Im eco-Auftrag wurden rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 repräsentativ befragt

[datensicherheit.de, 29.01.2024] Der eco – Verband der Internetwirtschaft e.V. geht in seiner aktuellen Stellungnahme auf eigene Erkenntnisse aus einer eco-Umfrage anlässlich des bevorstehenen „Ändere Dein Passwort“-Tages am 1. Februar 2024 ein: Demnach behält jeder dritte Deutsche (34,4%) Online-Passwörter im Kopf – doch kryptische Passwörter und Zwei-Faktor-Authentifizierung (ZFA) seien besser als häufige Wechsel. Das Meinungsforschungsunternehmen Civey habe im eco-Auftrag rund 2.519 volljährige Bundesbürger zwischen dem 16. und 17. Januar 2024 befragt. Die Ergebnisse seien repräsentativ – der statistische Fehler der Gesamtergebnisse liege bei 3,2 Prozent. Der eco gibt zum „Ändere Dein Passwort“-Tag 2024 drei Tipps für sichere Passwörter.

Foto: eco e.V.

Prof. Norbert Pohlmann warnt vor reinem Passwort-Verfahren: „Die unsicherste Möglichkeit, sich zu authentisieren und ein großes Einfallstor für Ransomware-Angriffe!“

Passwörter sollten laut eco möglichst kryptisch sein – mit Zahlen und Sonderzeichen – und dürften sich nicht wiederholen

Mit der Zahl der Online-Accounts nimmt offensichtlich auch die Zahl der Passwörter zu, die jeder Mensch täglich nutzt. Damit stellt sich laut eco folgende Herausforderung:

Die Passwörter sollten möglichst kryptisch sein – mit Zahlen und Sonderzeichen – und sie dürften sich nicht wiederholen, das heißt bei Dutzenden Benutzerkonten würden auch genausoviele kryptische Passwörter benötigt werden. Sich indes die zahlreichen schwierigen Passwörter für „Social Media“, Mobiltelefon-Apps, Online-Banking, E-Mail, Online-Shops und so weiter zu merken, scheine kaum noch möglich.

Dennoch gebe jeder Dritte Deutsche (34,4%) an, sich die eigenen Passwörter im Kopf zu behalten. So ein Ergebnis einer bevölkerungsrepräsentativen Civey-Umfrage im eco-Auftrag anlässlich des „Ändere Dein Passwort“-Tags 2024. Auf Papier notierten sich 21,8 Prozent der Deutschen ihre Passwörter. 20,2 Prozent nutzten einen Passwort-Manager, also eine Software, um die Speicherung der Passwörter für sie zu übernehmen.

Prof. Norbert Pohlmann, eco-Vorstand IT-Sicherheit, empfiehlt Passwort-Manager

Zu einem Passwort-Manager rät auch Prof. Norbert Pohlmann, eco-Vorstand „IT-Sicherheit“: „Passwort-Manager schlagen sichere Passwörter vor und stellen diese dann auf unterschiedlichen Geräten verschlüsselt zur Verfügung, Nutzerinnen und Nutzer müssen sich nur noch ein Passwort merken.“ Zusätzlich empfiehlt er, wo immer es möglich ist eine ZFA zu aktivieren. Beim Online-Banking sei dies schon lange üblich, doch auch immer mehr Online-Shops und Social-Media-Plattformen böten den Nutzern heute die Chance, beispielsweise mit einem Code per Bestätigungs-SMS-Nachricht als zweitem Faktor das Log-in sicherer zu machen.

Sich alle Passwörter im Kopf zu behalten sei bei der wachsenden Zahl der Online-Accounts ohnehin zunehmend unrealistisch – zu groß die Versuchung, dasselbe Passwort für mehrere Benutzerkonten zu verwenden oder einfache, nicht-kryptische Passwörter zu wählen. Das reine Passwort-Verfahren bezeichnet Professor Pohlmann als „die unsicherste Möglichkeit, sich zu authentisieren und ein großes Einfallstor für Ransomware-Angriffe“.

Auch die Methode, Passwörter auf Papier zu notieren, sieht er sehr kritisch: „Wer seine Passwörter aufschreibt, muss darauf achten, diese Notizen räumlich getrennt von Handy oder Notebook zu verwahren. Das klassische ,Post-it’ mit Passwörtern unter der Tastatur, am Bildschirm oder unter der Handyhülle ist grob fahrlässig und eine Einladung, in die privaten Systeme einzudringen.“

Für sichere Passwörter gibt der eco folgende drei Tipps:

1. Tipp: Tauschen Sie unsichere gegen kryptische Passwörter aus!
„Diese sind acht bis zwölf Zeichen lang, besteht aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen – in willkürlicher Reihenfolge. Überprüfen Sie, ob Ihre wichtigen Online-Passwörter sicher und schwer zu knacken sind – und ändern Sie diese gegebenenfalls heute.“

2. Tipp: Verwenden Sie einen Passwort-Manager, da sichere Passwörter schwer zu merken sind!
„Damit müssen Sie sich nur noch ein Passwort merken, nämlich das zu Ihrem Passwort Manager. Für alle anderen Zwecke generiert die Software starke und einzigartige Passwörter automatisch und speichert diese verschlüsselt ab – lokal auf einem Gerät oder auch online. Das hat den Vorteil, dass man auch mobil und mit verschiedenen Geräten auf die eigenen Passwörter zugreifen kann.“

3. Tipp: Verwenden Sie wenn möglich eine Zwei-Faktor-Authentifizierung!
„Ein zweiter Identifikationsweg, zusätzlich zum Passwort, erhöht die Sicherheit. Diese Zwei-Faktor-Authentifizierung gibt es in zahlreichen Varianten, etwa als Code per SMS, mit einem TAN-Generator etwa beim Online-Banking oder in einer App. Ein starkes Passwort und aktivierte Zwei-Faktor-Authentifizierung schützen sehr wirksam gegen Missbrauch durch Kriminelle.“

Einen Vorschlag, wie sich auch ein komplexes Passwort leicht merken lässt, gibt der eco-Verband zum Abschluss: „Es hilft, sich einen Satz oder eine Phrase auszudenken und daraus die ersten Buchstaben jedes Wortes zu nehmen und es mit Sonderzeichen und Ziffern zu kombinieren. Beispiel: Aus ,Ich wohne in einem gelben Haus und habe zwei Katzen’ könnte IwiegH&h#2K! werden.“

Weitere Informationen zum Thema:

eco
Wie verwalten Sie Ihre privaten Online-Passwörter?

