Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

Passwörter

Wer hätte es gedacht: Nach einer Meldung des Hasso-Plattner-Instituts (HPI) vom 18.12.2018 lautet das beliebteste Passwort der Deutschen immer noch "123456". Dementsprechend besteht nach Meinung von Thomas Malchar, CEO von Password Safe, auch 2019 noch erheblicher Nachholbedarf im Bereich Passwort-Management.

Das renommierte Institut des SAP-Mitgründers Hasso Plattner wertet jährlich mithilfe des institutseigenen "HPI Identity Leak Checker" Zugangsdaten aus, die auf E-Mail-Adressen mit .de-Domäne registriert und im Laufe des Jahres geleakt wurden. 2018 kamen hier ca. 500.000 Zugangs-Codes und mehr als 60 Millionen Identitäten aus 120 Datenleaks zusammen. 

Top 10 deutscher Passwörter

(Quelle Daten und Grafik: Pressestelle Hasso Plattner Institut)

Das Ergebnis dieser Untersuchung belegt in seiner traurigen Kontinuität leider immer noch ein erhebliches Bewusstseins- und Wissens-Defizit des "Otto Normal-Users" bezüglich der Risiken, die für Privatpersonen und Unternehmen durch eine erschreckend sorglose Herangehensweise bei der Wahl eines persönlichen Passwords entstehen können.

Warum wählen Menschen schwache Passwörter?

Die Gründe, warum Benutzerinnen und Benutzer sich so wenig Mühe bei der Generierung ihrer persönlichen Zugangskennungen geben, wurden bei dieser Erhebung verständlicherweise nicht genannt – kaum jemand würde öffentlich zugeben, eines dieser Passwörter gewählt und damit die Sicherheit seines Accounts leichtfertig aufs Spiel gesetzt zu haben. Aus meiner langjährigen Erfahrung als IT-Sicherheitsexperte kann ich aber nichtsdestotrotz die offensichtlichen Hauptursachen nennen:

1. Bequemlichkeit

Tatsächlich sind sehr viele User einfach zu bequem, sich weitergehende Gedanken zum Thema Passwort-Sicherheit zu machen. Mittlerweile fordern viele Programme und Webseiten gewisse Mindeststandards ein (siehe unten). Diesen wird dann in der Regel aber auch nur gefolgt, wenn der Anmeldevorgang ansonsten nicht weiter fortgesetzt werden kann. Zudem versuchen sehr viele Anwender, ein einmal gewähltes – und einigermaßen sicheres – Passwort dann bei allen Accounts einzusetzen. Hier multipliziert sich die Gefahr, da Hacker nur ein paar Mausklicks benötigen, um weitere Zugänge zu ermitteln, die der geleakten Identität zugeordnet werden können.

2. Angst, ein kompliziertes Passwort zu vergessen

Hat man sich ein Passwort ausgedacht – oder durch eine App erstellen lassen, das den nachfolgenden Kriterien entspricht, besteht natürlich die Gefahr, es aufgrund seiner abstrakten Struktur einfach zu vergessen. Die resultierenden Konsequenzen und Mühen zur Wiederherstellung werden dabei gewöhnlich überschätzt.

Bevor wir uns jetzt den Kriterien zuwenden, die es Hackern und Cyber-Kriminellen enorm erschweren, sich Zugang zu einem Account zu verschaffen, muss ich darauf hinweisen, dass es "das perfekte Passwort" natürlich nicht gibt. Früher oder später kann jedes Passwort gehackt werden. Es kommt vielmehr darauf an, den Zeit- und Kosten-Aufwand, den die Angreifer investieren müssen, so hoch zu halten, dass es sich einfach nicht lohnt, diesen Weg zu gehen. Nachfolgend habe ich die absoluten Mindestanforderungen aufgelistet, die ein einigermaßen sicheres Passwort aufweisen sollte:

Eigenschaften eines ziemlich sicheren Passworts

  • Länge: Das absolute Minimum sind 8 Zeichen, die einhellige Branchenmeinung liegt sogar bei 15 Zeichen.
     
  • Zeichenumfang: Beschränken Sie sich nicht auf Groß- oder Kleinschreibung, sondern mischen sie diese, beziehen Sie auch Zahlen und Sonderzeichen mit ein (aber bitte nicht nur §,$,% und &).
     
