25. April 2025

6 Wege, wie Passwörter gestohlen werden können…

…und wie passwortlose Lösungen dies verhindern können. [...]

keyboard_fingerprint_by_KrisPixabay — Foto: Kris/Pixabay

Passwörter stellen inzwischen keinen Sicherheitsgarant mehr dar, sondern zunehmend eine Bedrohung. Warum? Weil laut dem 2023 Data Breach Investigations Report von Verizon 86 Prozent aller im Report verzeichneten Sicherheitsverletzungen auf gestohlene, schwache oder veraltete Passwörter zurückzuführen sind. Bei 74 Prozent dieser Sicherheitsverletzungen ist zudem menschliches Versagen ein wichtiger Aspekt, sprich es handelte sich beispielsweise um Social Engineering-Angriffe.

Generell steht Angreifern eine ganze Reihe an Ansätzen zur Kompromittierung von Passwörtern zur Verfügung. Einige davon existieren schon seit Jahren, aber insbesondere der Einsatz von generativer KI hat die Entwicklung neuer Angriffsmethoden begünstigt:

Social Engineering und Phishing

Social Engineering- und Phishing-Ansätze funktionieren, indem Nutzer mittels gefälschter E-Mails, Websites, Textnachrichten oder Telefonanrufe dazu gebracht werden, ihre Passwörter freiwillig preiszugeben. Diese gefälschten Nachrichten von legitimen zu unterscheiden, wird zunehmend schwierig.

Beispielsweise geben sich Angreifer gegenüber den Mitarbeitern eines Unternehmens als deren Führungskräfte aus, um sie davon zu überzeugen, den Anweisungen in den gefälschten Nachrichten ohne große Rückfragen Folge zu leisten und zum Beispiel geistiges Eigentum und andere vertrauliche Unternehmensdaten preiszugeben.

Brute Force-Angriffe

Bei einem Brute Force-Angriff testen Angreifer systematisch alle möglichen Passwortvarianten, bis sie die richtige gefunden haben. Mit heute verfügbaren Tools und Softwareapplikationen, darunter solche, die generative KI nutzen, können geschickte Angreifer in kurzer Zeit Milliarden von Varianten und Kombinationen testen – besonders schwache Passwörter sind so schnell geknackt.

Credential Stuffing-Angriffe

Bei diesem Ansatz setzen Angreifer darauf, dass Nutzer ihre Passwörter für mehrere Konten wiederverwenden. Mit einmal gestohlenen Anmeldedaten können sich Angreifer also Zugang zu vielen verschiedenen Konten verschaffen.

MFA-Prompt Bombing

(den Nutzer mit Anfragen bombardieren): Nicht einmal die Multi-Faktor-Authentifizierung (MFA) ist ein perfekter Sicherheitsgarant gegen Angriffe. Bei einer der raffiniertesten Angriffsmethoden der vergangenen Jahre, die ebenfalls auf dem Social Engineering-Prinzip basiert, senden Angreifer eine Schwemme an gefälschten MFA-Push-Benachrichtigungen an Endgeräte, bis ein unaufmerksamer Nutzer eine davon bestätigt und dem Angreifer so Zugang gewährt.

Malware

Es gibt verschiedene Arten von Malware, die speziell für den Diebstahl von Anmeldedaten sowie anderen vertraulichen Informationen entwickelt wurden. Eine dieser Varianten sind Keylogger (oder “Tastatur-Spione”), mit der ein Angreifer die Tastenanschläge auf einem Endgerät aufzeichnen und so eine Passworteingabe replizieren kann.

Andere Varianten können beispielsweise Zwischenablagen und -speicher auf vertrauliche Informationen überwachen und an den Angreifer senden. Eine weitere Möglichkeit sind Credential Harvester, die direkt auf Webseiten oder in Anwendungen installiert werden und dort den Anmeldevorgang und die dafür notwendigen Daten aufzeichnen.

Generative KI

Angreifer nutzen zunehmend auch generative KI, um automatisiert Passwörter zu knacken und neue Malware noch schneller und effizienter zu entwickeln. So lassen sich noch raffiniertere und gezieltere Phishing-Angriffe durchführen, die weitaus überzeugender wirken als je zuvor.

Zudem können mithilfe von generativer KI sogenannte „Deep Fakes“ erstellt werden, die beispielsweise zuvor entwendete reale Daten wie Steuer- oder Sozialversicherungsnummern mit gefälschten persönlichen Informationen kombinieren, um eine komplett neue, fiktive Identität zu schaffen.

Diese gefälschten Identitäten können dann verwendet werden, um beispielsweise Kredite oder Kreditkarten zu beantragen, Konten zu eröffnen oder Anträge auf Sozialleistungen oder medizinische Versorgung zu stellen.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen

Inhalt entsperren Erforderlichen Service akzeptieren und Inhalte entsperren

Passwortlose Lösungen sind die Zukunft

Es gibt verschiedene Ansätze, um den Diebstahl von Passwörtern zu erschweren, aber die einzige Möglichkeit ihn komplett zu verhindern, ist die Abschaffung von Passwörtern. Eine passwortlose Authentifizierung minimiert nicht nur die Angriffsrisiken, die auf der Nutzung von Anmeldedaten basieren, sondern steigert in Unternehmen auch die Mitarbeiterproduktivität sowie die Kundenzufriedenheit, indem der Zugang zu Systemen und Dienstleistungen vereinfacht wird.

Das Ergebnis: Ein sichereres Unternehmen mit zufriedeneren Nutzern und weniger Zeit- und Kostenaufwand für den Support.