[datensicherheit.de, 16.06.2022] Schwache Passwörter wie „123456“ zählten nach wie vor zu den größten Sicherheitsrisiken für Kontoübernahmen durch Cyber-Kriminelle, warnt Digital Shadows im Zusammenhang mit dem neuen Cyber-Threat-Report „Account Takeover in 2022“ – dieser legt demnach das Ausmaß von weltweit geleakten Logindaten im Zusammenhang mit Kontoübernahmen (Account Take Over / ATO) offen. So seien im Darknet mehr als 24 Milliarden Benutzer-Passwort-Kombinationen im Umlauf. Bezogen auf die Weltbevölkerung entspreche dies „vier exponierten Accounts pro Internet-User“. Die Zahl der gestohlenen und offengelegten Zugangsdaten sei damit seit 2020 um rund 65 Prozent gestiegen.

Account Takeover: 6,7 Milliarden der aufgedeckten Logindaten als „unique“ eingestuft

Die Mehrzahl der exponierten Daten betreffe Privatpersonen sowie Verbraucher und umfasse Benutzernamen sowie Passwörter von diversen Accounts – angefangen bei Bankkonten und Onlinehändlern über Streamingdienste und „Social Media“ bis hin zu Unternehmensportalen. Insgesamt 6,7 Milliarden der aufgedeckten Logindaten seien als „unique“ eingestuft und damit erstmals und einmalig auf einem Marktplatz im Darknet zum Verkauf angeboten worden (2020: 5 Milliarden / +34%).

„Angeboten werden die kompromittierten Logindaten in erster Linie über einschlägige Marktplätze sowie Foren im Darknet. Hier hat das cyber-kriminelle Ökosystem in den letzten zwei Jahren deutlich an Umfang und Professionalität gewonnen.“ Neben geleakten Zugangsdaten, Malware und Cracking-Tools könnten interessierte Kunden auch Abo-Dienste und „Premium Services“ rund um Kontoübernahmen abschließen.

„Allein in den letzten 18 Monaten identifizierten die Analysten von Digital Shadows 6,7 Millionen Vorfälle, in denen Logindaten von Kunden auf diversen Plattformen beworben wurden.“ Dazu gehörten die Benutzernamen und Passwörter von Mitarbeitern, Partnern, Kunden sowie von diversen Servern und IoT-Geräten.

Account Takeover durch fehlende Passwort-Hygiene begünstigt

„Größtes Sicherheitsmanko ist laut Studie nach wie vor eine fehlende Passwort-Hygiene. So verwenden Internet-User weiterhin leicht zu erratende Passwörter (z.B. ,Passwort‘) und simple Zahlenfolgen.“

Fast jedes 200-ste Passwort (0,46%) laute „123456“. Beliebt seien außerdem Kombinationen von auf der Computertastatur nahe beieinander liegenden Buchstaben (z.B. „qwertz“, „1q2w3e“). Von den 50 am häufigsten genutzten Passwörtern ließen sich 49 in weniger als einer Sekunde knacken. Einige der dazu benötigten „Tools“ seien für bereits 50 US-Dollar im Darknet erhältlich.

Selbst durch das Hinzufügen von Sonderzeichen (z.B. „@“, „#“) lasse sich das Hacken von Logindaten nur verzögern, nicht aber unbedingt verhindern. Ein zehnteiliges Passwort mit nur einem Sonderzeichen koste Cyber-Kriminelle laut Digital Shadows durchschnittlich 90 Minuten mehr Zeit. Bei zwei Sonderzeichen benötigten Hacker immerhin zwei Tage und vier Stunden.

Problem kompromittierter Anmeldedaten gerät außer Kontrolle und lädt zum Account Takeover ein

„Die Branche bewegt sich zwar mit großen Schritten auf eine passwortlose Zukunft zu. Im Moment scheint das Problem der kompromittierten Anmeldedaten jedoch außer Kontrolle geraten“, so Chris Morgan, „Senior Cyber Threat Intelligence Analyst“ bei Digital Shadows.

Er führt aus: „Kriminelle verfügen über endlose Listen an geleakten oder gestohlenen Zugangsdaten und können sich über die fehlende Kreativität von Anwendern bei der Wahl ihrer Passwörter freuen. Dadurch lassen sich Konten mithilfe von automatisierten und leicht zu bedienenden Cracking-Tools in wenigen Sekunden übernehmen. Viele der Fälle, die wir im Rahmen unserer Studie untersucht haben, hätten durch die Vergabe eines einmaligen und starken Passworts vermieden werden können.“

Um das Risiko von „Account Takover Fraud“ (ATO) auf ein Minimum zu reduzieren, sollten Unternehmen bestimmte Sicherheitsmaßnahmen implementieren und eine umfassende „Threat Intelligence“ aufbauen.

Beispiele für Sicherheitsmaßnahmen gegen Account Takover Fraud

Passwort-Manager
Diese – verfügbar als App auf einem Telefon, Tablet oder Computer – generierten und speicherten komplizierte Passwörter automatisch und vereinfachten die Handhabung für Mitarbeiter.

Multifaktor-Authentifizierung (MFA)
MFA schaffe eine zusätzliche Sicherheitsebene durch das Hinzufügen eines weiteren Faktors zum Authentifizierungsprozess (z. B. PIN, biometrische Daten, USB-Token).

Authentifizierungs-App
Eine solche generiere alle 30 Sekunden einen neuen sechsstelligen Zufallscode, den der Nutzer zur Authentifizierung eingeben müsse.

Kontinuierliches Monitoring von Zugangsdaten
Das kontinuierliche Monitoring von Zugangsdaten von Mitarbeitern, Kunden und Partnern sowie des Unternehmens- und Markennamens helfe, digitale Bedrohungen frühzeitig zu erkennen.

Automatisierte Tools
Scannen des „Open, Deep und Dark Web“ nach geleakten Daten und Alarmmeldung, wenn diese zum Verkauf angeboten werden.

Sensibilisierung
Ein geschärftes Sicherheitsbewusstsein bei Mitarbeitern sowie klare Passwort-Richtlinien verhinderten, dass Passwörter mehrfach vergeben und unternehmenseigene E-Mails für private Konten genutzt werden.

