Passwort-Hacking in KMU ist ein weit verbreitetes Phänomen und eine der wichtigsten Ursachen für die Gefährdung der Cyber Security. Wir erläutern die 10 häufigsten Methoden, die Cyberkriminelle beim Passwort-Hacking verwenden.
Passwörter bieten nur dann Sicherheit vor unerlaubten Zugriffen auf ein IT-System, wenn Angreifer diese nicht entdecken, erraten oder entschlüsseln können. Gelingt es einem Cyberkriminellen, ein Passwort herauszufinden, übernimmt er die Identität des rechtmässigen Nutzers, dringt in die Unternehmens-IT ein und überlistet auf diese Weise sämtliche Massnahmen der Cyber Security. Es entsteht Schaden für das Unternehmen, die Mitarbeitenden oder die Kunden.
Passwort hacken: Mit diesen 10 Methoden greifen Cyberkriminelle KMU an
Methode #1: Abfangen von Passwörtern im Netzwerk
Der Datenverkehr in einem IT-Netzwerk (Wired oder Wireless) wird «abgehört» (Sniffing), um Passwörter auszulesen. Anschliessend wird versucht, mit dem Einsatz von Cracking-Software die Passwörter zu entschlüsseln.
Methode #2: Brute-Force-Attacken
Automatisiertes Ausprobieren von Milliarden von möglichen Zeichenkombinationen mit hoher Geschwindigkeit bis der Zugriff gelingt.
Methode #3: Key Logger
Key Logger verbergen sich oft als Schadsoftware auf einem Computer. Dort registrieren sie die physischen Tastatureingaben und erstellen gleichzeitig Screenshots. So lassen sich die eingegebenen Passwörter identifizieren.
Methode #4: Erraten des Passworts
Manuelles Erraten von möglichem Passwort aufgrund der Vorlieben, persönlichen Daten (z.B. Geburtstag) oder Namen von Familienmitgliedern und Haustieren des Nutzers.
Methode #5: Schulter-Surfing
Die Passwort-Information wird erfasst, indem der Nutzer bei der Eingabe seines Kennwort «über die Schulter» beobachtet wird.
Methode #6: Einfacher Passwort-Diebstahl
Ungesicherte Passwort-Informationen die etwa am oder neben dem Computer auf selbstklebende Notizzettel notiert sind, können gestohlen werden.
Methode #7: Diebstahl von Hash-Dateien
Hash-Dateien sind Datenbanken, in denen die genutzten Passwörter je Nutzer verschlüsselt gespeichert sind. Sie dienen der Identifikation des Nutzers beim Einloggen. Angreifer können versuchen eine Hash-Datei zu stehlen und diese zu entschlüsseln.
Methode #8: Phishing & Social Engineering
Hacker erkunden das persönliche Umfeld ihres Opfers. Anschliessend nutzen sie menschliche Verhaltensweisen aus, um an Passwörter zu gelangen (Social Engineering). Dazu täuschen sie mit gefälschten E-Mails (Phishing) von bekannten Institutionen, Telefonanrufen oder Messenger-Diensten falsche Identitäten vor.
Methode #9: Datenpannen (Data Breaches)
Cyberkriminelle nutzen Passwörter, die bei einer Datenpanne des Unternehmens sichtbar wurden, um in dasselbe oder in andere Systeme einzudringen.
Methode #10: Passwort-Spraying
Bei traditionellen Attacken via Brute Force versuchen Cyberkriminelle, das Passwort eines einzelnen Anwenders zu erraten. Beim Passwort-Spraying ist die Vorgehensweise umgekehrt: ein Angreifer probiert ein oder mehrere oft genutzte einfache Passwörter bei einer Vielzahl von Nutzer-Konten aus, um so Accounts zu identifizieren, die es verwenden. 
Titelbild: Shutterstock
.png){kind=icon}
