Anzeige

Passwort

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab 2020 die Empfehlung heraus, dass Unternehmen ihre Mitarbeiter nicht mehr dazu anhalten sollten, ihre Passwörter regelmäßig (zumindest nach 90 Tagen) zu wechseln. Die dahinterstehende Absicht: Privat- und Firmen-User sehen sich einer stetig zunehmenden Anzahl von Logins gegenüber, bei denen sie parallel angemeldet sind.

Der daraus resultierende Passwort-Stress ("Password Fatigue") führt zur Erstellung von simplen Zugangs-Codes, die nicht mehr den aktuellen Sicherheitsrichtlinien entsprechen. Dies soll verhindert werden. Aber was ist von diesem Ansatz tatsächlich zu halten?

Am 01. Februar 2021 ist es wieder soweit – der „Ändere-dein-Passwort-Tag“ steht vor der Türe – heutzutage begleitet von einem Aufschrei, diesen doch bitte abzuschaffen, da er nichts bringe. Eignet sich in diesem Zusammenhang die Initiative des BSI, den Einsatz vergleichbar simpler Passwort-Schöpfungen wie „123456“ zukünftig auf breiter Front zu verhindern? Unserer Erfahrung nach nicht – ganz im Gegenteil. Das BSI rät zwar dazu, dass die zu verwendenden Passwörter mindestens 8 Zeichen lang sein sollten – je kürzer, desto komplexer. Wenn die Einhaltung dieser Vorgabe aber nicht überwacht werden kann, greift dieser Tipp komplett ins Leere. Der Passwort-Stress, dem sich die Mitarbeiter in den Unternehmen ausgesetzt fühlen, nimmt durch den Wegfall der Forderung nach regelmäßiger Erneuerung zwar gefühlt ein wenig ab, die eigentliche Ursache wird aber nicht bekämpft. 

Die Mitarbeiter in puncto Passwort nicht alleine lassen

Nicht wenige Verantwortungsträger im Bereich IT-Sicherheit sind der Meinung, dass die Erstellung, Verteilung und Überprüfung restriktiver Vorgaben bereits ausreicht, um die Mitarbeiter bei der Erstellung sicherer Passwörter umfassend zu unterstützen. Tatsächlich erleichtern sehr konkrete Vorgaben sogar die "Arbeit" von Hackern, da diese bestimmte Kombinationen dann schon von vornherein ausschließen können. Weiterhin sorgt selbst bei eher weniger komplexen Zeichenfolgen eine regelmäßige Änderung dafür, dass nach einer unentdeckten Kompromittierung nicht auf unabsehbare Zeit "die Tür weit offen steht". Nach wie vor stellt der "menschliche Faktor" also das Hauptrisiko im Bereich der Cybersicherheit dar. Unserer Erfahrung nach lässt sich dieses Gefahrenpotential dauerhaft und zuverlässig nur über eine zweigleisige Strategie ausräumen.

Unternehmensweit Security Awareness schaffen

Um sichere Passwörter einzusetzen und diese auch wirksam vor Fremdzugriff zu schützen, muss bei allen Mitarbeitern ein entsprechendes Risikobewusstsein aufgebaut und erhalten werden. Hier geht es nicht um "Panikmache", sondern um die nüchterne Vermittlung der Grundsätze der IT-Sicherheit – und der aktuellen Vorgehensweisen der Hacker. Wissen die Mitarbeiter prinzipiell, wie Cyber-Kriminelle an Passwörter kommen und Zugang zu unternehmensinternen Systemen erhalten, können sie ihr Verhalten im Berufsalltag entsprechend anpassen.

