Wir stellen fest, dass Sie gerade die Website in Großbritannien besuchen. Möchten Sie stattdessen unsere Hauptseite besuchen?

Person in Büro, die Tastatur benutzt. Mehrere E-Mail-Logos und Schild/Schloss-Logo überlagern sich.

Passwort-geschützte Dokumente per E-Mail versenden: Die neue und stille Einbruchstelle

Wir verlassen uns sehr auf E-Mails

E-Mails, ob für private oder geschäftliche Zwecke, sind in unserer modernen Lebensweise allgegenwärtig. Seit der COVID-Pandemie verlassen sich die Unternehmen immer mehr auf Fernbesprechungen statt auf persönliche Meetings. Dies hat zur Folge, dass Mitarbeiter von Unternehmen mehr Dateien mit Kollegen, Kunden, Auftraggebern oder anderen Dritten (z.B. Dienstleistern, Auftragnehmern, Finanz-, Rechts- und Technikpartnern usw.) austauschen. Es ist wichtiger denn je, dass wir uns sicher fühlen können, wenn wir Dateien mit sensiblen Informationen an unsere E-Mails anhängen, d.h. dass wir darauf vertrauen können, dass unsere sensiblen Daten bei E-Mail-Anbietern sicher sind, die unsere Nachrichten ordnungsgemäß Ende-zu-Ende-verschlüsseln.

Viele gehen noch weiter. Anwendungen wie Word, Excel®, Adobe® Acrobat® und zahlreiche andere ermöglichen es den Benutzern, eine Datei mit einem Passwort zu schützen. Diese eingebaute Verschlüsselung soll das Vertrauen in die Sicherheit der Daten stärken, die nur den vorgesehenen Empfängern mit dem richtigen Passwort zugänglich sind.

Dieses Gefühl der Sicherheit kann jedoch fehl am Platze sein. IT-Abteilungen überprüfen ausgehende E-Mails nicht routinemäßig auf mögliche Verletzungen geschützter Daten, da die Daten auf eigenen Servern oder in Cloud-Servern gespeichert sind, wie es die Gesetze und Vorschriften vorschreiben. In vielen Fällen kann es vorkommen, dass ein Auftragnehmer, bei dem die Sicherheit seiner E-Mails verletzt wurde, dies nicht seinen Partnern meldet.

Wie sicher sind also Anhänge, die per E-Mail versendet werden?

Wir müssen davon ausgehen, dass unsere E-Mail-Server, Internet-Provider und Kunden-/Partnerserver ordnungsgemäß gesichert sind. Ständig wird über Verstöße gegen Cloud- oder Unternehmensdaten berichtet, aber nur selten über Verstöße gegen E-Mail-Sicherheit.

Doch im Juli 2023 brachen Hacker in die E-Mail-Konten der US-Regierung ein. Im Januar 2024 enthüllte Microsoft®, dass das Unternehmen Opfer einer zwei Monate lang andauernden E-Mail-Panne wurde, bei der interne Nachrichten und Anhänge von Führungskräften gestohlen wurden.

Ist es noch möglich, sich in Bezug auf sensible Daten sicher zu fühlen? Denken wir dabei an Berufe, die mit wertvollen Daten umgehen, wie Rechtsanwälte, Finanzberater, Steuerberater, Versicherungsgesellschaften und andere. Die Verschlüsselung von Dateien mit einem Passwort ist für viele Menschen eine Erleichterung, kann aber nicht mehr als Sicherheitsgarantie angesehen werden.

Passwort-geschützte Dateien durch Software-Verschlüsselung

Person, die an einem Schreibtisch sitzt und eine Tastatur und eine Maus benutzt. Überlagerte Grafik, die ein passwortgeschütztes Dokument darstellt.

Passwort-geschützte Microsoft Excel-Tabellen mit Kundendaten oder verschlüsselte Acrobat PDF-Dateien mit juristischen Beweisen mögen Sicherheit bieten, aber was können Hacker tun, wenn sie sich diese Dokumente beschaffen?

Solche Dateien werden auf dem Computer software-verschlüsselt, und der Zugriff auf die Daten wird durch ein Passwort geschützt. Wenn ein falsches Passwort eingegeben wird, ist der Zugriff auf die Datei nicht möglich und bleibt unzugänglich.

Leider bieten diese Dateien keinen Schutz gegen Brute-Force-Angriffe (auch bekannt als Wörterbuchangriffe), d.h. das Erraten aller Zeichenkombinationen, aus denen ein Passwort bestehen könnte.

