In den 1960er Jahren wurden erstmals Passwörter als Schutzmaßnahme für den Zugriff auf Rechner genutzt. Was sich seitdem nicht geändert hat: Passwörter verlieren ihre Schutzwirkung, sobald sie Unbefugten bekannt werden. Kommt es zur Offenlegung von Benutzerkennungen und Passwörtern in großem Umfang, spricht man von einem sogenannten „Password-Leak“. Hauptursachen für Passwort-Leaks sind insbesondere Hackerangriffe, Schadsoftware, ungesicherte Zugriffsmöglichkeiten auf Datenbanken und Phishing-Attacken.
Bei großen Leaks können Millionen oder sogar Milliarden von Datensätzen betroffen sein, wie beispielsweise bei dem „RockYou2024“-Leak mit angeblich fast 10 Milliarden Passwörtern im Juli 2024.
Das Landesamt für Sicherheit in der Informationstechnik prüft einschlägige Webseiten, ob Zugangsdaten von Stellen in seinem Zuständigkeitsbereich betroffen sind. Dabei werden auch immer wieder Zugangsdaten von Schülerinnen und Schülern sowie Lehrkräften für die BayernCloud Schule (ByCS) gefunden. Im Jahr 2024 erreichten die Datenschutzbehörde wiederholt Meldungen von Schulen nach Art. 33 DSGVO über geleakte Zugangsdaten von ByCS-Accounts.
Starke und individuelle Passwörter
Nutzerinnen und Nutzer können selbst mit zwei Maßnahmen ihren eigenen Schutz gegen Passwort-Leaks signifikant erhöhen. Komplexe Passwörter mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen sind schwieriger zu „knacken“. Selbst wenn starke Passwörter in einem Leak verschlüsselt auftauchen – Angreifer benötigen dann zumindest mehr Zeit und Ressourcen, um sie zu entschlüsseln, was wiederum den Betroffenen mehr Zeit gibt, ihre Passwörter zu ändern. Komplexe Passwörter schützen zudem besser vor sogenannten Brute-Force- oder Wörterbuch-Angriffen, da Länge und Komplexität automatisierte Angriffe erschweren, bei denen systematisch alle möglichen Kombinationen durchprobiert werden. Trotz dieses Vorteils sollten bei einem Passwort-Leak alle betroffenen Passwörter unabhängig von ihrer Stärke umgehend geändert werden.
Prüfen Sie hier, ob Ihr Passwort ausreichend sicher ist: https://www.passwortcheck.ch/ (Schweizer Datenschutzbehörde).
Passwörter sollten zudem nur einmal, also für jeweils einen einzigen Dienst beziehungsweise nur für ein Benutzerkonto verwendet werden. Dies bietet Schutz vor sogenannten Credential-Stuffing-Angriffen. Dabei werden gestohlene Zugangsdaten automatisiert auf verschiedenen Websites ausprobiert. Einzigartige Passwörter reduzieren so das Risiko, dass Angreifer mit denselben Zugangsdaten auch andere Dienste angreifen und dort weiteren Schaden anrichten können. Hilfsmittel wie Passwort-Manager können die individuelle Nutzung und Generierung von sicheren Passwörtern vereinfachen. Wobei auch hier durch sorgfältige Auswahl und sicheren Betrieb des Passwort-Managers darauf geachtet werden muss, dass nicht ein erfolgreicher Angriff auf den Passwort-Manager zu einem erneuten Passwort-Leak führt.
Phishing
Phishing ist eine weit verbreitete Form des Cyberangriffs, bei der Betrüger versuchen, durch gefälschte Nachrichten, insbesondere E-Mails, aber auch Messenger- Nachrichten an sensible Informationen wie Passwörter (oder etwa Kreditkartendaten) zu gelangen. Ziel ist es dabei, den Empfänger zu einer Handlung zu verleiten, wie etwa das Preisgeben von Logindaten oder finanziellen Informationen. Es wird meist versucht, mittels möglichst echt und dringlich wirkenden Nachrichten Personen dazu zu bewegen, eine bestimmte URL aufzurufen. Die URL ist dann entweder bereits direkt mit Schadcode versehen, der über Browserlücken versucht, den Rechner des Opfers zu infizieren, oder es wird Nutzenden eine zum Teil täuschend echt aussehende Website angezeigt, auf der sie ihre Zugangsdaten eingeben sollen. Diese Daten landen dann in den Händen der Angreifer.
