Anzeige

Passwort

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab 2020 die Empfehlung heraus, dass Unternehmen ihre Mitarbeiter nicht mehr dazu anhalten sollten, ihre Passwörter regelmäßig (zumindest nach 90 Tagen) zu wechseln. Die dahinterstehende Absicht: Privat- und Firmen-User sehen sich einer stetig zunehmenden Anzahl von Logins gegenüber, bei denen sie parallel angemeldet sind.

Der daraus resultierende Passwort-Stress ("Password Fatigue") führt zur Erstellung von simplen Zugangs-Codes, die nicht mehr den aktuellen Sicherheitsrichtlinien entsprechen. Dies soll verhindert werden. Aber was ist von diesem Ansatz tatsächlich zu halten?

Am 01. Februar 2021 ist es wieder soweit – der „Ändere-dein-Passwort-Tag“ steht vor der Türe – heutzutage begleitet von einem Aufschrei, diesen doch bitte abzuschaffen, da er nichts bringe. Eignet sich in diesem Zusammenhang die Initiative des BSI, den Einsatz vergleichbar simpler Passwort-Schöpfungen wie „123456“ zukünftig auf breiter Front zu verhindern? Unserer Erfahrung nach nicht – ganz im Gegenteil. Das BSI rät zwar dazu, dass die zu verwendenden Passwörter mindestens 8 Zeichen lang sein sollten – je kürzer, desto komplexer. Wenn die Einhaltung dieser Vorgabe aber nicht überwacht werden kann, greift dieser Tipp komplett ins Leere. Der Passwort-Stress, dem sich die Mitarbeiter in den Unternehmen ausgesetzt fühlen, nimmt durch den Wegfall der Forderung nach regelmäßiger Erneuerung zwar gefühlt ein wenig ab, die eigentliche Ursache wird aber nicht bekämpft. 

Die Mitarbeiter in puncto Passwort nicht alleine lassen

Nicht wenige Verantwortungsträger im Bereich IT-Sicherheit sind der Meinung, dass die Erstellung, Verteilung und Überprüfung restriktiver Vorgaben bereits ausreicht, um die Mitarbeiter bei der Erstellung sicherer Passwörter umfassend zu unterstützen. Tatsächlich erleichtern sehr konkrete Vorgaben sogar die "Arbeit" von Hackern, da diese bestimmte Kombinationen dann schon von vornherein ausschließen können. Weiterhin sorgt selbst bei eher weniger komplexen Zeichenfolgen eine regelmäßige Änderung dafür, dass nach einer unentdeckten Kompromittierung nicht auf unabsehbare Zeit "die Tür weit offen steht". Nach wie vor stellt der "menschliche Faktor" also das Hauptrisiko im Bereich der Cybersicherheit dar. Unserer Erfahrung nach lässt sich dieses Gefahrenpotential dauerhaft und zuverlässig nur über eine zweigleisige Strategie ausräumen.

Unternehmensweit Security Awareness schaffen

Um sichere Passwörter einzusetzen und diese auch wirksam vor Fremdzugriff zu schützen, muss bei allen Mitarbeitern ein entsprechendes Risikobewusstsein aufgebaut und erhalten werden. Hier geht es nicht um "Panikmache", sondern um die nüchterne Vermittlung der Grundsätze der IT-Sicherheit – und der aktuellen Vorgehensweisen der Hacker. Wissen die Mitarbeiter prinzipiell, wie Cyber-Kriminelle an Passwörter kommen und Zugang zu unternehmensinternen Systemen erhalten, können sie ihr Verhalten im Berufsalltag entsprechend anpassen.

