Bereich bereits ein neues Geschäftsfeld herausgebildet hat: Hacker bedienen sich fremder Zugangsdaten und verkaufen diese dann an Betrügerinnen und Betrüger. Die wiederum verwenden diese Daten für kriminelle Aktivitäten weiter.
Der Schaden geht weitaus tiefer als viele zunächst annehmen würden
Wurden die persönlichen Daten erst mal entwendet, können dadurch große finanzielle Schäden entstehen. Zum Beispiel indem die Betrüger auf Kosten der Geschädigten Dinge kaufen oder Dienstleistungen in Anspruch nehmen. Gerade bei Straftaten im Bereich des Zahlungsverkehrs, kann die Bonität von einer Person stark in Mitleidenschaft gezogen werden. Allein solche Konsequenzen sind schon gravierend genug, jedoch werden die immateriellen Schäden oft gar nicht gesehen oder unterschätzt. Der Verlust von persönlichen Daten ist nicht nur mit Stress verbunden, sondern kann auch neue Ängste hervorrufen. Private Fotos könnten veröffentlicht werden oder andere sensible Informationen. Im Fall von Identitätsdiebstahl ist es ebenso möglich, dass Materialien veröffentlicht werden, die eigentlich gar nicht von einem selbst stammen und massive soziale Schäden zur Folge haben.
Ihr Unternehmen kann davon ebenso betroffen sein
Doch oft beschränken sich die Schäden nicht auf den persönlichen Bereich. Bei Fällen von Identitätsdiebstahl kann das eigene Unternehmen in den Betrug mit hineingezogen werden. Zum Beispiel, wenn die private E-Mail-Adresse genutzt wird, um sich bei Webdiensten anzumelden, die für unternehmensinterne Belange genutzt werden. Verfügen die Betrüger erstmal über die persönlichen Daten können sie sich Zugang zu berufliche Korrespondenzen, Unternehmensgeheimnissen oder Kontodaten verschaffen. Gegebenenfalls sind die eigenen Kundinnen und Kunden oder Partnerbetriebe ebenfalls betroffen. Im schlimmsten Fall wird eine ganze Betrugsmaschinerie in Gang gesetzt aus der es kein Entkommen gibt. Denn, die Nachverfolgung der Täterinnen und Täter ist äußert schwierig und rechtlich gibt es in Deutschland kaum Aussichten auf Erfolg.
Gute Sicherheitslösungen müssen weder kompliziert noch teuer sein
Für einen guten IT-Sicherheitsschutz benötigt man nicht zwangsläufig teure und komplizierte Werkzeuge. Die Sensibilisierung der Mitarbeitenden ist dabei essenziell: Zunächst gilt es das Problembewusstsein für Sicherheitsgefahren zu schärfen um aktuelle Bedrohungen grundsätzlich zu erkennen und einschätzen zu können. Wenn man dann weiß womit man es zu tun hat, kann man sich mit Einzelmaßnahmen beschäftigen, die bei sinnvoller Anwendung die Risiken erheblich mindern.
Denn im Fall von Passwortdiebstahl ziehen die Benutzerinnen und Benutzer erst einmal den Kürzeren: Werden Zugangsdaten von einem Onlinedienst unrechtmäßig entwendet, dann liegt es in der Verantwortung der Systembetreiber diese Lücke zu schließen. Persönlich kann man dagegen nichts tun. Was jedoch einen zusätzlichen Schutz bieten kann, ist eine Zwei-Faktor Authentifizierung. Bei dieser Methode werden zwei unterschiedliche Verfahren zur Überprüfung der Identität abgefragt. Hacker müssen dementsprechend noch eine weitere Hürde überwinden, wenn sie an die persönlichen Daten gelangen wollen. Möchte man auf Nummer sicher gehen, gibt es Werkzeuge wie den „Identity Leak Checker“ der Uni Bonn, mit dem sich überprüfen lässt, ob man bereits Opfer eines Datendiebstahls wurde.
Unternehmen, die mehr in das Know-how ihrer Mitarbeitenden und vor allem in eine praktische und umsetzbare IT-Sicherheitsstrategie investieren, sind im Vorteil
Gerade Unternehmen sollten sich nicht nur auf kleinere Einzahlmaßnahmen verlassen, vielmehr benötigen sie eine vernünftige und passende IT-Sicherheitsstrategie, bei der verschiedene Maßnahmen zur Prävention, Detektion und Reaktion miteinander verknüpft werden. Gerade auf der Führungs- und Managementebene muss man sich bewusst sein, wie sich potenzielle Gefährdungen beherrschen lassen, und welche Maßnahmen im Ernstfall durchgeführt werden müssen, um den Schaden möglichst klein zu halten. Dafür braucht es jedoch Unterstützung von Expertinnen und Experten, die ihr Know-how mit einem teilen. Eine Schulung ist daher der beste Schritt, den Unternehmen für sich wählen können.
Profitieren Sie von der Fachexpertise unserer Fraunhofer Experten und Expertinnen. Diese helfen nicht nur bei der Wissensvermittlung, sondern sind ebenso gute Ratgeber. Gemeinsam mit den Fraunhofer FKIE bittet das Lernlabor Cybersicherheit die Schulung „Crashkurs – IT- Sicherheitsstrategie im Unternehmen“ an. In nur 4 Stunden können Sie bei diesem Online-Seminar die Basis legen um Ihr Unternehmen vor den Gefahren durch Cyberangriffe zu schützen. Lesen Sie mehr dazu hier.
Literatur: Malderle,T./ Wübbeling, M./Meier, M. (2021): Riskanter Multi Pass, in: kes. Die Zeitschrift für Informationssicherheit, Jg.37, Nr.3, S.24 -27.
von Pamela Tumba / 2021
Das Lernlabor Cybersicherheit ist ein Weiterbildungsprogramm, in dem Experten und Expertinnen von Fraunhofer und ausgewählten Fachhochschulen aktuellste Erkenntnisse auf dem Gebiet der Cybersicherheit vermitteln. Fach-und Führungskräfte aus Industrie und öffentlicher Verwaltung können so ihre Kompetenzen zu IT-Sicherheit aktualisieren und spezialisieren. An zahlreichen Standorten in Deutschland erhalten Sie eine kompakte Qualifizierung in hochwertigen Laboren. Die Präsenzphasen der Seminare dauern nur ein bis drei Tage und sind mit Online-Angeboten ergänzt, so dass die Kurse berufsbegleitend belegt werden können.