Bisher waren automatisierte Angriffe durch eine vernetzte Armee von Computern, sogenannte Botnets eine recht gängige cyber-kriminelle Methode. Damit wurden großvolumige Denial-of-Service (DDoS) oder Spamattacken, die Server bis zu dem Punkt des Zusammenbruchs belasteten ausgeführt. Oft wurden sie auch als Ablenkung genutzt, um zu Cyber-Kriminellen zu ermöglichen sich gezielt in Systeme einzuhacken, ohne entdeckt zu werden.

Und es erscheint derzeit auch fast so, als hätten es Hacker sogar besonders leicht an Anmeldeinformationen zu kommen. Gemäß den aktuellen Informationen von Sicherheitsforschern werden die Botnets jetzt auf neue Art und Weise eingesetzt. Solche von Hackern kontrollierten Botnets testen eine Sammlung gestohlener oder illegal erworbener Zugangsdaten durch, um herauszufinden, welche Passwörter davon geknackt werden können.

Gleichzeitig verwenden die Kriminellen neuerdings immer komplexere Methoden, die sogar Sicherheitssysteme umgehen können. Dadurch kann das Botnet über einen Zeitraum von mehreren Tagen hinweg unbeobachtet Passwörter austesten.

Der Erfolg solcher Botnets ist besonders lukrativ, weil Anwender es den Kriminellen sehr einfach machen und wiederholt die gleichen Passwörter verwenden. Ist das einmal erfolgreich geknackte, gültige Passwort vorhanden, wird es daraufhin auf andere Nutzerkonten des gleichen Opfers angewendet und hat mit etwas Glück, damit in einem Streich sogleich Zugriff auf mehrere Konten des Opfers.

Weitere finanzielle und persönliche Daten können auf diese Weise abgegriffen werden und noch mehr Schaden gerichtet werden. Insbesondere, wenn auf E-Commerce-Konten zugegriffen werden kann.

Der neueste Internet-Kriminalitätsbericht der Sicherheitsfirma ThreatMetrix deutet darauf hin, dass die Zahl solcher Angriffe von Januar bis März dieses Jahres um mehr als ein Drittel gestiegen ist im verglichen zum Vorquartal. Laut dem Bericht konnten 311 Mio. Bot-Angriffe in den ersten drei Monaten des Jahres entdeckt und verhindert werden. Insgesamt erfasste ThreatMetrix 264 Mio. Angriffe dieser Art allein im E-Commerce-Sektor.

Die Art und Weise wie diese Botnets arbeiten zeigt, dass es keine gute Idee ist, das gleiche Passwort für mehrere Konten zu verwenden. Eine britische Studie von Ofcom aus 2013 hat einige erschreckende Statistiken ans Tageslicht gebraucht, die zeigen, wie nachlässig die breite Öffentlichkeit mit dem Thema Passwort-Sicherheit umgeht.

Die Umfrage unter 1805 Erwachsenen über 16 einem Alter von Jahren ergab, dass 55 % das gleiche Passwort für die meisten – wenn nicht gar alle! – Webseiten verwendeten. Und das war noch nicht alles! Etwas mehr als ein Viertel (26 %) gaben an, leicht zu merkende Passwörter wie Geburtstage oder Namen zu verwenden. Geradezu eine Einladung für Hacker.

Es ist verwunderlich und zugleich beunruhigend, dass Kriminelle nicht noch mehr Nutzen aus so viel Schlendrian gezogen haben. Dabei ist es gar nicht so schwierig starke und sichere Passwörter zu erstellen, die tagtäglich einen wichtigen Beitrag zum sicheren Umgang mit dem Internet leisten.

Für die meisten Menschen ist es schwer, sich verschiedene Passwörter für verschiedene Webseiten zu merken. Als ganz besonders schwierig wird es empfunden gezwungenermaßen Passwörter kreieren zu müssen, die wie eine scheinbar sinnlose Zusammenstellung von Ziffern, Zahlen und anderen Zeichen anmuten. Und es stimmt – sich das zu merken ist wirklich sehr schwer. Doch es gibt Abhilfe in Form von Passwort Management Software, die wie ein Tresor fungiert.

Password, KeePass(X) oder Lastpass sind nur einige Beispiele für solche Passwort-Tresore. Diese Software merkt sich nicht nur die schwierigsten Passwörter. Sie kann auch automatisch neue generieren und sie sehr komplex gestalten. Zum Öffnen des Tresors wird dann nur noch ein einziges Master-Passwort benötigt. Bleiben Sie den Kriminellen immer mehr als einen Schritt voraus mit starken Passwörtern.

Artikel von zdnet.com, 23.05.2016: This sneaky botnet shows why you really, really shouldn’t use the same password for everything
Artikel von sophos.com, 23.04.2013: 55% of net users use the same password for most, if not all, websites. When will they learn?