Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Passwort

Es ist lange her, dass ausschließlich Großkonzerne Opfer von Cyberkriminellen wurden. Heute haben sie es auf alle und jeden abgesehen, denn nahezu jedes Unternehmen geht mit Daten um. „Daten sind das Gold unserer Zeit. Das macht eine Passwortrichtlinie umso wichtiger, in der festgehalten wird, wie ein sicheres Passwort überhaupt aussieht.

Dazu gehört die Festlegung der Mindestlänge eines Passworts, Vorgaben zur Verwendung von Sonderzeichen sowie die Angabe einer Zeitspanne, nach der ein Passwort zu ändern ist“, so Christian Heutger, CTO bei der PSW GROUP Consulting.

Der IT-Sicherheitsexperte macht anhand häufig verwendeter Methoden deutlich, wie leicht es Angreifern gelingen kann, Passwörter zu erbeuten, um an gespeicherte Daten zu gelangen. „Mithilfe von Brute Force-Attacken versuchen Cyberkriminelle, Passwörter zu erraten. Dabei kombinieren sie Buchstaben, Satzzeichen, Zahlen und Sonderzeichen. Fast noch einfacher ist die so genannte Dictionary Attack, bei der Angreifer mit Datenbanken arbeiten, in denen oft verwendete Passwörter enthalten sind. Manchmal probieren sie auch einfach Begriffe aus einem Wörterbuch aus, weshalb ich eindringlich davor warne, Wörter, die so auch im Duden zu finden sind, als Kennwort zu verwenden.“

Aufwändiger sind hingegen die Methoden des Social Engineerings sowie des Sniffings. Bei letzterem überwachen Cyberkriminelle den Datenverkehr ihrer Opfer – einschließlich der Eingabe von Benutzernamen und Passwörtern. „Möglich ist die Überwachung beispielsweise durch den Einsatz von Schadsoftware auf dem System. Auch lassen sich Netzwerkverbindungen außerhalb der eigenen IT-Infrastruktur überwachen“, erklärt Heutger. Social Engineering hingegen ist eine besonders perfide Masche, denn die Passwörter müssen nicht erraten werden, sie werden direkt erfragt. So geben sich Angreifer als Kollegen aus der IT aus und erfragen zu angeblichen Testzwecken Passwörter. „Es gehört eine hohe Mitarbeitersensibilisierung dazu, nicht auf diese Masche hereinzufallen. Die Opfer handeln meist in gutem Glauben und geben sämtliche Zugangsdaten preis“, so Christian Heutger.

Diese Anforderungen an Passwörter sollten im Rahmen einer Passwortrichtlinie berücksichtigt werden:

Passwortlänge

Es sollen ausschließlich alphanumerische Zeichen verwendet werden. Zuden sollte das Passwort eine Mindestlänge von acht Zeichen, besser jedoch 12 Zeichen haben. Stehen für ein Passwort ausschließlich Ziffern zur Verfügung, muss es mindestens sechs Zeichen lang sein. Zudem sollte das Authentisierungssystem den Zugang nach einer bestimmten Anzahl von Fehlversuchen sperren.

Sonderzeichen

Damit ein Passwort nicht leicht zu erraten ist, sollte auf Namen, Geburtsdaten, Kfz-Kennzeichen und ähnliches verzichtet werden. Idealerweise gibt die Passwortrichtlinie vor, dass das Passwort aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen besteht. Die Verwendung mindestens zweier Zeichenarten sollte Pflicht sein.

Regelmäßige Passwort-Änderungen

Es ist wichtig, dass jeder Benutzer im Betrieb sein Passwort jederzeit ändern kann – und zwar spätestens alle 90 Tage. Außerdem ist ein Passwortwechsel durchzuführen, wenn das Passwort in unbefugte Hände geraten ist – oder auch nur der Verdacht besteht. Keinesfalls sollten alte Passwörter nach dem Passwortwechsel noch einmal verwendet werden.

Zu den wohl größten Irrtümern bei der Vergabe von Passwörtern gehört es, dass Passwörter beim Wechseln einfach variiert werden. Da wird aus dem Passwort „PE567rd“ einfach „567PErd“. „Viele Benutzer möchten Passwörter mit maximal acht Zeichen, idealerweise ohne Sonderzeichen, um sich Passwörter gut zu merken. Doch solchen Passwörtern kommen auch Cyberkriminelle schnell auf die Spur“, spricht Heutger ein verbreitetes Problem an und macht deutlich: „Gute Passwörter sind lang. Sie bestehen aus mehreren Wörtern und verschiedenen Zeichen wie Zahlen oder Sonderzeichen.“ Allerdings: Zu viele Sonderzeichen sind auch nicht sinnvoll. Denn Passwörter mit vielen Sonderzeichen sind mithilfe von Brute Force-Attacke schnell herausgefunden.

In einer Passwortrichtlinie geht es allerdings nicht ausschließlich um die Festlegung von Passwörtern und Anforderungen an diese. Auch andere Bereiche müssen für einen ganzheitlichen Ansatz Berücksichtigung finden. Dazu gehört, Mitarbeiter dazu zu verpflichten, jedes Gerät, mit dem ein Zugriff auf personenbezogene Daten möglich ist, mittels Passwort abzusichern. „Diese Sicherheitsvorkehrungen sind jedoch nichtig, wenn die Daten unverschlüsselt durch fremde Netzwerke laufen. Deswegen müssen in der Passwortrichtlinie auch Sicherheitsbestimmungen für Netzwerke sowie Verbindungen festgehalten werden“, gibt Heutger zu bedenken. Das gilt im Übrigen auch für das Speichern von Passwörtern: Passwörter werden idealerweise verschlüsselt und an einem sicheren Ort aufbewahrt. „In der Passwortrichtlinie sollte darüber hinaus die vorgeschriebene Passwortänderung ihren Platz finden sowie zulässige Passwort-Manager aufgelistet werden. Zudem sollten Mitarbeiter angeleitet werden, beim Verlassen ihres Arbeitsplatzes den Bildschirm zu sperren – das gilt auch für alle mobilen Endgeräte. So wird der Passwortschutz aktiv und es gibt eine Kontrolle über den Zugriff“, rät Christian Heutger.

Weitere Informationen unter: https://www.psw-consulting.de/blog/2019/04/02/passwortrichtlinie-ihr-weg-zu-besserem-datenschutz/

www.psw-group.de
 

GRID LIST
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…