Inhaltsverzeichnis
Datenverletzungen werden meistens durch menschliches Versagen, Schwachstellen im System, Malware oder durch Identitätsdiebstahl (gestohlen Anmeldedaten) verursacht.

Verstöße können finanzielle und rufschädigende Auswirkungen auf eine Organisation haben, aber die Endbenutzer gehen mit den Folgen des Verstoßes. Diese reichen von synthetischer Identität, Kontoübernahme, Spear-Phishing, Auswirkungen auf die Privatsphäre, finanzieller Verlust und andere.

Datenverletzungen werden meistens durch menschliches Versagen, Schwachstellen im System, Malware oder durch Identitätsdiebstahl (gestohlen Anmeldedaten) verursacht.

Laut Gemalto ist Identitätsdiebstahl nach wie vor die häufigste Ursache von Datenverlusten.

Datendiebstahle wie diese von United Nations, FedEx, Ai.type... und so viele mehr, sind durch Human Error - Fehlkonfiguration/ungeschützte Datensicherung und Webserver - verursacht. Es gibt weder Schwächen in den zugrundeliegenden Systemen, noch wurden Sicherheitsmaßnahmen in den Systemen überwunden, sie sind das Ergebnis davon, dass keine unbefugten Beschränkungen auf das System gelegt wurden - kein Passwort oder andere Anmeldedaten, die für den Zugang zu ihnen erforderlich sind. Bei dieser Art von Datendiebstahl wurde das System für jeden, der Zugang erhalten möchte, offen gelassen.

Datenschutzverletzungen wie die von Equifax, T-Mobile ... und anderen werden durch Schwachstellen in ihren Systemen verursacht. Könnte die Folge ungepatchter, bereits identifizierter Sicherheitsprobleme, eines Zero-Day-Angriffs, von Fehlern in Software, APIs oder des Fehlens angemessener Sicherheitskontrollmaßnahmen sein.

Die Art der Verletzung, die British Airways, Ticketfly, Ticketmaster betraf, bei der bösartiger Code in ihre Anwendungen eingeschleust wurde, könnte als Malware-Angriff eingestuft werden.

Andere, bei denen gestohlene Anmeldedaten für unbefugten Zugang zu einem System verwendet wurden, wie im Fall von Reddit, Time hop, Macy, Yahoo, PEXA und anderen, wird als Identitätsdiebstahl bezeichnet. Dies kann das Ergebnis von schwachen/unsicheren Anmeldedaten, Phishing, Spear-Phishing, Credential Surfing, Insider-Bedrohung usw. sein.

Bei all diesen Datenschutzverletzungen sind personenbezogene Daten wie E-Mail-Adressen, Telefonnummern, Kreditkartendaten, medizinische Daten, Adressen usw. das Hauptziel der Angreifer. Wenn ein Mitarbeiterkonto verletzt wird, tragen die Endbenutzer die Konsequenzen am meisten. Ein einziger Verstoß, der niemals von einem Endbenutzer verschuldet wurde, kann dazu führen, dass die Identität des Endbenutzers für immer gestohlen wird. Beispielsweise bedeutet die gestohlene Datenbank von 5,6 Millionen US-Bundesangestellten im Jahr 2015, dass die Betroffenen gefährdet sind, ihre biometrischen Fingerabdrücke zu verwenden. Das Gleiche gilt für gestohlene Krankenakten - die Benutzer können ihre Passwörter auf neue, stärkere Authentifizierungsmethoden ändern, aber die gestohlenen Krankenakten können nie geändert werden, sie gehören der Person ein Leben lang.

Die erste Sicherheitsmaßnahme der meisten Organisationen besteht darin, die Benutzer zu zwingen und/oder sie aufzufordern, ihre Passwörter (Anmeldedaten) bei einem Datendiebstahl zu ändern.

Warum wird den Anwendern geraten, ihr Passwort nach einer Sicherheitsverletzung zu ändern?

Einige Organisationen tun dies als Vorsichtsmaßnahme, andere, weil die Anmeldung Anmeldedaten nicht richtig gesichert war. Selbst wenn Unbefugte nur auf Hashes der kompromittierten Anmeldedaten zugreifen, gibt es keine Gewissheit, dass Hash-Funktionen nicht in naher Zukunft gebrochen werden. Das Gleiche gilt, wenn die gestohlenen Anmeldedaten in verschlüsselter Form vorlagen. Der Verschlüsselungsschlüssel sitzt irgendwo und wenn dieser Schlüssel in unbefugte Hände gerät, werden alle versteckten Anmeldedaten offengelegt.