Weitere Informationen zum Thema:

digital shadows
Account Takeover in 2022
https://resources.digitalshadows.com/whitepapers-and-reports/account-takeover-in-2022

datensicherheit.de, 14.06.2022
Betrug: Kontoübernahmen um 58 Prozent angestiegen / „Jetzt kaufen, später zahlen“ – Boom beflügelt Betrug

Wirkliche Sicherheit könne mit Passwörtern und traditioneller Multi-Faktor-Authentisierung nicht gewährleistet werden

[datensicherheit.de, 25.05.2022] Patrick McBride, „Chief Marketing Officer“ von Beyond Identity, kommentiert das endgültige Inkrafttreten der Datenschutz-Grundverordnung (DSGVO): Mit der DSGVO sei ein einheitlicher Standard geschaffen worden, welcher auf widerstandsfähigen Cyber-Sicherheitspraktiken beruhe und unsere Daten und Privatsphäre schützen solle. „Bei der Umsetzung wird dabei jedoch gerne übersehen, dass ,Privacy‘ und ,Security‘ Hand in Hand gehen, und keine wirkliche Sicherheit gewährleistet werden kann, solange Passwörter und traditionelle MFA im Spiel sind“, sagt McBride.

Foto: Beyond Identity

Patrick McBride: Herkömmliche MFA ist im Grunde genommen nutzlos…

DSGVO macht keine spezifischen Aussagen zur Verwendung von Passwörtern

Die DSGVO mache an sich keine spezifischen Aussagen zur Verwendung von Passwörtern, doch sie verpflichte Unternehmen und Organisationen dazu, personenbezogene Daten durch geeignete technische und organisatorische Maßnahmen sicher zu verarbeiten. Dementsprechend sollten die Generierung und Absicherung von Passwörtern dieser sicheren Verarbeitung angemessen sein. McBride rät: „Unternehmen müssen also prüfen, ob es keine besseren und sichereren Alternativen zur Authentifizierung gibt als Passwörter.“
Dabei herrsche in der Sicherheitsbranche immer noch der Irrglaube, dass Passwörter grundsätzlich Sicherheit bieten könnten, „wenn sie nur lang und komplex genug sind“. McBride betont: „Doch diese Annahme ist einfach nur FALSCH. Um wirklichen Datenschutz zu gewährleisten und die Privatsphäre zu schützen, müssen Regierungen endlich damit anfangen, eine passwort-basierte Authentifizierung in Unternehmern abzuschaffen.“

Nicht nur klassische Passwörter weisen große Sicherheitsmängel auf

Doch nicht nur klassische Passwörter wiesen große Sicherheitsmängel auf, auch andere traditionelle MFA-Faktoren – etwa SMS-Links oder Push-Benachrichtigungen – könnten von Cyber-Kriminellen mithilfe von Standard-Phishing und Man-in-the-Middle-Exploits leicht umgangen werden. „Herkömmliche MFA ist im Grunde genommen nutzlos und wird nie die Sicherheit und Zuverlässigkeit bieten, die sie verspricht.“
Sämtliche Regularien und gesetzliche Vorschriften sollten dieser Tatsache Rechnung tragen und veraltete Passwort- und MFA-Praktiken endlich anpassen. McBride fordert abschließend: „Staatliche Stellen müssen sicherstellen, dass Unternehmen phishing-resistente, passwortlose MFA verwenden, um sensible und kritische Daten wirklich zu schützen.“

Weitere Informationen zum Thema:

datensicherheit.de, 05.05.2022
Passwörter als Sicherheitsrisiko – Experten plädieren zum Wechsel zur passwortlosen Authentifizierung / Statt sich auf eine gute Kennworthygiene zu konzentrieren, sollte der Einsatz der Passwort-Authentifizierung hinterfragt werden

Statt sich auf eine gute Kennworthygiene zu konzentrieren, sollte der Einsatz der Passwort-Authentifizierung hinterfragt werden

[datensicherheit.de, 05.05.2022] Am 5. Mai 2022 jährt sich der „World Password Day“ zum neunten Mal – und das Thema der sicheren Authentifizierung ist offensichtlich so aktuell wie nie. „Denn nach wie vor zählen Passwörter zu den schwerwiegendsten Sicherheitsrisiken für Privatpersonen und Unternehmen. Und mindestens ebenso lange sind IT-Verantwortliche um die Umsetzung und Einhaltung einer effektiven Passwortrichtlinie bemüht“, führt Dirk Decker, „Regional Sales Director DACH“ bei Ping Identity, in seinem aktuellen Kommentar aus. Er betont: „Statt uns darauf zu konzentrieren, eine gute ,Kennworthygiene‘ zu etablieren, könnten wir uns also auch fragen, warum wir überhaupt noch Passwörter verwenden sollten.“

Foto: Ping Identity

Dirk Decker: Drängen Vorgesetzten auf ein häufig zu änderndes Passwort, besteht die Gefahr der späteren Wiederverwendung…

Passwortlose Authentifizierung als sicherere und benutzerfreundlichere Methode

Obwohl man in Unternehmen versucht sei, das Bewusstsein für die Sicherheit von Passwörtern zu schärfen und die Richtlinien zu stärken, verließen sich immer noch zu viele Anwender auf riskante Passwort-Praktiken. Decker erläutert: „Werden diese jedoch von ihren Vorgesetzten dazu gezwungen, komplexe Kennwörter zu wählen oder diese häufiger zu ändern, könnte sich natürlich die Wahrscheinlichkeit erhöhen, dass diese notiert oder für mehrere Konten wiederverwendet werden, so dass sich das Problem verschärft. Müssen Passwörter häufig zurückgesetzt werden, geraten außerdem die Helpdesks unter Beschuss, da sie das erhöhte Ticket-Aufkommen abfedern müssen.“

Vor dem Hintergrund, dass Sicherheitsteams also vor der Herausforderung stünden, einerseits die Unternehmenssicherheit zu verbessern und andererseits Reibungspunkte für den Anwender auszumerzen, stelle die passwortlose Authentifizierung eine sicherere und benutzerfreundlichere Methode dar. „Denn sie gewährleistet, beispielsweise über Push-Benachrichtigungen mit Einlesen eines Fingerabdrucks auf einem dedizierten Gerät, integrierte MDM-Lösungen oder Hardware-Tokens, dass die richtigen Personen aus den richtigen Gründen auf Daten und Anwendungen zugreifen“, so Decker.