Nehmen wir beispielsweise ein sicheres, komplexes Passwort an, das aus drei von vier Zeichensets besteht – Großbuchstaben, Kleinbuchstaben, Zahlen und Sonderzeichen. Dies ist der typische Passworttyp, der in den IT-Sicherheitsrichtlinien als bewährte Praxis gefordert wird. In der Regel sind komplexe Passwörter 8 Zeichen lang.

Im Prinzip sollte es viele Jahre dauern, bis ein Computer solche komplexen Passwörter errät. Passwort-geschützte Dateien sind nur durch die Zufälligkeit (oder Entropie) des gewählten Passworts vor dem Erraten des Passworts geschützt.

Moderne Computer und Tools

Heutige Computer können 1 oder mehr Milliarden Passwörter pro Sekunde erraten. Das ist ein großer Sprung gegenüber der Zeit, als passwort-geschützte Dateien zum ersten Mal erstellt wurden.

Wie knacken Cyberkriminelle passwort-geschützte Dateien?

Es gibt viele kostenlose Tools im Internet, um ein Passwort aus Excel- oder Acrobat-Dateien zu entfernen. Dateien mit spezieller Sicherheitsverschlüsselung können von kostenpflichtigen Tools angegriffen werden, die eine passwort-geschützte Datei mit einem einzigen Computer angreifen oder auf tausend oder mehr vernetzte Computer (für entschlossene Angreifer, die es auf hochwertige Daten abgesehen haben) skalieren. Einige dieser leistungsstarken Tools werden als forensische Tools für Strafverfolgungsbehörden vermarktet, sind jedoch leicht zugänglich – da man sie mit einer Kreditkarte erwerben und herunterladen kann.

Laut Home Security Heroes, kann ein KI-basiertes Tool zum Knacken von Passwörtern das übliche komplexe 8-Zeichen-Passwort in wenigen Minuten knacken oder maximal sieben Stunden benötigen. Bei vernetzten Computern könnte ein Brute-Force-Angriff auf eine einzelne passwort-geschützte Datei sogar in kürzerer Zeit ausgeführt werden.

Schutz für mobile Daten

Kingston IronKey Vault Privacy 50 USB-Stick an einem Multi-Port-Hub auf einem Schreibtisch, der mit einem Bürocomputer verbunden ist.

An diesem Punkt ist klar, dass jede elektronische Übermittlung sensibler Daten eine Verletzung darstellt, wenn eine Datei abgefangen wird oder wenn Server, die die Datei als Anhang oder eine Datei enthalten, angegriffen werden. Das Gleiche gilt für verschlüsselte Dateien, die in einer Cloud–- egal welcher Art – gespeichert sind, die auf Software-Verschlüsselung angewiesen ist. Wenn jemand in den Besitz der passwort-geschützten Datei gelangt, kann er sie mithilfe von Software, die auf den Dateityp zugeschnitten ist, mit Brute-Force angreifen.

Die Lösung zur Risikominderung besteht darin, diese Daten „off-the-grid“ oder air-gapped zu halten. Die Daten können auf einem Computer gespeichert werden, der nicht mit dem Internet verbunden ist, oder die Daten können über ein Medium übertragen werden, das gegen Brute-Force-Passwortangriffe geschützt ist. Dies kann mühsam sein, aber diese Risikominderung hängt mit dem Wert der Daten zusammen – einige Arten von Datenschutzverletzungen können, je nach den verlorenen Daten, Millionen von Dollar und hohe juristische Kosten und Vergleiche verursachen. So kann beispielsweise eine Tabelle mit Kundenkonten und deren Details für ein Unternehmen sehr schädlich sein, wenn sie verloren geht. Daten mit geistigem Eigentum eines Kunden, die in einem Rechtsfall verwendet werden, können beim Verlust oder Verkauf im Dark Web für ein Unternehmen schwerwiegende Folgen haben.

Es gibt eine kostengünstige Lösung für mobile Daten, die genau diese schützen – hardwareverschlüsselte USB-Sticks oder SSDs. Sie verfügen über ein in sich geschlossenes, hardwarebasiertes Sicherheits-Ökosystem, das vor Passwortangriffen schützt und eine ständig aktive AES-256-Bit-Verschlüsselung verwendet, die bis jetzt nicht kompromittiert wurde. Es ist wichtig, solche Speichermedien von bekannten und vertrauenswürdigen Herstellern zu beziehen, da billige Laufwerke, die online verkauft werden, möglicherweise keine ordnungsgemäße Passwortsicherheit oder Verschlüsselung bieten.

