Melani: Wer das gleiche Passwort mehrfach nutzt, hilft den Angreifern

Symbolbild: Pixabay
Symbolbild: Pixabay

Lücken in Hardware-Komponenten stellen eine besondere Bedrohungsart dar. Diese Lücken lassen sich nicht mit einem einfachen Update beheben, wie dies bei Software-Lücken möglich ist. Ausserdem würde ein kompletter Austausch von Hardware-Komponenten die Hersteller vor grosse logistische Probleme stellen. Das Schwerpunktthema des 27. Halbjahresberichtes der Melde- und Analysestelle Informationssicherung (MELANI) befasst sich mit den besonderen Herausforderungen bei Hardware-Lücken, aber auch mit dem Problem von mehrfach im Internet verwendeten Passwörtern.

Gemäss Melani verwenden nach wie vor viele Benutzer das gleiche Passwort für mehrere Online-Dienste wie beispielsweise Webmail, E-Banking, Onlineshops. Dies sei eine willkommene Vereinfachung für Kriminelle und ermögliche ihnen, die gesammelten Login-Daten aus den diversen Datenabflüssen bei verschiedensten Internetdienstleistern systematisch einzusetzen. In einem Fall versuchten sich Angreifer mit knapp einer Million solch gestohlener und aus verschiedenen Quellen zusammengestellten Login-Kombinationen in die Benutzerkonten eines Online-Portals einzuloggen.

Im Sommer 2018 wurde laut dem Melani-Bericht auch der Name des Labors Spiez für die Planung eines Spionageangriffs gegen Dritte missbraucht. Dabei verwendeten die Angreifer ein im Internet publiziertes Dokument, mit dem das Labor Spiez zu einer internationalen Konferenz eingeladen hatte. Dieses wurde kopiert, mit einer Schadsoftware versehen und an die Opfer gesendet. Das Labor Spiez selbst wurde dabei nicht angegriffen.

Immer häufiger kommt es zu ungewollten Datenabflüssen, so der Halbjahresbericht. Davor bleibe auch die Schweiz nicht verschont. Cyber-Kriminelle seien bezüglich Verwendung solcher Daten sehr vielfältig und innovativ. Eine unmittelbare Vorgehensweise, um aus Datenabflüssen Geld zu machen, ist demnach die direkte Erpressung der Firma, bei der die Daten abgeflossen sind. Mit entwendeten Daten lassen sich ausserdem personalisierte E-Mails generieren, welche die Erfolgsrate bei Phishing-Mails im Vergleich zu Massen-Mails erheblich erhöhen. Es sei deshalb zu erwarten, dass Kriminelle künftig vermehrt diese Vorgehensweise wählen werden, betont Melani.