Veralten Benutzernamen und Passwörter?
Veralten Benutzernamen und Passwörter?
Neue Cyber-Sicherheitsregeln könnten die einfache Benutzernamen- und Passwortidentifikation in weiten Teilen der Banken- und Versicherungsbranche des amerikanischen Finanzsystems ersetzen.
Zu den Optionen für neue Sicherheitsvorschriften gehören das Senden einer Bestätigungsnummer an das Mobiltelefon einer Person, die Verwendung eines Fingerabdrucks oder einer anderen biometrischen Authentifizierung, die Verwendung einer separaten Identifikationsquelle wie einer Magnetkarte oder neue Anforderungen für Drittanbieter, die Zugriff auf Datenbanken von Versicherungsunternehmen haben . Diese Änderungen könnten für Mitarbeiter, Drittanbieter und möglicherweise auch für Verbraucher gelten.
Kürzlich wurden hochkarätige Cyberangriffe bei Anthem und JP Morgan Chase, einer Krankenversicherungsgesellschaft bzw. einem Bankinstitut, gemeldet.
Strafverfolgungsbeamte, die den Fall Anthem untersuchen, glauben, dass ausländische Hacker den Benutzernamen und das Passwort einer Führungskraft verwendet haben, um auf die persönlichen Daten von 80 Millionen Kunden zuzugreifen, darunter Namen, Adressen und Sozialversicherungsnummern. Beamte, Berichterstattung an ZEIT-, schlagen vor, dass der Diebstahl „vermeidbar gewesen wäre, wenn das Unternehmen strengere Methoden zur Überprüfung der Identität derjenigen eingeführt hätte, die versuchen, auf seine Systeme zuzugreifen“.
Bei der jüngsten Sicherheitsverletzung bei JP Morgan Chase wurden die Aufzeichnungen von 76 Millionen Haushalten und sieben Millionen Unternehmen kompromittiert. Ein weiterer viel beachteter Vorfall ereignete sich beim Einzelhändler Target, dessen Verstoß 110 Millionen Karteninhaber betraf.
Die Ankündigung neuer Cybersicherheitsregeln erfolgt nach dem Staat New York Abteilung für Finanzdienstleistungen (DFS) hat eine Studie zur Cybersicherheit von 43 regulierten Versicherungsunternehmen durchgeführt.
Die DFS kam zu dem Schluss, dass „obwohl zu erwarten ist, dass die größeren Versicherer über die robustesten und ausgeklügeltsten Cyber-Abwehrmaßnahmen verfügen“, kam die Studie zu dem Schluss, dass dies nicht unbedingt der Fall ist. Die Ergebnisse spiegeln das übermäßige Selbstvertrauen der Vertreter der Versicherungsbranche wider, wobei 95 Prozent der befragten Unternehmen der Meinung sind, dass „sie über eine angemessene Personalausstattung für die Informationssicherheit verfügen“. Darüber hinaus erhalten laut DFS-Studie nur 14 Prozent der Vorstandsvorsitzenden monatliche Briefings zum Thema Informationssicherheit.
Laut Benjamin Lawsky, dem Superintendenten der DFS, besteht „hier eine riesige potenzielle Schwachstelle“ und das „Passwortsystem hätte schon vor langer Zeit begraben werden sollen“. Er und die DFS empfehlen, dass „Aufsichtsbehörden und Unternehmen des privaten Sektors ihre Anstrengungen verdoppeln und aggressiv vorgehen müssen, um zum Schutz von Verbraucherdaten beizutragen“. Darüber hinaus „sollten die jüngsten Cyber-Sicherheitsverletzungen Versicherern und anderen Finanzinstituten als deutlicher Weckruf dienen, ihre Cyber-Abwehr zu stärken.“
Der vollständige Bericht, gefunden hier, betont: „Während viele große Kranken-, Lebens- und Sachversicherer über robuste Cyber-Abwehr verfügen, einschließlich Verschlüsselung für Datenübertragungen, Firewalls und Antivirensoftware, verlassen sich viele immer noch auf relativ schwache Überprüfungsmethoden für Mitarbeiter und Verbraucher und haben laxe Kontrollen über Drittanbieter, die Zugriff auf deren Systeme und die dort enthaltenen personenbezogenen Daten haben“.
Ende letzten Jahres, eine Überprüfung der Bankensektor ähnliche Ergebnisse gefunden.
Der amerikanische Bankier Berichte dass „die meisten Sicherheitsverletzungen, die heute im Bankwesen auftreten, kompromittierte Zugangsdaten verwenden. [Im Jahr 2014] wurden laut Risk Based Security mehr als 900 Millionen Verbraucherdatensätze gestohlen; 66.3 % enthalten Passwörter und 56.9 % enthalten Benutzernamen.“
Wie werden Verbraucher betroffen sein?
Die Unzulänglichkeit von Benutzernamen und Passwörtern ist nicht neu; Debatten ziehen sich nun über mehr als ein Jahrzehnt hin. Das Prüfungsausschuss der Eidgenössischen Finanzinstitute, im Jahr 2005, räumte ein, dass „einfache Benutzernamen- und Passwortsysteme für Transaktionen, die den Zugriff auf Kundeninformationen oder Geldbewegungen an andere Parteien beinhalten, unzureichend waren“. Strengere Messungen wurden nicht empfohlen oder durchgeführt.
Cyber-Schwachstellen in Banken und Versicherungen sind nicht nur für die Unternehmen selbst, sondern auch für Einzelpersonen ein Problem.
Neue Hacking-Techniken tauchen mit alarmierender Geschwindigkeit auf und machen es jetzt viel einfacher, auf Benutzernamen und Passwörter zuzugreifen.
Cyberkriminelle können leicht Identitäten durch Methoden wie „Honey Potting“ stehlen, bei denen Einzelpersonen ihren Benutzernamen und ihr Passwort in Websites eingeben, die vorgeben, zu überprüfen, ob ihr Name kompromittiert wurde – „Verteilen von Phishing-Nachrichten unter dem Deckmantel des Anbietens von Hilfe“.
Gmail-Benutzer erlitten im September 2014 einen solchen Vorfall. Laut dem International Business Times, 5 Millionen Gmail-Benutzernamen und -Passwörter wurden in einem russischen Bitcoin-Forum gepostet; etwa 60 Prozent waren aktive Konten. Kurz zuvor wurde auch illegal auf 4.6 Millionen Mail.ru-Konten und 1.25 Millionen Yandex-E-Mail-Konten zugegriffen.
Spielkonten sind außerdem anfällig für Hacker. Im Januar, Benutzernamen und Passwörter für Minecraft-Konten wurden online durchgesickert.
Solche Fälle beleuchten lediglich die bereits bekannte Tatsache, dass Hacking potenziell näher an der Heimat auftritt UNSERE Häuser. Die eigentliche Gefahr, wie Die Hacker Nachrichten weist darauf hin, dass es sich um „betroffene Benutzer handelt, die dieselbe Kombination aus Benutzername und Passwort für viele Online-Dienste wie Einkaufsseiten, Bankgeschäfte, E-Mail-Dienste und alle sozialen Netzwerke verwenden“. In den meisten Fällen sind Benutzernamen und Passwörter in allen Onlinediensten konsistent.