Ein hardwareverschlüsselter USB-Stick oder eine externe SSD, z.B. die Kingston IronKey Laufwerke, sind keine typischen USB-Sticks oder SSD-Laufwerke. Sie sind von Grund auf als Datenschutzgeräte konzipiert – mit spezialisierten Controllern, bei denen die Sicherheit das oberste Ziel ist. Diese Laufwerke bieten Sicherheit auf Unternehmensniveau und Sicherheit auf militärischem Niveau (was eine FIPS 140-3 Level 3-Zertifizierung durch das NIST, die US-Regierungsbehörde, die die AES-256-Bit-Verschlüsselung entwickelt und die Standards für US-Regierungsbehörden festlegt, einschließt). Kingston entwickelt und produziert außerdem seit über 20 Jahren hardwareverschlüsselte Laufwerke für Unternehmen und Behörden auf der ganzen Welt.

Wirksamer Schutz vor Brute-Force-Angriffen

Alle Zugriffe auf ein IronKey Laufwerk werden über den sicheren Mikroprozessor geleitet. Um den Zugriff auf die Daten zu ermöglichen, benötigt der sichere Mikroprozessor entweder ein gültiges Passwort oder eine PIN für Laufwerke mit Tastatur. Der sichere Mikroprozessor speichert die Anzahl der ungültigen Passwortversuche (falls Sie schon einmal die Erfahrung gemacht haben, dass Ihr Mobiltelefon zurückgesetzt wurde, wissen Sie, wie das funktioniert). IronKey Laufwerke erlauben mehrere Passwörter, Admin, Benutzer und einen einmaligen Reset. Wenn das Einmal-Reset- oder das Benutzer-Passwort 10 Mal hintereinander falsch eingegeben wird, sperrt das Laufwerk die Passwörter. Wenn das primäre Admin-Passwort 10 Mal hintereinander falsch eingegeben wird, schaltet der sichere Mikroprozessor in einen Daten-Selbstzerstörungsmodus – er führt eine Krypto-Löschung aller Verschlüsselungsparameter durch, formatiert den Datenspeicher und setzt das Laufwerk in den Werkszustand zurück. An diesem Punkt sind die zuvor auf dem Laufwerk gespeicherten Daten für immer verloren. Dies wehrt die meisten Angriffe ab, die auf Ihre sensiblen Daten abzielen.

Bewährte Verfahren zur Sicherung sensibler Daten

Leider kann die elektronische Übermittlung passwort-geschützter Dateien per E-Mail oder die Veröffentlichung auf einem Cloud-Server zu Datenschutzverletzungen führen, da die Dateien selbst mit den heutigen KI- und Computertechnologien nicht geschützt werden können. Die beste Sicherheit erfordert, dass die mobilen Daten physisch in Ihrem Besitz transportiert werden – in einer Ihrer Taschen. Dann kann sie der anderen Partei übergeben werden. Das Laufwerk kann auch an Ihren Kunden/Partner gesandt werden, dem dann später die Zugriffsdaten mitgeteilt werden. Das Laufwerk kann beim Kunden/Partner verbleiben, damit die Daten sicher und netzunabhängig sind. Die externen IronKey SSDs mit einer Kapazität von bis zu 8TB bieten starke Sicherheit für eine Reihe von Fachleuten, von Anwaltskanzleien bis hin zu Anbietern von medizinischen oder finanziellen Dienstleistungen.

Viele Hersteller verschicken wichtige Dokumente und Details zum geistigen Eigentum nicht mehr per E-Mail, sondern senden IronKey Laufwerke an andere (oft in andere Länder) und geben anschließend Anweisungen zum Zugriff auf die Daten. IronKey Laufwerke ermöglichen es Admins, einen globalen Nur-Lese-Modus einzurichten, der jede Änderung der Dateien verhindert, wenn mit einem Benutzerpasswort auf sie zugegriffen wird.

IronKey Laufwerke folgen den bewährten Praktiken der CIA Triad und sind eine kostengünstige Absicherung, um Ihre sensiblen Daten so sicher und geschützt wie möglich zu halten. Letztendlich geht es um den wahrgenommenen Wert Ihrer Daten.

Das Kingston-Symbol „Ask An Expert – Experten fragen“ auf einer Leiterplatte mit Chipsatz

Fragen Sie einen Experten

Die Planung der richtigen Lösung erfordert gute Kenntnisse der Sicherheitsziele Ihres Projekts. Kingston Experten zeigen Ihnen wie's geht.

Fragen Sie einen Experten

Zugehörige Artikel