Geschäfte mit Passwort-Leaks: Forscher analysieren Millionen von Daten

Inhaltsverzeichnis

Seit einigen Monaten sind Meldungen zu umfangreichen Leaks bei großen Firmen fast schon an der Tagesordnung. Dabei kopieren Kriminelle vor allem Daten, die sich zu Geld machen lassen – etwa Logins von Unternehmensmitarbeitern oder sensible Kunden- und Geschäftsinformationen. Anschließend bieten sie ihre Beute beispielsweise über Untergrundforen zum Kauf an.

Das IT-Sicherheitsunternehmen ImmuniWeb hat die "Qualität" und Quantität solcher Angebote analysiert. Ausfindig machte es sie mit Hilfe einer (Darkweb-)Monitoring-Software, die einschlägig bekannte Verkaufskanäle crawlte. Anschließend wurden Duplikate herausgefiltert.

Fast 20 Millionen Passwörter im Klartext

Die Analyse der verbleibenden Datensätze begrenzte das Team von ImmuniWeb laut Eintrag im unternehmenseigenen Blog auf Zugangsdaten so genannter "Fortune 500 companies". Das sind die (laut einer Liste der Zeitschrift Fortune) 500 umsatzstärksten Unternehmen der Vereinigten Staaten im jeweils aktuellen Geschäftsjahr.

ImmuniWeb entdeckte nach eigenen Angaben mehr als 21 Millionen Zugangsdatensätze solcher Unternehmen, von denen wiederum über 16 Millionen während der letzten 12 Monate erbeutet wurden. 95 Prozent aller Datensätze beinhalteten Passwörter im Klartext. In den meisten Fällen dürften sie vor dem Diebstahl wohl unzureichend verschlüsselt und/oder als schwache Hashes vorgelegen haben und nachträglich gecrackt worden sein.

Die meisten Datensätze konnte ImmuniWeb Technologieunternehmen zuordnen (5.071.144), gefolgt vom Finanzsektor (4.915.553) und dem Gesundheitsbereich (1.923.340).

Kurze, schwache und Default-Passwörter

Da Verkäufer kopierte Zugangsdaten mit großer Wahrscheinlichkeit "vorsortieren", lassen ImmuniWebs Funde keine Rückschlüsse darauf zu, wie viele Datensätze die Leaks ursprünglich enthielten beziehungsweise wie groß der darin enthaltene Anteil "guter", da schwer knackbarer Passwörter war.

Wenig überraschend ist, dass sich unter den Klartext-Passwörtern laut ImmuniWeb primär solche befanden, von denen Sicherheitsexperten schon seit Jahren (offenbar erfolglos) abraten – etwa "password" in diversen Varianten, vorhersehbare Zahlen- oder bequem tippbare Tastenkombinationen auf dem Keyboard. Aber auch das Gros der übrigen Passwörter zeichnete sich offenbar nicht durch Einfallsreichtum aus: Etwa 42 Prozent von ihnen standen in Zusammenhang mit dem Namen der jeweils attackierten Firma oder der geleakten Ressource (Kundendatenbank o.ä.) und waren damit vor allem anfällig für gezielte Brute-Force-Angriffe.

Weiterhin war der Anteil von Passwörtern, die aus weniger als acht Zeichen bestanden und entweder als Default voreingestellt oder in gebräuchlichen Wörterbüchern enthalten waren, recht hoch: Laut Blogeintrag machten sie im Verkaufssektor 47,29 Prozent aller Passwörter aus; in den Bereichen Telekommunikation und Industrie waren es jeweils rund 37 Prozent.

Eigene Passwörter nach Leaks zügig ändern

Getestet haben die Forscher die Zugangsdaten aus naheliegenden (gesetzlichen und ethischen) Gründen nicht. Somit bleibt zu hoffen, dass viele von ihnen im Anschluss an das jeweilige Leak von den Nutzern (sinnvoll) geändert wurden.

Informationen zu aktuellen Datenlecks sowie die Möglichkeit zu überprüfen, ob die eigenen Passwörter Bestandteil eines solchen waren, bietet unter anderem Troy Hunts Service "Have I Been Pwned". Die Datenbank kompromittierter Accounts umfasst mittlerweile über acht Milliarden Einträge.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.

Externen Inhalt jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Mehr zum Thema (sichere) Passwörter/Authentifizierung:

• Gute Passwörter erzeugen und sicher verwenden
• Sechzehn Passwortmanager im Test
• FAQ: Sicher einloggen mit FIDO2

(ovw)