Die IT-Welt ist heute komplexer als je zuvor. Unternehmen jeder Grösse, insbesondere kleine und mittlere Unternehmen (KMU), stehen vor der Herausforderung, eine Vielzahl von Anwendungen, Plattformen und Systemen zu verwalten. Mit der zunehmenden Digitalisierung und der Verlagerung vieler Geschäftsprozesse in die Cloud entstehen nicht nur neue Chancen, sondern auch neue Risiken. Eine der grössten Gefahren ist der unzureichende Schutz von Zugangsdaten wie Benutzernamen oder Passwörtern – ein Problem, das Firmen teuer zu stehen kommen kann.
Problematische Versuchung
Ob im Büro oder zu Hause: Wir alle haben Dutzende oder Hunderte von Zugangsdaten für alle möglichen Dienste, sei es E-Mail, Online-Shops oder soziale Medien wie LinkedIn oder Twitter. Die Liste ist wahrscheinlich für die meisten von uns sehr lang. Für den Autor sind es, nur die privaten Zugänge ohne die geschäftlichen, knapp 200 Zugangsdaten zu allen möglichen Diensten. Niemand kann oder will sich all diese verschiedenen Zugangsdaten merken. Da der Benutzername, meist die eigene E-Mail-Adresse, ohnehin bei den meisten Diensten dieselbe ist, ist die Versuchung gross, auch das gleiche Passwort für diese Dienste zu verwenden. So muss man sich nur wenige Passwörter merken und kann sich auf allen Webseiten anmelden. Dies ist aus mehreren Gründen problematisch.
Zuckerbergs Passwort: «Dadada»
Ein Passwort funktioniert nur, solange beide beteiligten Parteien das Passwort kennen – also die Website und die Person, die sich anmelden will. Wenn das Passwort einer dritten oder vierten Partei bekannt wird, verliert es zunehmend seinen Schutz, da sich plötzlich mehrere Personen damit anmelden können.
Den meisten grossen Online-Diensten wurden bereits ihre Datenbanken mit den Zugangsdaten von Hackern gestohlen. Aufgrund eines solchen Hacks wissen wir, dass Mark Zuckerberg (Gründer von Facebook/Meta) bei LinkedIn und Twitter «dadada» als Passwort hatte. Dieses Beispiel ist zwar schon etwas älter, aber es illustriert das Problem. Alle Leser dieses Magazins kennen Mark Zuckerbergs altes Passwort. Wie soll Mark nun seinen Zugang zu Online-Diensten schützen, wenn wir alle sein Passwort kennen?
Für einen Tech-Gründer und Milliardär ist so ein Passwort peinlich, aber was kann schon passieren, wenn jemand mein Passwort kennt?
Im Folgenden wird eine wahre Geschichte erzählt, bei der eine Schweizer Firma fast 30'000 Franken wegen einer einzigen E-Mail verloren hat. Im Dezember 2024 erhielt ein Kunde des betroffenen Unternehmens eine E-Mail, in der ihm mitgeteilt wurde, dass sich die Bankverbindung geändert habe und die neue Bankverbindung angegeben wurde. Diese E-Mail war in eine bestehende Konversation über ein Projekt eingebettet.
Alles schien normal. Unterhalb dieser E-Mail befanden sich, wie in Outlook üblich, die bisherigen Nachrichten und in der E-Mail wurde korrekt auf das Projekt und die betroffenen Angebote verwiesen. Der Kunde tätigte die Überweisung an die neue Bank und dachte sich nichts weiter dabei. Die betroffene Firma hat diese Zahlung nie erhalten und irgendwann eine erste und dann eine zweite Mahnung verschickt. Es dauerte einige Wochen, bis beide Parteien herausfanden, dass sich die Bankverbindung mitten in der normalen Kommunikation geändert hatte.
Erst im Februar 2025 kam die Anfrage, ob wir helfen könnten. In dieser Zeit war das Geld längst weg und die Nachvollziehung schwierig, weil die meisten Systeme nur für 30 oder maximal 90 Tage Logdaten aufbewahren.
Was ist passiert?
Einer Mitarbeiterin des Kunden wurden die Zugangsdaten gestohlen. Wie genau dies geschehen ist, konnte nicht nachvollzogen werden. Die wahrscheinlichsten Möglichkeiten sind die Wiederverwendung der Zugangsdaten über mehrere Dienste oder der Diebstahl der Zugangsdaten über Phishing E-Mails. Beim Kunden finden regelmässig Schulungen zum Erkennen und Melden von Phishing-E-Mails statt. Wir haben mit der Benutzerin gesprochen und sie hatte keine Kenntnis von seltsamen E-Mails und hat alle diesbezüglichen Schulungen erfolgreich absolviert. Wir gehen daher davon aus, dass Ihre Zugangsdaten von einem anderen Dienst gestohlen wurden. Mit diesen Zugangsdaten kann sich jeder einloggen und E-Mails im Namen der betroffenen Benutzerin versenden.
Wenn man sich ein paar Tage Zeit nimmt und die E-Mail-Kommunikation liest, kann man schnell herausfinden, welche Projekte gerade laufen, wer miteinander kommuniziert und wie die Verantwortlichkeiten verteilt sind. Diese Informationen eignen sich hervorragend, um sich nach ein paar Tagen in die Konversation einzumischen und die eigenen Bankdaten preiszugeben. Das ist leicht verdientes Geld für Hacker.
Wie hätte man diese Kriminelle Tat verhindern Können?
Am wichtigsten ist der Schutz der Zugangsdaten. Um es mit den Worten des Chief Security Office von Watchguard zu sagen: «Hackers don’t break in, they log in». Diese Zugangsdaten ermöglichen den Zugriff auf alle Daten Ihres Unternehmens. Entsprechend wichtig ist der Schutz. Die gute Nachricht ist, dass es Möglichkeiten gibt, diese Zugangsdaten zu schützen:
Verwenden Sie unterschiedliche Passwörter für jedes Login. Diese Passwörter müssen Sie sich nicht merken, verwenden Sie einen Passwortmanager. Jeder moderne Webbrowser hat einen solchen integriert und schlägt automatisch sichere Passwörter vor.
Aktivieren Sie die Anmeldung mit mehreren Faktoren, die sogenannte Multi-Faktor-Authentifizierung (MFA). Damit wird das Passwort allein nutzlos, denn es braucht diesen zusätzlichen Faktor. Moderne MFA-Lösungen sind zudem sehr benutzerfreundlich. Ich muss morgens bei der ersten Anmeldung eine zweistellige Zahl eingeben, die auf dem Computer angezeigt wird, die ich auf meinem Smartphone eingebe und das war's. Microsoft gibt an, dass MFA das Risiko einer Account-Übernahme wie oben beschrieben um 99,2% reduziert, sobald MFA aktiviert ist.
Ein gesundes Misstrauen gegenüber E-Mails hilft. Wir alle brauchen E-Mails schon fast als Aufgabenliste. Daher ist alles, was wir per E-Mail erhalten, auch ein Auftrag, den es zu erledigen gilt. Das führt dazu, dass wir den Inhalt oft zu wenig hinterfragen. Wenn Sie im Umgang mit E-Mails unsicher sind, fragen Sie Ihre IT-Abteilung oder Ihren Dienstleister. Oder kontaktieren sie den Absender über Teams, WhatsApp oder telefonisch und lassen sie sich die Informationen bestätigen. Wichtig ist, dass Sie nicht per E-Mail nachfragen, sondern über einen anderen Kanal. (GA)
Für mehr Infos oder Support-Anfrage