Passwort-Verzicht senkt Attraktivität eines Unternehmens für Cyber-Kriminelle

Der weitgehende – oder vollständige – Verzicht auf Passwörter senke die Attraktivität eines Unternehmens für Cyber-Kriminelle, und deren Ersatz durch alternative Sicherheitsfaktoren erschwere es ihnen außerdem, erfolgreiche Angriffe zu lancieren. „Entscheiden sich die Verantwortlichen zusätzlich für fortschrittliche Authentifizierungsmechanismen, wie etwa die Nachverfolgung von Risikosignalen oder die Überprüfung der Vertrauenswürdigkeit von Endgeräten, erhöhen sie die Sicherheit zusätzlich“, unterstreicht Decker.

Nicht vergessen werden sollten auch die positiven Effekte für kundenzentrierte Unternehmen: So ermögliche der Verzicht auf Passwörter ein nahtloses digitales Erlebnis, da Anwender weder Kennwörter erstellen noch verwalten oder zurücksetzen müssten, denn sie könnten sich darauf verlassen, „dass die Transaktionen sicher über bequeme Anmeldemechanismen vonstatten gehen“.

Unternehmen sollten sich auf passwortlose Authentifizierung vorbereiten

In erster Linie erzeugten Veränderungen Misstrauen. Obwohl Passwörter nach wie vor die Angriffsfläche eines Unternehmens erhöhten und es anfällig machten für Datenverletzungen, Diebstahl und Missbrauch von Daten, nicht autorisierte Transaktionen etc., hielten viele aus Gewohnheit oder Misstrauen gegenüber neuen Methoden daran fest.

„Wichtig ist, sich bewusst zu werden, dass Benutzerfreundlichkeit entscheidend dafür ist, ob sich die passwortlose Authentifizierung durchsetzt“, stellt Decker klar. Schließlich sorge ein schlechtes Kundenerlebnis aufgrund komplexer Anmeldeverfahren oder eine zu komplizierte Passwort-Politik für jede Menge Frust, einer missglückten Registrierung, einem abgebrochenen Einkauf oder – schlimmer noch – einer Abwanderung zur Konkurrenz. „Der zunehmende Einsatz und die breite Akzeptanz von QR-Codes, biometrischer Erkennung und kontaktloser Zahlung, insbesondere seit der ,Corona-Pandemie‘, ist ein ideales Sprungbrett für die Etablierung der passwortlosen Authentifizierung“, bilanziert Decker.

Weitere Informationen zum Thema:

datensicherheit.de, 04.05.2022
Kommentar zum Welt-Passwort-Tag 2022: Passwort und PIN veraltete Authentifizierungsmethoden / Simon Marchand empfiehlt biometrische Verfahren anstelle von Passwort-Eingaben

Werner Thalmeier kommentiert Bedeutung der Passwörter und gibt Tipps zum „World Password Day 2022“

[datensicherheit.de, 03.05.2022] Am 5. Mai 2022 ist der diesjährige „World Password Day“. Auch wenn derzeit oft schon von einer passwortlosen Sicherheit die Rede ist – und dem Passwort schon mehrfach ein leises Verschwinden in der Bedeutungslosigkeit prophezeit wurde –, gehören Passwörter sehr wohl noch immer zu den wichtigsten IT-Security-Maßnahmen. Auch Proofpoint-Experte Werner Thalmeier geht in seiner aktuellen Stellungnahme auf den „World Password Day 2022“ ein und hat einige Tipps zur Passwortverwaltung sowie -erstellung parat.

Foto: Proofpoint

Werner Thalmeier: Passwörter sind eine der wichtigsten Maßnahmen, um einen Cyber-Angriff zu vereiteln!

Enormes Risiko: Mehrfach- bzw. Wiederverwendung von Passwörtern

Thalmeier unterstreicht: „Passwörter sind eine der wichtigsten Maßnahmen, um einen Cyber-Angriff zu vereiteln. Einer der häufigsten Fehler, den Menschen machen, ist der Gebrauch derselben Kombination aus Benutzername bzw. E-Mail-Adresse und Kennwort für verschiedene Websites oder Geräte.“

Insbesondere angesichts der zunehmenden Anzahl erfolgreicher Phishing-Kampagnen berge die Wiederverwendung von Kennwörtern ein enormes Risiko. Bei den erwähnten Phishing-Kampagnen würden gefälschte Websites verwendet, welche wie die Anmeldeseite eines legitimen Online-Dienstes aussähen, um Benutzernamen und Passwörter zu stehlen.

Empfehlung, unterschiedliche Passwörter und Multi-Faktor-Authentifizierung zu verwenden!

„Unsere Empfehlung an Verbraucher lautet daher, unterschiedliche Passwörter zu verwenden, speziell, wenn es sich um wichtige Konten etwa bei der Bank oder andere sensible Daten handelt“, so Thalmeier. Ferner sollten möglichst viele Konten mit einer Multi-Faktor-Authentifizierung (MFA) geschützt werden, sofern diese verfügbar ist.

Steht MFA für ein Account nicht zur Verfügung, sollte zumindest ein Passwort-Manager zum Einsatz kommen. Thalmeier erläutert: „Passwort-Manager erstellen zufällige Kennwörter, die sicher gespeichert, verschlüsselt und auf allen persönlichen Geräten zugänglich sind.“ Dadurch entfalle der Aufwand, sich komplizierte Anmeldedaten für verschiedene Websites zu merken.

Schutz durch Passwörter: Auf den Menschen ausgerichteten Sicherheitsansatz verfolgen!

Wenn Wörter als Teil des Passworts verwendet werden, „sollten die Nutzer darauf achten, dass dies keine gebräuchlichen Wörter oder Phrasen, Namen oder Daten sind, die von Angreifern mit einer Person oder dessen Familienmitgliedern in Verbindung gebracht werden können“. Thalmeier empfiehlt ferner: „Außerdem sollten alle Passwörter zweimal im Jahr geändert werden – im geschäftlichen Umfeld sogar alle drei Monate.“

Da 90 Prozent der erfolgreichen Cyber-Angriffe eine menschliche Interaktion erforderten, sei es für Unternehmen wichtig, einen auf den Menschen ausgerichteten Sicherheitsansatz zu verfolgen. „Daher sollte zwingend sichergestellt werden, dass sowohl die Mitarbeiter im Büro als auch die im Außendienst Schulungen und Weiterbildungen zu den besten Methoden erhalten, um Cyber-Sicherheit zu gewährleisten.“ Dazu zählten beispielsweise Trainings, wie man einen Phishing-Versuch erkennt und sichere Kennwörter erzeugt.

