Das klingt für mich und mein Systemadministratoren-Team in Zeiten immer neuer Schlagzeilen über Cyberattacken unglaublich. Denn mit einer solchen Passphrase laden Sie Cyberkriminelle geradezu ein, in Ihr IT-Netzwerk einzudringen. Die Angabe basiert auf einer im November 2024 veröffentlichten Studie der Universität Bonn in Kooperation mit dem Start-up Identico. Die Sicherheitsexperten haben dafür Millionen gestohlener Zugangsdaten ausgewertet, die im abgelaufenen Jahr in Onlinebörsen eingestellt worden sind. Cyberkriminelle treiben im digitalen Untergrund, dem Darknet, schwunghaften Handel mit solchen Daten.
Weil die Abnehmer aus der Cybercrime-Szene damit weitere Straftaten begehen wollen. Sind sie einmal in ein System beziehungsweise ein IT-Netzwerk eingedrungen, so haben Sie eine Vielzahl von Möglichkeiten. Sie könnten beispielsweise Ihren Mailserver dazu missbrauchen, um Phishing-Mails an weitere arglose Nutzende zu versenden. Sie könnten sensible Daten wie Log-ins für Online-Konten abgreifen. Sie könnten einen Trojaner installieren, der ihre Aktivitäten am Computer automatisch an Server von Kriminellen schickt, die damit weiteres Unwesen treibt. Oder sie starten einen Ransomware-Angriff: Eine Schadsoftware verschlüsselt sämtliche Daten. Erst gegen Lösegeld auf ein anonymes Krypto-Konto sollen Sie wieder Zugriff erhalten. Immer öfter lesen wir auch von staatlich gelenkten oder unterstützten professionellen Akteuren, die Unternehmen oder Behörden ausspionieren wollen.
Nein! Das jüngste Bundeslagebild Cybercrime des Bundeskriminalamtes vermeldet einen erschreckenden Cybercrime-Zuwachs. Vor allem Straftäter aus dem Ausland haben laut BKA bei Angriffen auf IT-Infrastrukturen in Deutschland Hochkonjunktur: Die Anzahl dem BKA bekannt gewordener Vorfälle ist 2023 um 28 Prozent auf 140 285 Straftaten gestiegen. Das lag über der Zahl der vom Inland aus erfolgten Cybervergehen (134 407 Delikte). „Stark betroffen“ waren laut BKA auch leicht verwundbare kleine und mittelständische Unternehmen (KMU).
Weil Sie sich anders als Konzerne keine spezialisierte IT-Security-Abteilung leisten können oder wollen. Das wissen auch Cybergangster. Wie raffiniert sie nach schwächeren Gliedern in der Kette suchen, offenbarte auch eine Studie des IT-Sicherheitsunternehmens Semperis. Danach erfolgen die meisten Ransomware-Angriffe an Wochenenden und Feiertagen sowie im Umfeld von Unternehmens-Events. Weil die Verbrecher dann davon ausgehen, dass die EDV-Sicherheit personell dünner besetzt ist. Gehen Sie davon aus: Irgendwo im World Wide Web lauern tückische Angreifer, die auf menschliche Schwächen bauen und viele von ihnen kennen.
In Kürze und ohne Anspruch auf Vollständigkeit: Bitte nutzen Sie kryptische Passwörter. Nutzen Sie am besten einen Passwortmanager, der automatisch schwer zu knackende Passphrasen vergibt und verschlüsselt speichert. Dieser Passwortmanager ist durch ein Master-Kennwort geschützt – das sollte natürlich nicht „123456“ lauten! Nutzen Sie nie ein und dieselbe Phrase für mehrere Dienste.
Und verwenden Sie, wo möglich, die Multi-Faktor-Authentifizierung (MFA). Diese sendet zum Beispiel einen temporären Code an Ihr Handy. Selbst wenn ein Angreifer ihre Login-Daten erbeutet hätte, könnte er damit nicht einloggen, weil ihm die Authentifizierung über das weitere Gerät fehlt! Machen Sie Ihr Passwort nie auf einem Zettel für andere sichtbar! Einen ersten Anhaltspunkt, ob Sie möglicherweise gehacked worden sind, bietet das einfach zu bedienende Portal www.haveibeenpwned.com. Alternative ist ein Portal des Hasso-Plattner-Instituts: https://sec.hpi.de/ilc/?lang=de. Die Bedienung ist selbsterklärend.
Für private und gewerbliche Nutzende gilt: Sorgen Sie für Firewalls und aktuellen Virenschutz, spielen Sie System- und Sicherheits-Updates zeitnah auf. Konsultieren Sie umgehend EDV-Fachleute, wenn Sie ungewöhnliche Aktivitäten auf Ihrem Computer bemerken. Gut beraten ist, wer hier schon einen verlässlichen Systembetreuer kennt. Schon in störungsfreien Zeiten sollten Sie Ihre Systemlandschaft über einen Penetrationstest auf Widerstandsfähigkeit gegen Angriffe und illegale Eindringlinge checken lassen. Sensibilisieren Sie Ihre Mitarbeitenden für den kritischen Umgang mit Phishing und Social Engineering. Etablieren Sie Notfallpläne, damit im Fall einer EDV-Katastrophe jeder und jede weiß, was zu tun und wer anzusprechen ist.
Dafür sollten Sie eine verlässliche Backup-Infrastruktur haben. Sie haben bereits ein solches System? Haben Sie getestet, ob die Wiederherstellung auch funktioniert? Backup-Tests sind wichtig, weil nach Erfahrungen des Datensicherungs-Unternehmens Veeam Software Group gut jeder zweite Wiederherstellungsversuch (Restore) scheitert.