Passwort-Fails können nicht nur enorm reputationsschädlich, sondern mindestens ebenso kostspielig sein. Dabei lassen sich viele Datenschutzverletzungen und Security-Lecks vermeiden, wenn man die grundlegenden Regeln der IT-Sicherheit beachtet. Wenn.
Foto: ocphoto - shutterstock.com
Wie die Entgleisungen in diesem Ranking nahelegen, ist das nämlich keine Selbstverständlichkeit. Die folgenden Personen und Unternehmen, beziehungsweise Organisationen, kommen aus ganz unterschiedlichen Bereichen, haben aber eines gemeinsam: Sie sind Security-Sünder, zu deren Verfehlungen unter anderem Schandtaten wie die Verwendung des gleichen Passworts für mehrere Online-Konten zählen.
Die Passwort-Sünder-Top-Ten
Das sind die zehn schlimmsten Security-Sünder des Jahres 2017 in Sachen Passwort:
Und das ihre Missetaten en detail:
10. Sean Spicer: Der ehemalige Pressesprecher der US-Regierung veröffentlichte in mehreren Tweets scheinbar einige seiner Passwörter. Dieses Copy-Paste-Missgeschick verdeutlicht, wie sinnvoll es ist, Passwort-Manager mit automatischer Anmeldefunktion zu nutzen, damit keine Daten in der Zwischenablage "steckenbleiben". Oder in der Öffentlichkeit.
9. Paul Manafort: Donald Trumps vor kurzem angeklagter Ex-Wahlkampfleiter scheint ein großer James-Bond-Fan zu sein: Deswegen nutzte er das hochkomplexe Passwort "Bond007" scheinbar gleich für mehrere private Konten, unter anderem seinen Dropbox- und Adobe-Account.
8. Imgur: Warum es zu diesem Datenleck kam, steht noch nicht fest, doch das Unternehmen hat bereits eingestanden, dass es zum Zeitpunkt des Hacks einen veralteten Algorithmus zur Verschlüsselung von Benutzer-Passwörtern verwendete. Diese Verschlüsselung wurde im letzten Jahr aktualisiert, doch der Schaden ist bereits angerichtet: 1,7 Millionen Passwörter wurden möglicherweise kompromittiert.
7. HBO: Der US-Pay-TV-Sender - Heimat vieler beliebter Formate wie etwa "Game of Thrones" - geriet 2017 ebenfalls ins Visier krimineller Hacker. Dabei wurden nicht nur einzelne, unveröffentlichte Episoden geleakt, sondern auch die persönlichen Daten mehrerer TV-Stars offengelegt und die Social-Media-Konten des Fernsehsenders gehackt. Offensichtlich nahm man bei HBO die IT-Security auf die leichte Schulter, denn nach diesen Vorfällen berichteten mehrere Mitarbeiter über ein, naja, mangelhaftes Sicherheitsgebahren, das sich unter anderem auch in der Mehrfachnutzung von Passwörtern für private und berufliche Zwecke niederschlug.
6. Google: Bei einem großangelegten Phishing-Angriff wurden im Mai 2017 die Anmeldedaten vieler Google-Nutzer in Mitleidenschaft gezogen - genaue Zahlen sind nicht bekannt. Bei diesem Hackerangriff wurden die Nutzer zu einer echten Anmeldeseite von Google weitergeleitet, auf der sie eine Drittanbieter-App installierten, die die Anmeldedaten abgriff. Google konnte das Problem zwar rasch beheben, dennoch verdeutlicht der Vorfall die mit Phishing-Angriffen verbundenen Passwort-Gefahren. Privatnutzer wie Unternehmen sollten besonders viel Vorsicht walten lassen, wenn es um Zugriffsberechtigungen für Applikationen geht.
Weiter geht's mit der Top Five der Passwort-Sünder 2017.
5. Die US-Republikaner: Eines der Data-Analytics-Unternehmen der Republikanischen Partei der USA (GOP) machte versehentlich die personenbezogenen Daten von 198 Millionen Amerikanern öffentlich zugänglich. Das entspricht in etwa der gesamten stimmberechtigten Bevölkerung der Vereinigten Staaten. Cybersecurity-Experte Archie Agarwal beschrieb den Vorfall als "Goldmine für jeden, der es auf Wahlberechtigte abgesehen hat und diese manipulieren möchte". Die Daten waren auf einem AWS-Server gespeichert - ohne Passwort-Schutz.
4. US-Verteidigungsministerium (DoD): Booz Allen Hamilton - Auftragnehmer des US-Verteidigungsministeriums - setzte das Pentagon einem enorm hohen Sicherheitsrisiko aus, als das Unternehmen kritische Daten auf einem Amazon-Server ablegte - ohne diese mit einem Passwort zu schützen. Zu den offengelegten Daten gehörten wiederum mehrere unverschlüsselte Passwörter, mit denen man sich Zugang zu vertraulichen Informationen verschaffen konnte.
