Es ist der 60. Geburtstag des Computerpassworts – und immer noch werden Passwörter vergeben, die „Passwort“ oder „1234“ lauten. Sicherheitsexperten weltweit hoffen auf Änderungen des Nutzerverhaltens, doch wie sich immer wieder zeigt, sind nicht nur private Zugänge vollkommen unzulänglich geschützt – auch Unternehmen haben aus der Vergangenheit nichts gelernt und vernachlässigen die Passwortsicherheit auch heute noch sträflich.
Der Passwortmanager Dashlane kennt diese Praktiken genau. Seit sechs Jahren veröffentlicht das Unternehmen einmal pro Jahr eine Liste der schlimmsten Passwortsünder und vergibt dafür den „Worst Password“ Award.
JD Sherman, Dashlane-CEO sagt zum Thema Passwortsicherheit in Unternehmen: „Wenn Unternehmen nicht anfangen, sicherere Passwortpraktiken in ihrer gesamten Organisation zu implementieren, werden die Sicherheitsverletzungen nur noch größer und gefährlicher. Wenn das Unternehmen ein Auto wäre, würde niemand aussteigen, ohne die Fenster hochzukurbeln und die Türen zu verschließen. Doch Computerbenutzer:innen scheinen ihre Autos laufen zu lassen und die Schlüssel im Zündschloss stecken zu lassen. Ein wie Passwortmanager wie Dashlane übernimmt einen Großteil der lästigen Aufgaben, die Passwörter und Systeme sicherer machen.“
Passwort Award: immer die selben „Sieger“?
Dashlane nennt sie Wiederholungstäter. Im Sommer diesen Jahres wurde die Liste der schlechtesten Passwörter erstellt und wieder waren bekannte Unternehmen dabei, die bereits im Vorjahr auf der Liste standen und durch Hackerangriffe kompromittiert wurden. Das hatte teils heftige Auswirkungen auf deren Kunden und Nutzer.
Ganz oben steht SolarWinds. Das SolarWinds-Produkt Orion war Mittel zum Zweck für zahlreiche Cyberattacken seit 2019. Dabei wurden Netzwerke in den USA und Deutschland kompromittiert.Später wurde berichtet, ein Praktikant hätte das unsichere Passwort „Solarwind123“ verwendet.
Direkt nach SolarWind folgen „Compilation of Many Breaches“ (COMB) als Online Hackerforum mit Veröffentlichungen von 3 Milliarden Passwörtern und E-Mails und Verkada, ein Hersteller von Sicherheitskameras. Auch dieses Unternehmen wurde kompromittiert, nachdem ein Hackerkollektiv in die Systeme eingedrungen war. Kunden von Verkada sind Tesla-Fabriken und – Lager, Fitnessstudios der Kette Equinox, Krankenhäuser, Gefängnisse und Schulen.
Auch Facebook – jetzt Meta – musste in diesem Jahr eine Datenpanne hinnehmen, von der 533 Millionen Nutzer/ innen betroffen waren. Zusätzlich steht das Unternehmen wegen mangelndem Datenschutz unter internationalem Beschuss. Auch Ticketmaster und RockYou2021 gehörten im Jahr 2021 zu den großen Verlierern bei der Passwortsicherheit und mussten Imageverluste durch Hacks hinnehmen.
Zu den wichtigsten Netzwerken gehören die der Strafverfolgungsbehörden. Im Juni 2021 stahlen Hacker das Passwort eines Mitarbeitenden der New Yorker Rechtsabteilung und drang in das sensible Netzwerk ein, das besonders sensible Daten schützen sollte.
Auch GoDaddy, der weltweit größte Domainhoster scheint die Passwortsicherheit nicht so genau zu nehmen, denn bereits mehrfach konnten Hacker in das System eindringen und die Daten von bis zu 1.2 Millionen Kunden auslesen. Auch AcrMobile Networks, ein Betreiber mehrerer VPN Marken wurde schwer durch die Offenlegung von 45 Millionen Benutzerdatensätzen mit E-Mail-Adressen, verschlüsselten Passwörtern, vollständigem Namen und Benutzernamen, 281 Millionen Benutzergerätedatensätzen mit IP-Adresse, Bezirkscode, Geräte- und Benutzer-ID sowie 6 Millionen Kaufdatensätzen mit gekauften Produkten und Quittungen kompromittiert.
Diese Unternehmen, die weltweit Kunden und Vertragspartner haben, halten sich anscheinend nicht an die Forderungen, die sie immer wieder an die privaten Nutzer stellen: sichern Sie Ihre Daten. Verizon hat berechnet, dass allein in diesem Jahr die Kosten für Datenschutzverletzungen bei mehr als 4 Milliarden USD liegen und 80% der Übergriffe durch schwache und/ oder mehrfach verwendetet Mitarbeiterpasswörter ermöglicht werden. Dashlane empfiehlt daher immer den Einsatz eines Passwortmanagers.