  • Sinnfreiheit: Ihr neues sicheres Passwort sollte keine Wörter enthalten, die man in einem Wörterbuch findet (zumindest nicht in einem deutschen oder englischen), keine Vor- und Nachnamen von Ihnen, Familienangehörigen und Freunden sowie keine wichtigen Daten, die recherchiert werden können (Hochzeit, Geburtstag, etc.). Und Ihre Lieblings-Automarke sollte auch außen vor bleiben – insbesondere, wenn Sie gerade ein Modell dieses Herstellers fahren. Weiterhin lassen sich auch Kfz-Kennzeichen ziemlich einfach herausfinden. 
     
  • Frische: Ein sehr gutes Passwort hat aber auch eine gewisse Halbwertzeit, nach deren Ablauf die Stärke kontinuierlich abnimmt. Wechseln Sie Ihr Passwort also regelmäßig – und verwenden Sie für jeden Account ein anderes. Bitte sehen Sie auch davon ab, lediglich zwischen zwei Passwörtern hin- und herzuwechseln.

Noch besser: Passwort-Management

Nun kennen Sie zwar bereits die Vorgehensweise, die Sicherheit eigener Passwörter signifikant zu erhöhen. Im Unternehmenskontext müssen Sie aber auch darauf achten, dass sich Ihre Kolleginnen und Kollegen ähnlich vorbildlich verhalten. Hier lässt sich mit regelmäßigen Schulungen das allgemeine Risikobewusstsein deutlich erhöhen – und mit einem erhebliche Aufwand auch auf einem gewissen Niveau halten. Über kurz oder lang – so lehrt uns die Erfahrung – ebbt die "Passwort-Achtsamkeit " aber wieder ab und pendelt sich auf einem Plateau ein, das aus Unternehmenssicht nicht mehr akzeptiert werden kann. Das Hauptproblem: Überlassen Sie das Passwort-Management komplett dem Pflichtbewusstsein und der Phantasie Ihrer Mitarbeiterinnen und Mitarbeiter, können Sie natürlich nicht überprüfen, ob die verwendeten Passwörter tatsächlich so stark und Hacker-resistent sind, wie Sie annehmen.

Um wirklich auf Nummer sicher zu gehen, sollten Sie daher auf eine zentrale Lösung setzen, die jenseits der veralteten "Ein-Passwort-Politik" auf der Höhe der Zeit ist und den Anforderungen der immer weiter fortschreitenden Digitalisierung entspricht, bzw. mit zukünftigen Entwicklungen Schritt halten kann. Zudem sollte die Sicherheitsarchitektur Ihnen ermöglichen, mithilfe rollenbasierter Zugriffskontrollen Ihre Unternehmensstruktur und die jeweiligen Verantwortlichkeiten detailliert abbilden zu können. Ohne zentrales und flexibles Access und Identity Management bleibt Ihnen nur die Hoffnung, dass sich Ihre Mitarbeiterinnen und Mitarbeiter bei der Wahl eines Passworts gegen die Einbeziehung ihres Haustieres, ihres Geburtsdatums oder dem Vornamen des Erstgeborenen entschieden haben. 

Thomas Malchar, CEO
Thomas Malchar
CEO, Password Safe
Thomas Malchar ist CEO der im Jahre 2006 gründeten MATESO GmbH. Seine entwickelte Software Password Safe nutzen heute über 10.000 Firmenkunden.
GRID LIST
Tablet Patientendaten

Datenschutz im Gesundheitswesen - zu niedrige Hürden für Cyberangriffe

Mit der Datenschutz-Grundverordnung (DSGVO) ist das Thema Datenschutz auch bei…
DSGVO

Drei häufige Fehleinschätzungen bei der DSGVO

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist seit Mai 2018 in Kraft…
Datenschutz Schild

Datenschutz-Abc: Von Auftragsverarbeitung bis Zweckbindung

Auch über ein Jahr nach dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) gehört…
Stadt Shilouette mit Binärcode und Schlössern

E-Government und Datenschutz: Ein Fall für die „Security by Design”

Die Digitalisierung wird im Unternehmen und im privaten Alltag zusehends…
DSGVO

Steigende DSGVO-Bußgelder

Unlängst verhängte die Berliner Datenschutzbehörde das bis dato höchste DSGVO-Bußgeld von…
Security Kreis

Externe Datenschützer als Security-Berater

In vielen Unternehmen türmen sich Datenberge mit undurchsichtigen Zugriffsrechten auf den…