3. Die britische Regierung: Ermittlungen der "Times" ergaben im Juni, dass russische Hacker regen Handel mit Tausenden von Passwörtern britischer Regierungsvertreter trieben. Betroffen waren Parlamentsabgeordnete und Mitarbeiter des Auswärtigen Amtes, darunter dessen IT-Chef. Die meisten der Passwörter wurden zwar bereits bei früheren Datenlecks abgegriffen, aber trotzdem nicht geändert. So hatten es die russischen Hacker besonders leicht, sich Zugang zu den jeweiligen Konten zu verschaffen. Beunruhigend ist vor allem das beliebteste Passwort unter den Regierungsvertretern: "Password".
Randnotiz: Bei einem anderen Zwischenfall im Dezember ließen mehrere britische Parlamentsabgeordnete auf Twitter verlauten, dass sie ihre Passwörter regelmäßig mit anderen teilen. So wollten sie einen Kollegen verteidigen, der ihrer Meinung nach irrtümlich einer Verfehlung bezichtigt wurde. Laut Sicherheitsforscher Troy Hunt weist dieser Vorfall "auf einen verheerenden Mangel an Wissen zu den Themen Datenschutz und IT-Sicherheit hin."
2. Equifax: Kriminelle Hacker verschafften sich die persönlichen Daten von knapp 150 Millionen Menschen in den USA, Großbritannien und Kanada über die Systeme des US-Finanzdienstleisters. Security-Experte Brian Krebs deckte auf, dass das Unternehmen für einige seiner Online-Portale die Login-Kombination "admin/admin" verwendete. Zwar bleibt weiterhin unklar wie genau es zu diesem Leck kommen konnte, doch liegt auf der Hand, dass der fahrlässige Umgang mit Passwörtern seitens Equifax die Daten von Millionen Menschen in Gefahr gebracht hat.
1. Donald Trump: Der US-Präsident steht an der Spitze der diesjährigen Security-Sünder. Und das aus gutem Grund. Denn für jemanden, der wiederholt die IT-Security-Verfehlungen seiner politischen Gegner angeprangert hat, bekleckert sich "POTUS" selbst nicht gerade mit Security-Ruhm. Im Januar 2017 wurde durch Ermittlungen des TV Senders "Channel 4 News" bekannt, dass viele hochrangige, von Trump persönlich ausgewählte Stabsmitglieder unsichere (weil viel zu simple) Passwörter verwendeten. Unter den hochrangigen Politikern waren auch mehrere Kabinettsmitglieder und Regierungsvertreter - offenbar auch der Cybersecurity-Beauftragte Rudy Giuliani. Die entsprechenden Passwörter wurden parallel für mehrere Websites und private E-Mail-Konten genutzt. Inzwischen ist davon auszugehen, dass diese laxen Passwort-Gewohnheiten für eine ganze Reihe von Datenschutzverletzungen zwischen 2012 und 2016 verantwortlich waren.
Trump verfügt auch über direkte Beziehungen zu drei der anderen "Spitzensünder". Das legt die Vermutung nahe, dass er für keine seiner Positionen vernünftige Cybersecurity-Protokolle implementiert hat. Schließlich wurden 2017 auch mehrere Websites der "Trump Organization" gehackt, während Security-Experten weiterhin die Sicherheit des präsidialen Mobile Devices und der Social-Media-Konten in Frage stellen.
Werden Sie nicht zum Passwort-Sünder!
Ein Präsident, der seine eigenen Cybersecurity-Verdienste in den höchsten Tönen lobt, möglicherweise aber am Ende selbst für zahlreiche schwere Sicherheitslücken verantwortlich war, ist nur die Spitze des Eisbergs. Denn die Verfehlungen der größten Security-Sünder 2017 sind leider alles andere als vergänglich. Sollten Sie ähnlichen IT-Security-Frevel zu verantworten haben, tun Sie gut daran, sich ausgiebig an den folgenden drei Passwort-Lektionen zu laben:
Passwortschutz ist Pflicht
Nur ein starkes Passwort ist ein gutes
Mehrfachnutzung ist der Teufel
Wenn Sie sich jetzt fragen, wie Sie das nun wieder bewerkstelligen sollen - werfen Sie unbedingt einen Blick auf folgende Beiträge:
In jedem Fall sollte Passwort-Sicherheit auf Ihrer Prioritätenliste ganz weit oben stehen, egal ob im Unternehmensumfeld oder privat.