3 Tipps zur Verwaltung und -erstellung von Passwörtern:

1. Verwendung von Multifaktor-Authentifizierung (MFA) für so viele Konten wie möglich
Das Grundkonzept bestehe darin, zwei Arten von „Beweisen“ zur Verifizierung der Identität zu nutzen, bevor ein Zugriff gewährt wird. Dadurch erhöhe sich der Schutz des Kontos signifikant. „Wenn Sie sich beispielsweise in Ihr Konto einloggen möchten, erhalten Sie nach Eingabe von Benutzernamen und Passwort eine Benachrichtigung auf Ihr Telefon, in der Sie um eine Bestätigung gebeten werden, damit die Anmeldung erfolgen kann.“ Dieser Ansatz schiebe automatisierten Systemen einen Riegel vor, welche von Cyber-Kriminellen verwendet würden, um Kennwörter zu knacken oder Login-Informationen zu erbeuten.

2. Verwendung einer sicheren Anwendung zur Kennwortverwaltung (Passwort-Manager)
Diese sollte mehrere Kennwörter abrufen und bei Bedarf automatisch in die Formularfelder für den Login eintragen können. Durch die Verwendung eines Passwort-Managers entfalle die Notwendigkeit, sich mehrere Kennwörter zu überlegen und sich diese merken zu müssen. Thalmeier: „So steht einer Verwendung komplexerer, längerer Kennwörter nichts im Wege.“

3. Vermeidung häufig vorkommender Wörter, Phrasen, Namen und Daten bei der Erstellung von Kennwörtern
Insbesondere solcher, „die mit Ihnen oder Ihren Familienmitgliedern in Verbindung gebracht werden können“. Denn Cyber-Kriminelle seien für gewöhnlich sehr einfallsreich und könnten Querverweise aus allen über eine Person zur Verfügung stehenden Daten ziehen, um die richtige Kombination für die betreffenden Konten zu finden. „Außerdem sollten Sie persönliche Passwörter zweimal im Jahr ändern und die Wiederverwendung von Kennwörtern für verschiedene Konten vermeiden. Für geschäftliche Passwörter empfehlen wir, diese sogar alle drei Monate zu ändern und eine automatisierte Systemrichtlinie einzuführen, die eine Frist zur Aktualisierung von Kennwörtern festlegt.“ In einer solchen Richtlinie könnten auch Vorgaben für die zu erstellenden Passwörter festgelegt werden. Dadurch werde u.a. verhindert, „dass das neue Passwort in der Vergangenheit bereits verwendet wurde“.

Weitere Informationen zum Thema:

datensicherheit.de, 03.05.2022
Welt-Passwort-Tag am 5. Mai 2022: Viele Nutzer finden Passwörter lästig und umständlich zu verwalten / Karim Toubba rät, die eigenen Passwort-Gewohnheiten zu hinterfragen

datensicherheit.de, 15.07.2021
Umfrage zeigt: Passwörter können zur Sicherheitsfalle werden / Im Rahmen einer Studie 1.008 Mitarbeiter zum Umgang mit Passwörtern befragt

datensicherheit.de, 04.05.2021
6. Mai 2021 ist Welt-Passwort-Tag: Avira gibt 4 Tipps für starke Passwörter / In 80 Prozent der Fälle gehackter Online-Konten schwaches Passwort Ursache

[datensicherheit.de, 28.10.2021] Nach eigenen Angaben von CyberArk hat sich ein Forscher aus dem eigenen Unternehmen, Ido Hoorvitch, kürzlich in seiner Heimatstadt Tel Aviv auf die Suche gemacht, „um herauszufinden, wie viele WLAN-Netzwerke er mit einem einfachen Trick knacken kann“.

5.000 WLAN-Hashes ausgelesen und Hashcat installiert

„Nachdem er 5.000 WLAN-Hashes ausgelesen und ,Hashcat‘ installiert hatte, führte Ido Hoorvitch mehrere Cracking-Angriffe durch.“
Diese Angriffe nutzten eine Angewohnheit vieler Menschen in Israel aus – und zwar die Verwendung ihrer Mobilfunknummer oder einer schwachen Alternative als WLAN-Passwort. Mit dieser Methode habe er mühelos mehr als 70 Prozent der Passwörter der ausgelesenen WLAN-Netzwerke „geknackt“.

WLAN-Versuch in Israel sollte weltweit Weckruf für Unternehmen und Verbraucher sein

Dies sollte auch ein Weckruf für Unternehmen und Verbraucher sein. Die fortschreitende Umstellung auf hybrides Arbeiten habe die ohnehin schon durchlässigen Sicherheitsmaßnahmen von Unternehmen noch weiter vergrößert.
CyberArk warnt: „Die Router, die für diesen Angriff anfällig waren und von vielen der weltweit größten Hersteller stammen, sind sowohl im privaten Umfeld als auch in Unternehmen weltweit im Einsatz.“

Weitere Informationen zum Thema:

datensicherheit.de, 07.09.2016
IT-Sicherheit im Gesundheitswesen: CyberArk sieht akuten Handlungsbedarf

CYBERARK, Ido Hoorvitch, 26.10.2021
Cracking WiFi at Scale with One Simple Trick

[datensicherheit.de, 15.07.2021] Beyond Identity hat nach eigenen Angaben im Rahmen einer Studie 1.008 Mitarbeiter zu ihrem Umgang mit Passwörtern befragt: „Die Ergebnisse zeigen, dass im Arbeitsalltag oft grob fahrlässig mit Sicherheitsbestimmungen umgegangen wird. Dadurch schützen Passwörter nicht länger vertrauliche Informationen, sondern werden selbst zur Sicherheitsfalle.“ Erkenntnisse aus dieser Studie seien u.a.:

• Einer von vier Mitarbeitern habe noch immer Zugang zu Konten früherer Arbeitsplätze.
• 41,7 Prozent der Mitarbeiter teilten Passwörter am Arbeitsplatz.
• 42,5 Prozent der Mitarbeiter seien der Meinung, dass die Weitergabe von Passwörtern am Arbeitsplatz ein Kündigungsgrund sein sollte.
• Einer von fünf Mitarbeitern verwende für arbeitsbezogene Konten dasselbe Passwort wie für private Bankkonten.

