Anzeige

Passwort

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab 2020 die Empfehlung heraus, dass Unternehmen ihre Mitarbeiter nicht mehr dazu anhalten sollten, ihre Passwörter regelmäßig (zumindest nach 90 Tagen) zu wechseln. Die dahinterstehende Absicht: Privat- und Firmen-User sehen sich einer stetig zunehmenden Anzahl von Logins gegenüber, bei denen sie parallel angemeldet sind.

Der daraus resultierende Passwort-Stress ("Password Fatigue") führt zur Erstellung von simplen Zugangs-Codes, die nicht mehr den aktuellen Sicherheitsrichtlinien entsprechen. Dies soll verhindert werden. Aber was ist von diesem Ansatz tatsächlich zu halten?

Am 01. Februar 2021 ist es wieder soweit – der „Ändere-dein-Passwort-Tag“ steht vor der Türe – heutzutage begleitet von einem Aufschrei, diesen doch bitte abzuschaffen, da er nichts bringe. Eignet sich in diesem Zusammenhang die Initiative des BSI, den Einsatz vergleichbar simpler Passwort-Schöpfungen wie „123456“ zukünftig auf breiter Front zu verhindern? Unserer Erfahrung nach nicht – ganz im Gegenteil. Das BSI rät zwar dazu, dass die zu verwendenden Passwörter mindestens 8 Zeichen lang sein sollten – je kürzer, desto komplexer. Wenn die Einhaltung dieser Vorgabe aber nicht überwacht werden kann, greift dieser Tipp komplett ins Leere. Der Passwort-Stress, dem sich die Mitarbeiter in den Unternehmen ausgesetzt fühlen, nimmt durch den Wegfall der Forderung nach regelmäßiger Erneuerung zwar gefühlt ein wenig ab, die eigentliche Ursache wird aber nicht bekämpft. 

Die Mitarbeiter in puncto Passwort nicht alleine lassen

Nicht wenige Verantwortungsträger im Bereich IT-Sicherheit sind der Meinung, dass die Erstellung, Verteilung und Überprüfung restriktiver Vorgaben bereits ausreicht, um die Mitarbeiter bei der Erstellung sicherer Passwörter umfassend zu unterstützen. Tatsächlich erleichtern sehr konkrete Vorgaben sogar die "Arbeit" von Hackern, da diese bestimmte Kombinationen dann schon von vornherein ausschließen können. Weiterhin sorgt selbst bei eher weniger komplexen Zeichenfolgen eine regelmäßige Änderung dafür, dass nach einer unentdeckten Kompromittierung nicht auf unabsehbare Zeit "die Tür weit offen steht". Nach wie vor stellt der "menschliche Faktor" also das Hauptrisiko im Bereich der Cybersicherheit dar. Unserer Erfahrung nach lässt sich dieses Gefahrenpotential dauerhaft und zuverlässig nur über eine zweigleisige Strategie ausräumen.

Unternehmensweit Security Awareness schaffen

Um sichere Passwörter einzusetzen und diese auch wirksam vor Fremdzugriff zu schützen, muss bei allen Mitarbeitern ein entsprechendes Risikobewusstsein aufgebaut und erhalten werden. Hier geht es nicht um "Panikmache", sondern um die nüchterne Vermittlung der Grundsätze der IT-Sicherheit – und der aktuellen Vorgehensweisen der Hacker. Wissen die Mitarbeiter prinzipiell, wie Cyber-Kriminelle an Passwörter kommen und Zugang zu unternehmensinternen Systemen erhalten, können sie ihr Verhalten im Berufsalltag entsprechend anpassen.

Diese regelmäßigen "Know-how-Updates" sollten auf jeden Fall auch folgende Regeln zur sicheren Passwort-Erstellung beinhalten:

  • Je komplexer, desto besser: Groß-, Kleinbuchstaben verwenden, auch nicht an Sonderzeichen und Ziffern sparen

  • Ein Account – ein individuelles Passwort, keine Mehrfachnutzung

  • Passwörter nirgendwo notieren oder digital speichern (Excel, Browser, etc.) – außer in einem zentralen Password Manager

  • Regelmäßig ändern –  immer nach Zwischen- oder Verdachtsfällen

  • Keine Wörter, Tastatur- oder Zeichen-Abfolgen nutzen (123, qwertz)

  • Geburtsdaten, Namen der Kinder, Haustiere, Autokennzeichen, etc. sind ebenfalls tabu

Technische und prozessuale Unterstützung geben

Das nächste Level der IT-Sicherheit erreicht man hingegen, wenn man die Mitarbeiter komplett von der Verantwortung befreit, selbst für die Erstellung und Änderung effektiver Passwörter sorgen zu müssen. Das "passwortfreie" Unternehmen ist längst keine Zukunftsvision mehr, sondern lässt sich mit der Hilfe von Passwort-Management-Systemen bereits heute realisieren. Der Begriff "passwortfrei" täuscht ein wenig – es werden immer noch Passwörter eingesetzt, diese werden aber zentral kreiert, gespeichert, automatisiert gewechselt und verwaltet. Den Mitarbeitern wird die Passwort-Last von den Schultern genommen: Sie können sich wieder voll und ganz auf ihre Kernaufgaben konzentrieren. Das Passwort erfreut sich also noch bester Gesundheit – nur eben in anderer Form!

Sascha Martens, CTO & Cybersecurity Evangelist
Sascha Martens
CTO & Cybersecurity Evangelist, Mateso | Password Safe

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Hackerangriff
Jan 21, 2021

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der…
Passwort
Dez 30, 2020

Die größten Passwort-Sünder 2020

Dashlane, der Passwort- und Online-Identitätsverwaltungsdienst, veröffentlicht die…
Identity
Dez 04, 2020

Passwortlose Unternehmen, Automatisierung und neue Sicherheitskultur

2020 ist fast vorbei – und damit ein Jahr voller Herausforderungen: eine globale…

Weitere Artikel

Datenschutz

Datenschutz im Homeoffice

Laut einer aktuellen Personenbefragung der Hans-Böckler-Stiftung arbeitet derzeit rund ein Viertel der Erwerbstätigen in Deutschland vorwiegend oder ausschließlich im Homeoffice.
Datensicherheit

Apps und Datenschutz 2020 - Ein Jahresrückblick in Zahlen

Das Jahr 2020 hat aufgrund der Corona-bedingten Beschleunigung von Digitalisierungsprozessen und der Umstellung auf Homeoffice-Modelle die Wichtigkeit und Verbreitung von Apps überdurchschnittlich gesteigert.
Valentinstag Betrug

Wie du verhindern kannst, dass Hacker am Valentinstag dein Herz brechen

Der Valentinstag steht vor der Tür und viele Menschen machen sich online auf die Suche nach der großen Liebe.
Cookies

Cookies, Datenschutz und die Grenzen des „Anstupsens“

Cookies sind Bestandteil einer Vielzahl von Internetseiten und im Alltag von Website-Besuchern längst angekommen.
Rechenzentrum

Datensicherheit beginnt im Rechenzentrum

Es gehört schon jetzt zu den Gewissheiten der Corona-Pandemie: Die Digitalisierung hat sich weiter beschleunigt, für Unternehmen ist es noch wichtiger geworden, jederzeit zuverlässig auf ihre Daten zugreifen zu können. Dafür müssen Betriebe ihre…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!