Beiträge
Die Schweiz ist ein KMU – Land. Mehr als 99% aller Unternehmen sind Kleine und mittlere Unternehmen. Aber wie sicher sind diese?
Ausgangslage
Mit der Plattform SwissLeak.ch haben wir Milliarden von sogenannten Leaks (Datenlecks in Onlineservices) durchsucht und nach Schweizer Benutzern gefiltert. Diese Daten wurden anschliessend sortiert, kategorisiert und mit Metadaten angereichert.
Entstanden ist eine Sammlung von über 2.7 Millionen Schweizer Accounts wovon etwa 58% aller Passwörter entschlüsselt bzw. im Klartext einsehbar sind.
Da neben Passwörtern auch weitere Angaben wie IP-Adressen, Geschlecht, Vorlieben etc. enthalten sind, handelt es sich dabei wahrscheinlich um die präziseste und grösste Sammlung von „gehackten Schweizer Accounts“.
Ideal also um die Sicherheit von Schweizer KMUs auf den Prüfstand zu stellen.
Geleakte KMUs finden
Bevor sich aber eine Aussage über die Sicherheit von KMUs treffen lässt, müssen diese zuerst identifiziert werden. Ausschlüsse über IP-Adressen sind nur bedingt möglich, wesentlich effizienter ist die Suche nach Domainnamen (das nach dem @…)
Diese Domains wurden wie folgt gefilter:
- Ausschluss der häufigsten E-Mailprovider der Schweiz (@bluewin.ch, @gmx.ch…)
- Ausschluss von staatlichen, kantonalen und föderalen Stellen (Datenbank SwissLeak.ch)
- Datenbereinigung
Übrig bleiben KMUs, Vereine sowie privat unterhaltene Domains. Die privaten Domains machen in diesem Fall nur gerade etwa 5%, Vereine und Organisationen etwa 10% aus.
Gleichzeitig sind aber KMUs die über eine Bluewin oder GMX Adresse verfügen, nicht enthalten
Sicherheit in Zahlen
- 531’321 geleakte Accounts von Schweizer KMUs
- 187’244 einzigartige KMU-Domains
- Durchschnittlich 2.8 geleakte Accounts pro KMU – Domain
- Jedes dritte KMU ist damit betroffen
- Höchstwert von 116 Accounts pro Domain
Anders ausgedrückt – über eine halbe Million Passwörter von Accounts von Schweizer KMU’s schwirren durchs Netz.
Zu mindestens 187’244 KMUs finden sich geleakte Accounts – jedes dritte KMU ist also von einem Datenleak betroffen!
Effektiv werden es sicherlich wesentlich(!) mehr sein, da gerade bei kleineren KMUs die Emailadressen von Bluewin oder GMX sehr beliebt sind (davon sind etwa 1.2 Millionen in der Datenbank von SwissLeak.ch …).
Passwörter von Schweizer KMUs
Entschlüsselbarkeit
Von der halben Million, Schweizer KMUs zuzuordnenden Accounts sind etwa die Hälfte der Passwörter entschlüsselt (250’689 Accounts). Diese „Entschlüsselbarkeit“ kann zur Beurteilung der Sicherheit genutzt werden. Zum Vergleich die Entschlüsselbarkeit folgender Kategorien:
Schweizer KMUs: 47 %
Schweizer Behörden und Organisationen von öffentlichem Interesse: 37 %
Alle Schweizer Nutzer: 58 %
Die Passwörter von Schweizer KMUs lassen sich also leichter entschlüsseln als diejenigen von Schweizer Behörden, aber weniger gut als diejenigen von Privatpersonen.
Häufigste Passwörter
Folgende Grafik zeigt die häufigsten Passwörter aller Schweizer Benutzer (vgl. auch Alles über Schweizer Passwörter).
Die häufigsten Passwörter der Schweizer KMUs sind mit obiger Darstellung praktisch identisch – minime Änderungen in der Reihenfolgen sind in diesem Zusammehang irrelevant.
123456 ist Top
Das Top-Password unter allen KMUs ist 123456 – etwa 0.6 % aller Accounts verwenden dieses.
Zum Vergleich mit anderen Organisationen:
Branche | Häufigstes Passwort | Häufigkeit (relativ zur Organisation) |
---|---|---|
Schweizer KMU | 123456 | 0.62 % |
Schweizer Bundesbehörden | 123456 | 0.9 % |
Schweizer Gemeinden | 123456 | 0.5 % |
Schweizer Spitäler und Kliniken | 123456 | 0.18 % |
Kantonale Behörden | 123456 | 0.68 % |
Schweizer Schulen und Universitäten | 123456 | 1.1 % |
Unternehmen von öffentlichem Interesse | 123456 | 0.43 % |
Geografische Verteilung
Die Datenbank von SwissLeak enthält neben (entschlüsselten) Passwörtern und Emails auch IP-Adressen der geleakten Accounts. Über diese ist eine ungefähre Zuweisung zum Standort möglich.
