Anlässlich des World Password Days haben wir mal ein bisschen in den Archiven geblättert und die drei schlimmsten Hackerangriffe der vergangenen Jahre gekürt. Sei es der Missbrauch von Mitarbeiter-Credentials, unsichere Server-Kennwörter oder einfach fehlende Passwort-Hygiene aufseiten der User – in jedem dieser Fälle spielten unsichere Passwörter eine elementare Rolle.
(Wer unsere Beiträge zu Platz 3 und 2 bereits auf LinkedIn oder Facebook gesehen hat, kann direkt zu Platz 1 springen)
Platz 3: SolarWinds
Von unserem dritten Platz hast du bestimmt schon einmal gehört: der SolarWinds-Hack. Bei dem Angriff auf den amerikanischen IT-Dienstleister SolarWinds wurde eine Schadsoftware in das System geschleust, mit der insgesamt 18.0000 Organisationen, Firmen und Behörden kompromittiert wurden. Darunter auch die amerikanischen Außen- und Finanzministerien, das Pentagon und das Energieministerium, zu dessen Aufgaben auch die Verwaltung der amerikanischen Atomwaffen gehört. Der Hack wurde erst neun Monate später entdeckt, als dem privaten Sicherheitsdienstleister Fireeye Unregelmäßigkeiten im System auffielen. Während dieses Zeitraums hatten die Hacker genügend Zeit, streng vertrauliche und geheime Daten zu stehlen.
Die Schwachstelle im System? Bereits im Jahr 2018 soll das Unternehmen extrem unsichere Passwörter für Update-Server genutzt haben. Das verwendete Passwort „solarwinds123“ war dabei nicht nur sehr leicht zu erraten, sondern wurde sogar in Hackerforen zum Verkauf angeboten. Welche langfristigen Folgen diese Hacker-Attacke haben wird, kann man noch nicht einzuschätzen …
Platz 2: Marriott
Der zweitschlimmste Hack der vergangenen Jahre geht an den Marriott-Konzern im Jahr 2018. Der Hack kompromittierte die privaten Informationen von rund 383 Millionen Gästen, die eine Reservierung über die Datenbank der Marriott-Tochter Starwood getätigt hatten. Darunter waren 5,25 Millionen unverschlüsselte Ausweisdaten wie Passnummern und rund 385.000 Kontoinformationen sowie Kreditkartennummern mit Ablaufdatum. Der Konzern Marriott hatte Starwood 2016 aufgekauft – und damit offensichtlich ebenso die Sicherheitslücke im System übernommen.
Letztes Jahr wurde die Hotelkette erneut zur Zielscheibe von Hackern. Dabei erbeuteten die Hacker 5,2 Millionen Kundendaten. Nach Angaben der Hotelkette nutzen die Hacker die Credentials von zwei Angestellten, um auf die Daten der Gäste zugreifen und diese kopieren zu können.
Platz 1: Yahoo
Unser Platz 1 hat diese traurige Ehre vor allem aufgrund einer Zahl verdient: sage und schreibe alle 3 Milliarden Yahoo-Accounts wurden bei einem Hacker-Angriff im Jahr 2013 kompromittiert, wie im Dezember 2016 bekannt wurde. Damit handelt es sich mit Abstand um den größten Hack aller Zeiten. Anders als beim Hack im darauffolgenden Jahr, wo Hacker Cookies so manipulierten, dass sie sich ohne Passwort in jeden Account einloggen konnten, ist bis heute nicht endgültig geklärt, wie die Hacker Zugriff auf die Daten erhielten.
Yahoo wurde im Nachgang stark dafür kritisiert, Informationen über den Hack nicht früh genug veröffentlicht zu haben. Stattdessen waren sprichwörtlich Milliarden von Konten über Jahre hinweg kompromittiert, ohne dass die Nutzer etwas davon ahnten und gegebenenfalls ihre Passwörter ändern konnten.
All diese Hacks zeigen, wie wichtig sichere Passwörter sind. Dazu gehört nicht nur, hochkomplexe und einzigartige Passwörter anzulegen (und diese nicht öffentlich zu teilen), sondern sie auch regelmäßig zu wechseln. Die finanziellen und Image-Schäden sind sonst kaum zu bemessen, wie unsere Top 3 leider beweist.
Am einfachsten lässt sich eine gelungene Passwort-Hygiene mit einem Password Manager wie Password Safe umsetzen. Mithilfe von Passwort-Generatoren, automatischen Password Resets und modernster Verschlüsselungstechnologie sind die Passwörter deines Unternehmens bestmöglich abgesichert. Kontaktiere uns gern, um deine speziellen Anforderungen zu besprechen.