Einer der Hauptgründe, warum Benutzer nach einem Sicherheitsverstoß aufgefordert werden, ihr Passwort zu ändern, ist die Verhinderung eines Querverweises mit Daten, die aus anderen Sicherheitsverstößen gestohlen wurden, um das Benutzerkonto Anmeldedaten zu erraten/zurückzusetzen. Zum Beispiel enthüllten Equifax und Yahoo, Under Armour, Bruch Milliarden von Benutzer-E-Mails und in einigen Fällen Passwörter. Wenn die gleiche E-Mail, die bei Equifax oder Yahoo aufgedeckt wurde, von einem Benutzer auf einer anderen verletzten Website verwendet wird und der Angreifer zufällig das Passwort der E-Mail aus der früheren Verletzung erhält, könnte das gleiche Passwort verwendet werden, um auf das Konto des Benutzers zuzugreifen, wenn dieser es wieder verwendet. Oder noch besser, der Hacker könnte die E-Mail, die er bereits unter seiner Kontrolle hat, dazu verwenden, das Passwort des Benutzers auf der/den anderen Website(s) zurückzusetzen, auf der/denen die gleiche E-Mail verwendet wurde. Aus diesem Grund raten die meisten Unternehmen den Benutzern, ihre Passwörter nach einem Sicherheitsverstoß zu ändern, selbst wenn die Passwörter nicht kompromittiert wurden.  

"Sie sind vor allem im Zusammenhang mit anderen Daten schädlich. Zum Beispiel konnten die Hacker 2 und 2 zusammensetzen, indem sie diese Liste von 92 Millionen mit einer Liste von E-Mails abglichen, deren entsprechende Passwörter durch eine andere Verletzung bekannt waren. Ein weiterer Grund könnte die Möglichkeit sein, dass der Verschlüsselungs- oder Hashing-Algorithmus geknackt wurde, und in einigen Fällen verwenden Organisationen schwache Hash-Funktionen wie MD5 und SHA1, um Passwörter zu sichern.

Die Änderung des Passworts löst das Problem nicht wirklich. Das eigentliche Problem ist das Passwort selbst!

Passwörter sind schwer zu merken, man kann die Wiederverwendung von Passwörtern nicht verhindern, sie können gefälscht oder erraten sein und auch die Methode der Passwortzurücksetzung.

Die meisten Organisationen verwenden die E-Mail-Adresse/Telefonnummer als Faktor, um die Besitz eines Kontos bei der Passwortänderung/-rücksetzung nachzuweisen. Organisationen können nicht kontrollieren, wie die E-Mail-Adresse oder Telefonnummer, die zum Zurücksetzen von Anmeldedaten verwendet wird, gesichert wird. Es macht keinen Sinn, den Benutzer überhaupt erst damit zu belästigen, sein Passwort zu ändern, denn wenn das gleiche Passwort, das geändert werden soll, für die E-Mail wiederverwendet wird oder die E-Mail nicht richtig mit MFA gesichert ist, ist es immer noch dasselbe, wie das gestohlene Passwort nicht zu ändern, da der Angreifer vielleicht sogar schon die Kontrolle über die E-Mail hatte. Dies war der Fall der Verletzung von PEXA-Daten, bei der es einem Hacker gelang, die E-Mail-Adresse eines Mitarbeiters zu kompromittieren und dann den Link zum Zurücksetzen des Passworts abzufangen, um das Kontopasswort zu ändern und bis zu 250.000 Dollar aus der Siedlung eines Familienbesitzes in Australien zu stehlen. Das gleiche Sicherheitsproblem betrifft Organisationen, die SMS-Code als Methode zum Zurücksetzen und/oder als zweiten Faktor verwenden. Dies war die Ursache für den Datendiebstahl durch Reddit im August 2018, bei der ein Angreifer den SMS-Code des zweiten Faktors abfing, um sich unbefugten Zugang zu den Cloud-Diensten von Reddit zu verschaffen.

Die Sicherheit eines Benutzerkontos hängt von der Sicherheit der E-Mail-Adresse, der Telefonnummer oder jeder anderen Methode ab, die zum Zurücksetzen des Anmeldedatendes Kontos verwendet werden könnte, und/oder ist dieser gleichwertig.

Sicherheitsverletzungen müssen geschehen, ist nur eine Frage des Wann und Wie. Warum nehmen Unternehmen dann nicht zunächst einen robusteren Sicherheitsansatz an, anstatt Passwörter nach einem Sicherheitsverstoß zu ändern?

Wenn eine Organisation zum Beispiel eine Authentifizierungslösung verwendet, bei der sie kein Benutzer-Authentifizierungsgeheimnis entweder in gehashter oder verschlüsselter Form speichert, gibt es keinen Grund, Benutzer nach einer Verletzung aufzufordern, ihre Passwörter zu ändern. Auch braucht die Organisation keine Passwörter mehr zu verwalten. Laut NIST - "werden Authentifizierungsprotokolle, die nicht verlangen, dass der Überprüfer ständig Geheimnisse speichert, die zur Authentifizierung verwendet werden könnten, als stärker angesehen".

Passwortlose Authentifizierungslösungen, die kein Benutzer-Authentifizierungsgeheimnis entweder in gehashter oder unverschlüsselter Form speichern, sind weitaus sicherer im Vergleich zu Lösungen, die Passwörter, SMS-Code und OTPs zur Authentifizierung eines Benutzers verwenden.