Kantonale Verteilung
Aufgeschlüsselt und hochgerechnet auf alle betroffenen KMUs ergibts sich folgende Tabelle der kantonalen Verteilung von geleakten KMU – Accounts:
Kanton | Prozentual | Effektiv |
---|---|---|
ZH | 23.93 | 126910 |
BE | 12.08 | 64076 |
VD | 10.22 | 54225 |
AG | 8.27 | 43860 |
GE | 5.90 | 31310 |
SG | 4.58 | 24286 |
LU | 4.09 | 21716 |
TI | 3.45 | 18289 |
BS | 3.22 | 17090 |
BL | 3.17 | 16833 |
SO | 2.79 | 14820 |
FR | 2.78 | 14734 |
TG | 2.56 | 13578 |
ZG | 2.26 | 11993 |
SZ | 1.78 | 9423 |
NE | 1.74 | 9209 |
VS | 1.61 | 8523 |
GR | 1.58 | 8395 |
SH | 1.34 | 7110 |
NW | 0.66 | 3512 |
AR | 0.61 | 3255 |
JU | 0.42 | 2227 |
UR | 0.26 | 1371 |
GL | 0.24 | 1285 |
AI | 0.23 | 1242 |
OW | 0.21 | 1114 |
Der Kanton Zürich dominiert ganz klar – fast ein Viertel aller geleakten KMU – Accounts kann in den Kanton Zürich zurückverfolgt werden(!).
Eine mögliche Erklärung dafür ist etwa, dass viele Datencenter bzw. Cloudprovider über welche sich KMUs ins Internet begeben, Ihren Standort in Zürich haben.
Verteilung nach Ortschaften
Ort | Prozentual |
---|---|
Zürich | 9.87 |
Bern | 3.46 |
Genf | 3.31 |
Basel | 2.96 |
Lausanne | 2.42 |
Winterthur | 2.35 |
Luzern | 1.36 |
St. Gallen | 1.07 |
Schaffhausen | 1.02 |
Pratteln | 0.67 |
Cham ZG | 0.65 |
Zug | 0.61 |
Neuenburg | 0.59 |
Freiburg | 0.58 |
Biel | 0.57 |
Wenig Branchenunterschiede
Interessanterweise sind KMUs über alle Branchen hinweg ähnlich betroffen.
Ein definitiver Trend zeichnet sich nicht ab – so findet man unter den Top50 Betroffenen etwa Unternehmen aus der Bau – , Kommunikations- und Werbebranche aber auch Sicherheitsunternehmen oder Gastrobetriebe.
Ähnlich sieht es aus, wenn man nur KMU – Accounts aus „sensitiven Quellen“ vergleicht; zwar haben fast 6000 Schweizer Benutzer für die Anmeldung an den entsprechenden Portalen Ihre Geschäftsadresse verwendet (…) – eine dominierende oder besonders leichtsinnige Branche lässt sich aber nicht feststellen.
Zeitlicher Verlauf
Im Jahr 2016 sind mehrere, grosse Datenleaks publik geworden. Ein Grossteil der obigen Daten stammt aus den Jahren 2010 – 2016, hingegen enthält SwissLeak.ch selbständlich auch bereits Daten aus dem Jahr 2017.
Es ist dabei keine grosse Umstellung oder Sensibilierung festzustellen (gleiche oder ähnliche Passwortkomplexität und Verbreitung).
Oftmals passen auch Passwörter von alten Leaks zu Accounts aus aktuelleren Leaks – die Enschlüsselung solcher wird also tendenziell eher einfacher.
Da die Zukunft sich immer stärker „in die Cloud“ verschiebt und die Verbreitung von Accounts damit generell zunehmen wird, ist bei gleichem Verhalten wie bisher ein Anstieg der betroffenen Benutzer und KMUs zu erwarten.
Thinking outside the box
Um obige Probleme in den Griff zu bekommen, genügt es nicht, nur das eigene Unternehmen zu überwachen. Der Schwachpunkt an Leaks ist das persönliche Benutzerpasswort.
Dieses wird mit hoher Wahrscheinlichkeit nicht nur im Unternehmen eingesetzt, sondern auch für andere Accounts und Onlineservices genutzt werden. Wird im Unternehmen ein Passwort vorgegeben, besteht hingegen die Möglichkeit, dass der Benutzer dasselbe Passwort auch für externe Services nutzt (Passwort nur einmal merken…)
Grundsätzlich müsste man also den Benutzer inklusive aller Privaten Accounts, Accounts von früheren Arbeitgebern, Vereinen, Organisationen etc. „überwachen“ um überhaupt zu erfahren ob ein Nutzer ein Sicherheitsrisiko darstellt oder nicht.
Selbstverständlich ist das unrealistisch – es würde immer die Gefahr bestehen, dass man einen Account übersehen hat, ganz abgesehen davon, dass einem die wenigsten Benutzer alle Accounts mitteilen würden.
Eine mögliche Lösung; für jeden Service ein anderes, komplexes Passwort verwenden – welche man in einem zuverlässigen Passwortmanager sammelt und verwaltet.
Sicherheit?
Wie sicher Schweizer KMUs in Netz unterwegs sind, kann man selbst beurteilen.
Selbst bei Annahme, dass über 50 % aller Passwörter ungültig oder veraltet sind, wären immer noch über 200’000 KMU – Accounts betroffen. Und praktisch täglich kommen neue „gültige“ Accounts dazu.
Dass bis jetzt „noch nichts“ passiert ist, liegt zum einen daran, dass die Anzahl Schweizer Accounts in den globalen Datenleaks nur einen verhältnismässig kleinen Teil ausmachen, zum anderen wird ein Benutzer einen Angriff in den wenigsten Fällen bemerken.
Bereits heute könnte man diese Daten aber für automatisierte Angriffe nutzen (z.B. versuchen Emails aus 531’000 KMU-Accounts abzurufen; Die notwendigen Daten sind alle da…)
Da Frage ist aber eigentlich nicht wie, sondern wann jemand beginnt diese geleakten Accounts „produktiv“ zu nutzen – Schweizer KMUs werden dann garantiert betroffen sein…