Um sich vor Phishing zu schützen, können folgende Maßnahmen hilfreich sein:
- Entwickeln Sie ein gesundes Misstrauen gegenüber unerwarteten E-Mails, besonders solchen mit dringenden Aufforderungen oder auch Drohungen.
- Überprüfen Sie immer die Absenderadresse und insbesondere Links in E-Mails, bevor Sie irgendwo draufklicken: Viele E-Mail-Programme zeigen die URL eines Links bereits an, wenn man mit dem Mauszeiger darüberfährt, ohne jedoch darauf zu klicken (das ist tunlichst zu vermeiden). Meist lässt sich an der URL erkennen, dass es sich um keinen vertrauenswürdigen Link handelt – etwa, wenn diese anders lautet, als der in der E-Mail angezeigte Link. Oft sind Links als Knöpfe getarnt, die zu einer Aktion aufrufen (sogenannte Call-to-Action-Buttons), etwa „Jetzt Gewinn abholen“ oder „Hier Passwort ändern“.
- Denken Sie lieber kurz nach, bevor Sie eine E-Mail von einem unbekannten Empfänger öffnen.
- Wenn Sie die Wahl haben: Blockieren sie jedenfalls bei E-Mails von externen Absendern die HTML-Ansicht.
- Geben Sie niemals vertrauliche Informationen per E-Mail preis.
- Öffnen Sie keine Anhänge oder Links in verdächtigen E-Mails.
- Loggen Sie sich von Diensten aus, die Sie gerade nicht nutzen.
- Nutzen Sie bewusst verschlüsselte Verbindungen („https://“) für sensible Transaktionen.
- Wenn Sie behördlicher Datenschutzbeauftragter sind: Klären Sie Ihre Kolleginnen und Kollegen im Rahmen Ihrer Updates zu datenschutzrelevanten Fragen der IT-Sicherheit regelmäßig auch über aktuelle Phishing-Taktiken auf. Gestalten Sie die Unterweisung möglichst realitätsnah.
Allgemein lässt sich feststellen, dass durch generative KI die Qualität der Phishing- Angriffe zugenommen hat (und auch wohl noch zunehmen wird); falsche und bösartige E-Mails sind von harmlosen immer schwieriger zu unterscheiden. Dennoch lässt sich durch Wachsamkeit und ein gewisses Grundmisstrauen das Risiko, Opfer eines Phishing-Angriffs zu werden, weiterhin erheblich reduzieren. Aufgrund der hohen Anzahl von Meldungen von geleakten Zugangsdaten zu ByCS-Accounts im Jahr 2024 bitte ich vor allem Lehrkräfte als direkte Kommunikationspartner der Schülerinnen und Schülern, diese auf die Risiken von Passwortangriffen hinzuweisen und zum sorgfältigen Umgang damit anzuleiten. Mich erreichte allerdings auch eine Meldung, bei dem ein begründeter Verdacht entstand, dass ein Schüler Lehrerzugangsdaten zur schulinternen Lernplattform mebis erlangen und damit weitreichende Zugriffsrechte bekommen konnte. Lehrkräfte seien deshalb auch auf die Notwendigkeit zum sorgfältigen Umgang mit ihren eigenen Zugangsdaten hingewiesen.
Die Gefahren, die dadurch entstehen, dass Angreifer Kenntnis von einem Passwort erlangen, lassen sich zuverlässig nur durch eine Zwei-Faktor-Authentifizierung minimieren. Ein Angreifer kann dann alleine durch Kenntnis des Passworts noch nicht auf den Dienst zugreifen, er benötigt immer noch den zweiten Faktor, also beispielsweise eine Chip-Karte oder ein Gerät, auf das nur der berechtigte Nutzer Zugriff hat. Für jedes Verfahren sollten Verantwortliche daher prüfen, ob nicht auf eine Zwei-Faktor-Authentifizierung umgestellt werden kann oder gar umzustellen ist.
Quelle: Der Bayerische Landesbeauftragte für den Datenschutz
Sind Sie sich sicher, ob Ihr Unternehmen oder Ihre Behörde im Hinblick auf Datenschutz und Datensicherheit richtig aufgestellt ist, so wie es der geschilderte Fall nahelegt?
Lassen Sie sich unverbindlich von einem Datenschutzbeauftragten beraten.
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Datenschutz und IT-Compliance: Das Handbuch für Admins und IT-Leiter. Alles zu IT-Betrieb, IT-Sicherheit und Administration von Websites
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
Dieser Absatz enthält Affiliatelinks/Werbelinks