Diese regelmäßigen "Know-how-Updates" sollten auf jeden Fall auch folgende Regeln zur sicheren Passwort-Erstellung beinhalten:

  • Je komplexer, desto besser: Groß-, Kleinbuchstaben verwenden, auch nicht an Sonderzeichen und Ziffern sparen

  • Ein Account – ein individuelles Passwort, keine Mehrfachnutzung

  • Passwörter nirgendwo notieren oder digital speichern (Excel, Browser, etc.) – außer in einem zentralen Password Manager

  • Regelmäßig ändern –  immer nach Zwischen- oder Verdachtsfällen

  • Keine Wörter, Tastatur- oder Zeichen-Abfolgen nutzen (123, qwertz)

  • Geburtsdaten, Namen der Kinder, Haustiere, Autokennzeichen, etc. sind ebenfalls tabu

Technische und prozessuale Unterstützung geben

Das nächste Level der IT-Sicherheit erreicht man hingegen, wenn man die Mitarbeiter komplett von der Verantwortung befreit, selbst für die Erstellung und Änderung effektiver Passwörter sorgen zu müssen. Das "passwortfreie" Unternehmen ist längst keine Zukunftsvision mehr, sondern lässt sich mit der Hilfe von Passwort-Management-Systemen bereits heute realisieren. Der Begriff "passwortfrei" täuscht ein wenig – es werden immer noch Passwörter eingesetzt, diese werden aber zentral kreiert, gespeichert, automatisiert gewechselt und verwaltet. Den Mitarbeitern wird die Passwort-Last von den Schultern genommen: Sie können sich wieder voll und ganz auf ihre Kernaufgaben konzentrieren. Das Passwort erfreut sich also noch bester Gesundheit – nur eben in anderer Form!

Sascha Martens, CTO & Cybersecurity Evangelist
Sascha Martens
CTO & Cybersecurity Evangelist, Mateso | Password Safe

Artikel zu diesem Thema

Hackerangriff
Jan 21, 2021

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der…
Passwort
Dez 30, 2020

Die größten Passwort-Sünder 2020

Dashlane, der Passwort- und Online-Identitätsverwaltungsdienst, veröffentlicht die…
Identity
Dez 04, 2020

Passwortlose Unternehmen, Automatisierung und neue Sicherheitskultur

2020 ist fast vorbei – und damit ein Jahr voller Herausforderungen: eine globale…

Weitere Artikel

Kunden

6 Tipps für die datenschutzkonforme Lead-Generierung

Online-Marketing per E-Mail oder Newsletter wird immer mehr von der Kür zur Pflicht. Ein wichtiges Ziel ist die Lead-Generierung. Doch wer Direktmarketing im Netz betreibt, der sammelt personenbezogene Daten. Und deren Schutz verschärft der Gesetzgeber mehr…
DSGVO

Datenschutz setzt Unternehmen unter Dauerdruck

Ein aufwändiger Prüfprozess vor der Einführung jedes digitalen Tools, regelmäßig neue Entscheidungen der Aufsichtsbehörden und Gerichtsurteile in ganz Europa, die Auswirkungen auf das eigenen Unternehmen haben können – die Anforderungen an den Datenschutz…
Datenschutz

Die sechs häufigsten Datenschutzfehler in Unternehmen

Datenschutz, Informationssicherheit und die DSGVO: Immer wieder passieren Unternehmen die gleichen Fehler und Fehlinterpretationen. Die Konsequenzen reichen von kleinen Unannehmlichkeiten für die Firma oder deren Kunden über negative Bewertungen auf…
Datenschutz

Datensouveränität umsetzen - das sind die Prioritäten

GAIA-X, die europäische Initiative zum Aufbau einer leistungsfähigen und sicheren Dateninfrastruktur, schläft nicht. Erst vor kurzem haben sich mit Commerzbank, Deutsche Bahn und Software AG drei Konzerne aus Deutschland dem Projekt angeschlossen. Die…
Datentransfer

Internationaler Datenverkehr: Deutsche Unternehmen brauchen Rechtssicherheit

In einem gemeinsamen Positionspapier fordern der deutsche Industrieverband SPECTARIS und die VDMA Arbeitsgemeinschaft Medizintechnik zukunftsfähige und international wettbewerbsfähige Datenschutz-Anforderungen für den Industriestandort Deutschland. Dazu sehen…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.