Der jüngste Passwort-Leak „RockYou2024“, der fast 10 Milliarden Passwörter umfasst, hat in den Medien und in der IT-Community für Aufsehen gesorgt. Viele Mainstream-Medien vermuten katastrophale Auswirkungen. Doch wie kritisch ist dieser Leak wirklich? Für IT-Experten und Entscheider bietet dieser Vorfall lediglich einen weiteren Anlass grundlegende Sicherheitsmaßnahmen und Good Practices zu überdenken. Unsere Einschätzung zum Sachverhalt.
Der Charakter des Leaks
Zuerst: RockYou2024 ist nicht der erste massive Passwort-Leak und wird sicherlich nicht der letzte sein. Diese Sammlung besteht aus einer Kombination älterer und neuerer Passwort-Datenbanken, viele der darin enthaltenen Passwörter stammen aus bereits bekannten Leaks und sind möglicherweise veraltet oder bereits von den Nutzern geändert worden, ein Teil des Datensatze ist vermutlich sogar nutzloser Inhalt. Darüber hinaus handelt es sich hierbei in vielen Fällen lediglich um Passwörter ohne zugehörige Benutzernamen oder E-Mail-Adressen, was den unmittelbaren Nutzen für mögliche Angreifer reduziert. Der Vorteil für Kriminelle ist demnach lange nicht so groß wie von manchen Tageszeitungen postuliert.
Das tatsächliche Risiko
Während der direkte Nutzen dieser Passwort-Sammlung für Angreifer begrenzt ist, bleibt das Risiko für diejenigen Nutzer bestehen, die Passwörter wiederverwenden. Wiederverwendete Passwörter erhöhen die Wahrscheinlichkeit, dass mehrere Konten kompromittiert werden können, wenn nur eines davon betroffen ist. Unternehmen und Endnutzer müssen sich dieser Gefahr bewusst sein und entsprechend handeln. Die Implementierung von Multi-Faktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene, die selbst dann wirksam ist, wenn ein Zugang kompromittiert sein sollte. Diese Maßnahme sollte obligatorisch für alle sensiblen und geschäftskritischen Anwendungen sein.
Grundsätzlich: Der Umgang mit Identitäten und dem “Triple A” (Authentisierung, Authentifizierung, Autorisierung) ist entscheidend, denn dann sind solche monströsen Passwort-Sammlungen nicht relevant.
Fazit
Der RockYou2024-Leak mag auf den ersten Blick alarmierend erscheinen. Es ist jedoch nicht der größte Leak aller Zeiten, und es gibt zahlreiche kleinere Leaks mit umfassenderen Datensätzen, die größeres Schadenspotenzial haben als Rockyou 2024.
Für gut vorbereitete Unternehmen oder Verbraucher stellt er keine existenzielle Bedrohung dar und auch kein besonderes Risiko. Vielmehr sollte dieser Vorfall als Erinnerung dienen, die bestehenden Sicherheitsmaßnahmen zu überprüfen und zu verstärken. Durch die Umsetzung bewährter Sicherheitspraktiken können Unternehmen ihre Widerstandsfähigkeit gegenüber zukünftigen Bedrohungen erheblich erhöhen und ihren Geschäftsbetrieb besser schützen. Außerdem ist es erforderlich zu verstehen, wie Cyber Crime bzw. Crime as a Service insgesamt funktioniert, hierzu gibt es diverse Fakten und Mythen.
Den größten Nutzen haben aktuell Online-Medien und deren reißerische Berichterstattung.
Hilfreiche Links:
Authentisierung, Authentifizierung Autorisierung – Dr. Datenschutz
World’s Biggest Data Breaches & Hacks – Information Is Beautiful
„Mother of all Breaches“: 26 Milliarden bekannte Datensätze – heise.de
Sicherheitsvorfälle: Datenpannen, Cyber-Angriffe und Schwachstellen – DSGVO-Portal