In vielen Unternehmen Usus, Passwörter gemeinsam zu nutzten

Der Sinn von Passwörtern sei es, bestimmten Benutzern den Zugriff auf Geräte, Anwendungen oder Webseiten zu ermöglichen. Passwörter sollten zudem sensible Firmeninformationen schützen, weshalb Passwörter geheim bleiben sollten. Die Praxis sehe jedoch häufig anders aus: In vielen Unternehmen sei es beispielsweise Usus, dass Mitarbeiter Passwörter gemeinsam nutzten. „Als häufigster Grund dafür wurde die vereinfachte Zusammenarbeit im Team genannt.“
41,7 Prozent der befragten Anwender räumten beispielsweise ein, dass sie Passwörter am Arbeitsplatz weitergegeben hätten und gemeinsam mit den Kollegen nutzten. Angestellte in mittelständischen Unternehmen praktizierten dieses Vorgehen besonders häufig. Zwei Drittel der in diesem Umfeld befragten Angestellten hätten zugegeben, ihre Passwörter mit Kollegen zu teilen.

Vermeintlich sichere Passwörter mit nicht wirklich sicheren Methoden merken

Im Rahmen dieser Studie seien die Teilnehmer zu ihren Passwortgewohnheiten und -tendenzen interviewt worden. „Gefragt wurde u.a. danach, für wie sicher Passwörter gehalten werden, und wie die Nutzer den Überblick behalten, wenn sie für unterschiedliche Anwendungen verschiedene Passwörter nutzen.“
Demnach hielten 45 Prozent ihre Passwörter für „sicher“, 26,3 Prozent seien sogar der Ansicht, dass ihre Passwörter „sehr sicher“ seien. Allerdings habe die Mehrzahl der Befragten zugegeben, dass sie sich ihre vermeintlich sicheren Passwörter durch nicht wirklich sichere Methoden merkten. So notierten 34 Prozent der Befragten ihre Passwörter ganz altmodisch in einem Notizbuch oder auf einem Stück Papier.

Passwort-Manager anfällig für Hacker-Angriffe

Auch die digitale Aufzeichnung der Passwörter sei eine beliebte Option. „Mehr als ein Viertel der Mitarbeiter verließ sich ausschließlich auf ihr Gedächtnis, um den Überblick über die Passwörter zu behalten.“ Einen Passwort-Manager verwendeten der Studie zufolge nur wenig mehr als 38 Prozent der Mitarbeiter.
Die Option, Online-Anmeldedaten in einer Softwareapplikation zu speichern helfe, Passwörter automatisch zu generieren und Anmeldevorgänge zu beschleunigen. Zudem bleibe die Identität der Mitarbeiter geschützt. Allerdings seien Passwort-Manager auch anfällig für Hacker-Angriffe. „Wird die Software infiltriert, hat ein Angreifer Zugang zu der gesamten Passwortsammlung eines Nutzers.“

Bequemlichkeit beim Umgang mit Passwörtern großer Risikofaktor

Bequemlichkeit sei im Umgang mit Passwörtern ein großer Risikofaktor für die Cyber-Sicherheit. Deshalb müssten Unternehmen ihre Regeln zur Cyber-Sicherheit klar und konkret formulieren, um effektiv zu sein. Fast 73 Prozent der Befragten bewerteten die Passwort-Protokolle und -Richtlinien in ihrem Unternehmen als „richtig und ausreichend“. 10,8 Prozent hielten sie für „zu lasch“ und 16,3 Prozent glauben, dass die Regeln in ihrer Firma „zu streng“ seien.
„Mitarbeiter kleinerer Firmen waren am ehesten der Meinung, dass ihr Arbeitgeber die Sicherheitsregeln nicht streng genug durchsetzt.“ Diese Gruppe habe auch am häufigsten angegeben, ihre Passwörter „selten“ oder „nie“ zu ändern. Ein Grund dafür sei, dass es dazu keine Verpflichtung gäbe, so die Befragten. In vielen Unternehmen gebe es allerdings genaue Regeln dafür, „wann und wie Passwörter aktualisiert werden müssen“. Über 80 Prozent der Befragten hätten angegeben, dass ihr Unternehmen über entsprechende Richtlinien verfüge und zur Information der Mitarbeiter automatisierte Erinnerungshilfen einsetze.

Sicherheitsprobleme und Schäden in Folge falschen Umgangs mit Passwörtern vermeiden

Die Befragung durch Beyond Identity belege, dass ein schnelles und komfortables Verfahren zu Authentifizierung und Identifizierung von Nutzern ein wichtiges Werkzeug im Kampf gegen die Cyber-Kriminalität im Firmennetz sein könne. Mitarbeiter, die sich nicht erst durch ein umständliches Regelwerk arbeiten müssten, um Zugang zu Daten und Informationen zu bekommen, seien produktiver und hielten sich an die Regeln zur IT-Sicherheit.
Ein passwortloses Authentifizierungssystem (wie z.B. das von Beyond Identity) biete eine solche einfache Lösung für jede IT-Umgebung an: Es verhindere Sicherheitsprobleme und Schäden, welche durch den unachtsamen oder missbräuchlichen Umgang mit Passwörtern entstehen könnten.

Weitere Informationen zum Thema:

BEYOND IDENTITY
Why Passwords Stink

datensicherheit.de, 06.05.2021
Welt-Passwort-Tag 2021: Digitalisierung vorangetrieben und neue Herausforderungen geschaffen / 84% der Remote-Mitarbeiter gaben in einer Umfrage von CyberArk an, ein identisches Passwort in mehreren Applikationen zu verwenden

datensicherheit.de, 02.02.2021
Risiko: Wiederverwendung von Passwörtern / Untersuchung von KnowBe4 zeigt, dass 76 Prozent der Mitarbeiter von Unternehmen ihr Passwort wiederverwenden

datensicherheit.de, 14.07.2020
Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern / In dem Bericht „2020 What keeps you up at Night“ wurden 300 B2B-IT-Entscheidungsträger in Deutschland zu den wichtigsten Risiken im Cyberspace befragt / Ransomware, Einhaltung von Compliance (DSGVO, etc.), Insider-Angriffe und der Nutzer selbst wurden als die vier größten Risiken genannt

Untersuchung von KnowBe4 zeigt, dass 76 Prozent der Mitarbeiter von Unternehmen ihr Passwort wiedeverwenden

[datensicherheit.de, 02.02.2021] Die Ergebnisse einer Untersuchung von KnowBe4 Research zeigen, dass nur 24 Prozent der Mitarbeiter ihre Passwörter speichern. Dies legt nahe, dass viele Mitarbeiter ihre Passwörter wiederverwenden. „Wer an mehreren Stellen das gleiche, einfache Passwort verwendet, macht sich zur leichten Beute für Hacker“, warnt Kai Roer, CEO von KnowBe4 Research (ehemals CLTRE).