Diese regelmäßigen "Know-how-Updates" sollten auf jeden Fall auch folgende Regeln zur sicheren Passwort-Erstellung beinhalten:

  • Je komplexer, desto besser: Groß-, Kleinbuchstaben verwenden, auch nicht an Sonderzeichen und Ziffern sparen

  • Ein Account – ein individuelles Passwort, keine Mehrfachnutzung

  • Passwörter nirgendwo notieren oder digital speichern (Excel, Browser, etc.) – außer in einem zentralen Password Manager

  • Regelmäßig ändern –  immer nach Zwischen- oder Verdachtsfällen

  • Keine Wörter, Tastatur- oder Zeichen-Abfolgen nutzen (123, qwertz)

  • Geburtsdaten, Namen der Kinder, Haustiere, Autokennzeichen, etc. sind ebenfalls tabu

Technische und prozessuale Unterstützung geben

Das nächste Level der IT-Sicherheit erreicht man hingegen, wenn man die Mitarbeiter komplett von der Verantwortung befreit, selbst für die Erstellung und Änderung effektiver Passwörter sorgen zu müssen. Das "passwortfreie" Unternehmen ist längst keine Zukunftsvision mehr, sondern lässt sich mit der Hilfe von Passwort-Management-Systemen bereits heute realisieren. Der Begriff "passwortfrei" täuscht ein wenig – es werden immer noch Passwörter eingesetzt, diese werden aber zentral kreiert, gespeichert, automatisiert gewechselt und verwaltet. Den Mitarbeitern wird die Passwort-Last von den Schultern genommen: Sie können sich wieder voll und ganz auf ihre Kernaufgaben konzentrieren. Das Passwort erfreut sich also noch bester Gesundheit – nur eben in anderer Form!

Sascha Martens, CTO & Cybersecurity Evangelist
Sascha Martens
CTO & Cybersecurity Evangelist, Mateso | Password Safe

Artikel zu diesem Thema

Hackerangriff
Jan 21, 2021

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der…
Passwort
Dez 30, 2020

Die größten Passwort-Sünder 2020

Dashlane, der Passwort- und Online-Identitätsverwaltungsdienst, veröffentlicht die…
Identity
Dez 04, 2020

Passwortlose Unternehmen, Automatisierung und neue Sicherheitskultur

2020 ist fast vorbei – und damit ein Jahr voller Herausforderungen: eine globale…

Weitere Artikel

Wetter-App

(Un-)Wetter-Apps im Datenschutz-Vergleich

Wer kennt es nicht: Die Sonne scheint und man lässt den Regenschirm Zuhause – und dann regnet es den restlichen Tag wie aus Eimern. Mit einer zuverlässigen Wettervorhersage lassen sich solche bösen Überraschungen vermeiden.
Laptop

Ein Jahr nach „Schrems II-Urteil": Rechtslage weiterhin unklar

Es ist ein Jahr her, dass der EuGH (Europäischer Gerichtshof) das „Schrems II-Urteil" erlassen hat, mit dem das Privacy-Shield-Abkommen gekippt wurde. Das Privacy-Shield-Abkommen legitimierte den Transfer personenbezogener Daten zwischen der EU und den USA in…
Datenschutz

Datenschutz versus Innovation?

Jürgen Litz, Geschäftsführer der cobra – computer’s brainware GmbH sowie der cobra computer's brainware AG in Tägerwilen, Schweiz, äußert sich als Experte für DSGVO-konformes Arbeiten über den anhaltenden Diskurs zwischen Datenschützern und Unternehmen.
Cloud Computing

Eine Frage der Prioritäten: Datenschutz in Cloud-Umgebungen

In Folge der Pandemiebestimmungen scheint sich der Homeoffice-Betrieb zu einer festen organisatorischen Säule in Unternehmen zu etablieren.
Datensicherheit

Immer mehr Meetings: Deshalb ist Datensicherheit wichtig

Zoom, Teams, Skype und Co. – Videokonferenzen sind spätestens seit 2020 integraler Bestandteil des Berufsalltags geworden. Doch bereits vor Ausbruch der Pandemie waren virtuelle Meetings beliebt.
EMail

BIMI-Standard: Entrust kündigt Verfügbarkeit von Verified Mark-Zertifikaten an

Entrust, Anbieter im Bereich vertrauenswürdige Identitäten, Zahlungen und Datenschutz, gibt die allgemeine Verfügbarkeit seiner Verified Mark Zertifikate (VMCs) zur Unterstützung des „Brand Indicators for Message Identification (BIMI)“-Standards für starke…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.