Weitere Informationen zu passwortloser Authentifizierung erhalten Sie hier.

Heinz-Peter Gahleitner, Leiter der Abteilung Branchenlösungen und Prokurist bei der PROGRAMMIERFABRIK (c) PROGRAMMIERFABRIK

PROGRAMMIERFABRIK verleiht Heinz-Peter Gahleitner die Prokura

25. April 2025 pi/cb

Seit 1987 arbeitet Heinz-Peter Gahleitner im Bereich Support und Entwicklung einer Individual-Software für österreichische Lagerhausgenossenschaften. […]

Die beiden Sprecherinnen von Women@DSAG: (links) Franziska Niebauer, Beraterin für SAP IS-H bei der Helios Kliniken GmbH, und Anna Hartmann, Geschäftsführerin der in4MD Service GmbH (c) Bild links: Helios Kliniken GmbH; Bild rechts: www.AndreasLander.de

Chancengleichheit der Geschlechter – überbewertet oder wichtiger denn je?

25. April 2025 pi/kdl

In den USA schaffen Großkonzerne auf Geheiß Donald Trumps ihre Diversitätsprogramme ab. Auch in Europa folgen Unternehmen dem „Anti-Woke-Kurs“. Die DSAG nahm dies zum Anlass, bei den Mitgliedern des Frauennetzwerks Women@DSAG nachzufragen, wie es derzeit um die Chancengleichheit der Geschlechter im Job steht. 139 Frauen aus Deutschland, Österreich und der Schweiz nahmen an der Umfrage teil. […]

In Großbritannien etwa nutzten Ende 2024 rund 50 Prozent der Erwachsenen digitale Erstbanken, Tendenz steigend. (c) Pexels

Unbricking the Wall: Neue Wege der Software-Governance in Großbanken

25. April 2025 Wolfgang Franz

Trotz erheblicher Investitionen in DevOps und CI/CD stoßen viele Banken bei der Softwarebereitstellung immer noch auf ein zentrales Hindernis: manuelle Governance-Prozesse. Diese bremsen nicht nur die Innovationsgeschwindigkeit, sondern bergen auch Compliance-Risiken. ITWelt.at hat sich eine aktuelle Kosli-Studie zu diesem Thema angesehen. […]

"Sammlung allerhand auserlesener Reponsorum […]", Johann Hieronymus Hermann, 1736 (c) Österreichische Nationalbibliothek

Kulturpool – digitalisiertes Kulturerbe

25. April 2025 pi/kdl

Einer der Vorteile der Digitalisierung ist, dass Kulturgüter zunehmend auch in digitalisierter Version für alle online zugänglich vorliegen. So versammelt das zentrale Suchportal für digitalisiertes Kulturerbe in Österreich, Kulturpool, 1,6 Millionen Objekten, darunter historische Handschriften, Bücher, Kunstwerke und vieles mehr. Einer der Hauptbeiträger von Kulturpool ist die Österreichische Nationalbibliothek. […]

IT ist nicht gleich IT-Security: Warum eine fachlich überschätzte IT-Abteilung zum Problem wird

25. April 2025

Selbst eine leistungsfähige IT-Abteilung mit qualifizierten Fachkräften deckt oft nicht automatisch den hochspezialisierten Bereich der Cybersicherheit ab. Fehlen spezifisches Knowhow und gezielte Ressourcen im Bereich IT-Security sind Unternehmen trotz starker IT-Infrastruktur anfällig für Cyberangriffe. […]

Unternehmen trotz verbesserter Schutzmaßnahmen noch immer Opfer von Cyberattacken

25. April 2025

Eine neue Studie von Veeam zeigt, dass die gemessenen Raten an Datenwiederherstellung angesichts fortschrittlicher Cyber-Bedrohungen alarmierend sind. Das unterstreicht den dringenden Bedarf an robusten Strategien für die Ausfallsicherheit von Daten. […]

Camunda veröffentlicht Buch zum Thema Enterprise Process Orchestration

25. April 2025

Camunda-Mitbegründer und Chief Technologist Bernd Rücker hat in Zusammenarbeit mit Principal Practice Strategist Leon Strauch einen praxisorientierten Leitfaden zur Nutzung von Prozessorchestrierung und Automatisierung geschrieben. […]

Cybercrime im Alltag: wie Betrüger analoge Wege nutzen

25. April 2025 Christian Reinhardt *

Der Begriff „Quishing“ – ein Kunstwort aus QR-Code und Phishing – steht exemplarisch für eine neue Form digitaler Täuschung im realen Raum. Cyberkriminelle platzieren dabei täuschend echte QR-Codes in öffentlich zugänglichen Orten, etwa auf Parkautomaten oder in öffentlichen Verkehrsmitteln. […]

YouTube optimal nutzen

25. April 2025 Andreas Fischer *

An der Videoplattform von Google kommt heute fast niemand vorbei. Auf YouTube finden Sie abertausende Videos aus verschiedensten Bereichen. Wir zeigen, wie Sie noch mehr aus der Webseite herausholen und sie optimal nutzen. […]

Be the first to comment

Leave a Reply Antworten abbrechen

…und wie passwortlose Lösungen dies verhindern können. [...]

Social Engineering und Phishing

Brute Force-Angriffe

Credential Stuffing-Angriffe

MFA-Prompt Bombing

Malware

Generative KI

Passwortlose Lösungen sind die Zukunft

Mehr Artikel

Be the first to comment

Leave a Reply Antworten abbrechen