Kai Roer, CEO von KnowBe4 Research, Bild: KnowBe4

Bewertung der Sicherheitskultur

KnowBe4 Research bewertet die Sicherheitskultur von Unternehmen und hat die Antworten von über 160.000 weltweit befragten Personen ausgewertet. Diese Zahlen zeigen, dass drei von vier Personen ihre Passwörter nicht aufschreiben. Gleichzeitig zeigen andere Umfragen, dass nur knapp 25 Prozent einen Passwortmanager zum Speichern ihrer Passwörter verwenden, während die Hälfte versucht, sich diese zu merken. Die Daten von KnowBe4 Research zeigen, dass mehr als vier von fünf Personen im Bank-, Beratungs- und Technologiesektor ihre Passwörter nicht aufschreiben oder speichern.

Es ist alarmierend und ein wenig überraschend, dass Bank-, Beratungs- und Technologieunternehmen den höchsten Anteil an Mitarbeitern haben, die ihre Passwörter nicht aufschreiben.

Foto: KnowBe4

„Die Bedeutung einer guten Passwort-Hygiene wird oft übersehen. Es stimmt zwar, dass viele verschiedene Passwörter schwer zu merken sind. Aber Passwörter werden überall verwendet und schützen sehr wertvolle Informationen über eine Person oder diejenigen, die dieser Person wichtig sind. Das ist etwas, das wir uns ins Gedächtnis rufen müssen. Mit so vielen einfach zu bedienenden Tools da draußen, die uns helfen, gibt es keinen wirklichen Grund, warum Sie nicht sorgfältiger mit Passwörtern umgehen sollten“, ergänzt Jelle Wieringa, Security Awareness Advocate bei KnowBe4.

Widersprüchliche Ratschläge

Die Ratschläge zu Passwort-Routinen sind über die Jahre nicht besonders konsistent gewesen, während sich die Anzahl der Websites und Systeme, die ein Login-Passwort erfordern, exponentiell vervielfacht hat. Jahrelang rieten Unternehmen ihren Mitarbeitern, ihre Passwörter NICHT aufzuschreiben. Dann wurden sie gebeten, komplexe und einzigartige Passwörter zu erstellen. Komplexe Passwörter sind schwer zu merken, weshalb viele Mitarbeiter sich dazu entschließen, Passwörter wiederzuverwenden.

Der wichtigste Schritt ist, die Passwörter irgendwo zu speichern, wo niemand sonst Zugriff hat. Zum Beispiel auf einem Mobiltelefon oder einem guten, altmodischen Notizbuch. Sogenannte „Passwort-Manager“, Software, die sich die Passwörter merkt, sind ebenfalls eine sichere und empfehlenswerte Lösung.

Drei Tipps für gute Passwörter:

1. Erstellen Sie einzigartige, etwas längere Passwörter. Die sicherste Lösung ist, für jeden Dienst, den Sie nutzen, ein einzigartiges Passwort zu erstellen. Passwörter müssen nicht aus einem einzigen Wort bestehen, sondern können ein einfacher Satz oder eine zufällige Folge von Ziffern, Buchstaben und Sonderzeichen sein.
2. Schreiben Sie Ihr Passwort an einem Ort auf, zu dem niemand sonst Zugang hat. Bei vielen eindeutigen Passwörtern kann es schwierig sein, sich alle zu merken. Schreiben Sie sie auf, aber stellen Sie sicher, dass niemand sonst Zugriff auf die Liste hat.
3. Verwenden Sie einen Passwort-Manager. Dies ist ein sicherer Weg, um zu vermeiden, dass Sie sich komplexe, eindeutige Passwörter merken müssen. Es gibt viele gute Programme und Anwendungen. Wenden Sie sich an Ihre IT-Abteilung bei der Arbeit; dort wird man Sie beraten können.

Weitere Informationen zum Thema:

datensicherheit.de, 29.01.2021
„Change Your Password Day“ am 1. Februar: Tipps für starke Passwörter

datensicherheit.de, 29.04.2020
KnowBe4-Studie: Führungskräfte schätzen starke Sicherheitskultur

KnowBe4
Measure to Improve – Security Culture Report 2020

[datensicherheit.de, 29.01.2021] Am 1. Februar findet wieder der internationale „Change Your Password Day“ statt. Für das HPI Anlass, an die wichtigsten Regeln zur Erstellung starker Passwörter und ihre Bedeutung zu erinnern. „Es ist wichtig, sich immer wieder bewusst zu machen, dass Passwörter Schlüssel zu sensiblen Daten und Informationen sind. Es gibt zwar keinen 100-prozentigen Schutz vor Identitätsdiebstahl, aber es muss Kriminellen so schwer wie möglich gemacht werden, an das eigene Passwort zu gelangen“, so HPI-Direktor Professor Christoph Meinel. Insbesondere die weit verbreitete Nutzung schwacher Passwörter und die Mehrfachnutzung von Passwörtern für sehr viele unterschiedliche Dienste sei überaus leichtsinnig, wenn man bedenke, welche Schäden dadurch entstehen könnten.

