Gerade für Personen in Spitzenpositionen sind sichere Kennwörter Pflicht. Doch gemäss einer Studie von F-Secure sind das viele Passwörter von CEOs nicht mehr. Schuld daran sind gehackte Online-Services.
In den vergangenen Jahren sind mehrere Datenbanken grosser Online-Service-Anbieter gehackt worden. Darunter fanden sich etwa das Karriere-Portal LinkedIn, der Cloud-Speicher-Anbieter Dropbox oder das Soziale Netzwerk MySpace. Hacker entwendeten dabei Benutzernamen, E-Mail-Adressen und Kennwörter. Letztere wurden etwa im Falle von LinkedIn in «gehashter» Form auf dem Darknet zum Verkauf angeboten. Allerdings konnten diese schnell entschlüsselt werden.
Wie die IT-Sicherheitsforscher von F-Secure nun herausgefunden haben, gelangten dabei auch vertrauliche Daten vieler Führungspersonen in falsche Hände. Konkret sei davon beinahe jeder dritte Geschäftsleiter und jede dritte Geschäftsleiterin betroffen gewesen. Bei der Untersuchung nutzten die Analysten von F-Secure eine Liste mit über 200 bekannten E-Mail-Adressen von CEOs der grössten Unternehmen in 10 Ländern. Miteinbezogen wurden allerdings nur Führungspersonen, die seit mehr als fünf Jahren bei derselben Firma gearbeitet haben. Diese glichen sie im Anschluss mit den öffentlichen Datenbanken geleakter Online-Dienste ab. Auf den Online-Plattformen hatten sich die Führungskräfte mit ihren Geschäftsmails angemeldet. Handelte es sich dabei um eine Online-Plattform, die später gehackt wurde, befand sich ihr Passwort im Anschluss unter den kompromittierten Datensätzen – bei rund der Hälfte aller Betroffenen war dies auf das Karriere-Portal LinkedIn zurückzuführen. Ganze 81 Prozent der Führungskräfte stehen aufgrund der Datenverluste nun auf Spam- und Marketing-Listen. Nur bei 18 Prozent der Manager wurden keine geleakten Daten gefunden. Dänische und holländische Führungskräfte waren von den Leaks besonders betroffen – in Japan hingegen traf es eher wenige CEOs. Zur Schweiz nennt F-Secure keine Zahlen.
Privat- oder Geschäfts-Account?
Gemäss dem F-Secure-CISO Erka Koivunen gibt es legitime Gründe dafür, sich mit einem Geschäfts-Account bei Sozialen Netzwerken anzumelden. Allerdings nur, wenn Personen über Dienste das Unternehmen vertreten oder diese aus Geschäftsgründen verwenden. Die private Adresse könne hingegen aus taktischen Gründen sinnvoll sein, insbesondere seien Führungspersonen so nicht so leicht erkennbar. Allerdings gebe es dabei auch Nachteile: «Beim Anmelden mit privaten Daten umgeht ein CEO die IT-, Kommunikations-, Rechts- und Security-Abteilung des Unternehmens und macht es ihnen unmöglich, Anmeldedaten zu schützen sowie missbräuchliche Verwendungen zu überwachen und zu verhindern», sagt Koivunen. Auch erschwere es die nachträgliche Rettung der Daten. F-Secures White-Hat-Hacker Tom Van de Wiele liefert gleich Tipps, wie Accounts sicher bleiben:
Einzigartiges und starkes Passwort mit einer minimalen Länge von 14 Zeichen setzen.
Beim Passwort-Wechsel keine logische Abfolge wählen (password1, password2, password3, etc.).
Wo möglich die Zwei-Faktor-Authentifizierung verwenden.
Sicheres Verfahren zur Zurücksetzung eines Passworts oder Accounts verwenden.
Bei Social Logins Vorsicht walten lassen – dabei handelt es sich um die Anmeldung auf Plattformen über Soziale Netzwerke. Wer sich stets mit LinkedIn anmeldet setzt sich der Gefahr aus, dass Hacker Zugriff auf alle Dienste erhalten, sobald etwa der LinkedIn-Account gehackt wurde.
Passwort-Manager verwenden, um sichere und lange Passwörter abzuspeichern.