Die wichtigsten Regeln zur Erstellung starker Passwörter:

• Die Länge des Passworts sollte mindestens 15 Zeichen umfassen.
• Das Passwort sollte möglichst viele verschiedene Zeichentypen (Buchstaben, Ziffern, Sonderzeichen) sowie Groß- und Kleinschreibung mit einbeziehen.
• Keine Begriffe aus dem Wörterbuch oder andere „sinnvolle“ Zeichenfolgen verwenden. Neben den Brute-Force-Attacken sind vor allem „Wörterbuchangriffe“ üblich, um Passworte zu knacken: Hierbei werden Listen mit Wörtern genutzt, um fremde Passwörter zu entschlüsseln.
• Nie dasselbe Passwort für mehrere Konten verwenden. Wird ein Passwort geknackt, ermöglicht es Kriminellen sonst den Zugang zu allen anderen Diensten.
• Niemals persönliche Informationen wie Namen, Geburtsdaten, Haustiernamen, Namen der Partner oder der jeweiligen Anwendung (z.B. „Adobe“) verwenden. Diese Daten könnten leicht erraten werden.
• Wenn möglich, die 2-Faktor-Authentifizierung nutzen.
• Passwortmanager helfen bei der Generierung und der sicheren Aufbewahrung starker Passwörter

Ob man selbst schon einmal Opfer eines Datendiebstahls geworden ist, lässt sich mit dem Identity Leak Checker, einem Online-Sicherheitscheck des Hasso-Plattner-Instituts (HPI), sehr leicht und kostenlos überprüfen. Seit 2014 kann dort jeder Internetnutzer unter https://sec.hpi.de/ilc durch Eingabe seiner E-Mail-Adresse prüfen lassen, ob Identitätsdaten von ihm frei im Internet kursieren und missbraucht werden könnten. Die Sicherheitsforscher ermöglichen den Abgleich mit mittlerweile mehr als 12 Milliarden gestohlener und im Internet verfügbarer Identitätsdaten. Dabei liegt der Fokus auf Leaks, bei denen deutsche Nutzer betroffen sind.

Weitere Informationen zum Thema:

HPI Hasso-Plattner-Institut
Wurden Ihre Identitätsdaten ausspioniert?

datensicherheit.de, 18.12.2019
HPI veröffentlicht beliebteste deutsche Passwörter 2019

datensicherheit.de, 16.12.2018
IT-Sicherheit: Die Top Ten der deutschen Passwörter

Phishing-Kampagne legte Passwörter aus Versehen frei über Google-Suche auffindbar ab

[datensicherheit.de, 21.01.2021] Check Point hat nach eigenen Angaben eine Phishing-Kampagne entdeckt, „die Tausende von Passwörter ergatterte und wegen eines Versehens frei im Internet über Google-Suche auffindbar ablegte“. Hauptziel sei „Office 365“ gewesen. Als „Tarnkappe“ dienten demnach gefälschte Benachrichtigungen der in Büros weitverbreiteten Scanner der Firma Xerox.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: Gesamte Öffentlichkeit hätte ungewollt Zugriff auf gestohlene Passwörter haben können

Passwörter in von Google indexierten Webpages gespeichert

Sicherheitsforscher der Check Point® Software Technologies Ltd. hätten eine Phishing-Kampagne aufgedeckt, welche Tausende von Kennwörtern verschiedener E-Mail-Adressen gestohlen habe. Hauptsächlich sei „Outlook“ über „Office 365“ betroffen gewesen. Diese Zugangsdaten seien in Webpages gespeichert worden, welche von Google indexiert würden. Dies hätten die Hacker wohl nicht bedacht.
So seien die gestohlenen Passwörter über die Google-Suche auffindbar gewesen – „ein gefundenes Fressen für andere listige Kriminelle“. Laut dem „Verizon’s Data Breach Investigation Report 2020“ machten Phishing, Diebstahl von Zugangsdaten und „Business E-Mail Compromise“ (BEC) als Angriffswege mittlerweile 67 Prozent aller erfolgreichen Datenlecks aus.

Angestellte zur Eingabe der Passwörter auf gefälschte Webseite umgeleitet

Im August 2020 habe diese Kampagne begonnen: „Phishing-Mails tarnten sich als Benachrichtigung von Xerox-Scannern und forderten die Adressaten auf, eine angehängte html-Datei zu öffnen. Diese war so präpariert, dass sie die ,Microsoft Office 365 Advanced Threat Protection‘ (ATP) umgehen konnte.“
Danach seien die Angestellten auf eine gefälschte und personalisierte Phishing-Seite geleitet worden, „wo sie sich anmelden sollten – wie sonst auch bei ,Outlook 365‘“. Die Zugangsdaten von über 1.000 Angestellten seien auf diese Weise gestohlen worden. Sie seien eigentlich auf ebenfalls infizierten Servern in einer Text-Datei gespeichert worden, welche jedoch von der Google-Suche erfasst und indexiert worden sei. Daher seien die Kennwörter plötzlich frei über die Google-Suche zu finden gewesen und hätten in noch größerem Ausmaß missbraucht werden können.

Gestohlene Passwörter im Prinzip für jeden zugreifbar gewesen

Hauptsächlich habe es Unternehmen der Branchen Energie und Bau getroffen – dahinter kämen Informationstechnologie und Gesundheitswesen. „Bei gestohlenen Passwörtern denkt man natürlich zuerst an einen Verkauf im Darknet. In diesem Fall aber hatte jeder versierte Internet-Nutzer, und somit also die gesamte Öffentlichkeit, ungewollt Zugriff auf die gestohlenen Informationen“, berichtet Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“, bei der Check Point Software Technologies GmbH.
Eigentlich habe die Strategie der Angreifer darin bestanden, die Daten über infizierte Server auf speziellen, von ihnen erstellten Webseiten zu speichern. „Nach Ablauf der Phishing-Kampagne selbst sollten diese entsprechenden Webseiten dann nach den infizierten Server durchsucht werden, um in Ruhe die Anmeldedaten zu sammeln. Die Angreifer vergaßen jedoch, das nicht nur sie die Server erfassen können, sondern ebenso die Google-Suche“, so Schönig.

Diese Methode des Diebstahls von Passwörtern bietet hohes kriminelles Potenzial

Hierbei handele es sich also um ein weiteres und sehr gutes Beispiel dafür, wie wichtig es sei, das Bewusstsein für eine gute IT-Absicherung zu stärken, betont Schönig:
„Die gesammelten Kennwörter standen einem enorm großen Publikum zur Verfügung, obwohl dies höchst ungewollt seitens der Angreifer geschehen ist. Die Methode ließe sich aber zu viel gefährlicheren Zwecken mit sensibleren Daten bewusst anwenden, um jemanden zum Beispiel zu erpressen.“

Weitere Informationen zum Thema:

datensicherheit.de, 14.07.2020
Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern

Check Point SOFTWARE TECHNOLOGIES LTD.
Cyber Criminals Leave Stolen Phishing Credentials in Plain Sight

verizon
2020 Data Breach Investigations Report