Passwortsicherheit: Das sind die To-dos fürs Business
Am 1. Februar war Tag der Passwortsicherheit. An diesem Tag sollte jeder seine verwendeten Passwörter ändern. Und haben Sie es gemacht? Nein? Dann sind Sie in guter Gesellschaft. Studien belegen, dass sich die Deutschen wenig um ihre Passwörter scheren. Über 60 Prozent verwenden dasselbe Passwort für mehrere oder sogar alle Dienste. In Unternehmen sieht es nicht besser aus: Fast 75 Prozent der IT-Führungskräfte in Europa haben keine Kontrolle über die Passwortsicherheit in ihren Unternehmen. Wie ein sicheres Passwort aussehen muss und warum wir die alten Passwort-Regeln vergessen sollten…
Update vom 06.02.2020: „Ändere-dein-Passwort“-Tag bald Geschichte?
Endlich hat der nervige Passwortwechsel ein Ende. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt nun von seiner Empfehlung ab, ein Passwort regelmäßig zu ändern. Ganz zur Freude von IT-Sicherheitsexperten, die schon seit Jahren der Meinung sind, dass regelmäßige Passwortwechsel mehr schaden als nützen. Gerade in Unternehmen führte die Vorgabe dazu, dass viele Mitarbeiter überfordert waren und Passwörter deshalb ohnehin nur minimal abgeändert haben. Nun hat also auch das BSI ein Einsehen und streicht die Empfehlung, Passwörter regelmäßig zu wechseln, aus seinem IT-Grundschutz-Kompendium. Ab sofort müssen Sie ganz hochoffiziell Passwörter nur noch ändern, wenn Sie den Verdacht haben, dass es einem Unbefugten in die Hände gelangt ist.
Übrigens ist Deutschland beim Thema Passwort kein Vorreiter. In den USA hat die zuständige Behörde NIST bereits 2017 die Vorgabe zum Passwortwechsel gestrichen. Die britische Communications Electronics Security Group (CESG) sogar schon 2016. Der 01.02.2020 könnte somit der letzte „Ändere-dein-Passwort“-Tag gewesen sein.
Welche Regeln beim Thema Passwortsicherheit aber nach wie vor gelten, können Sie in unserem Artikel lesen:
Sorgloser Umgang mit Passwörtern
Eine aktuelle Umfrage ergab: 61 Prozent der Internet-Nutzer verwenden dasselbe Passwort für mehrere oder alle Online-Dienste. Und die jüngeren User sind sogar noch sorgloser: Bei den 18- bis 29-Jährigen sind es 73 Prozent. Die Studie ergab außerdem, dass fast jeder zweite Befragte schlichtweg genervt ist von diesem Thema. Und das heißt schlussendlich nichts anderes, als dass wenig Lust besteht, sich damit zu beschäftigen.
Quelle:obs/WEB.DE
Passwortsicherheit kommt in Unternehmen zu kurz
Während ein lascher Umgang mit Passwörtern im privaten Bereich bereits schlimme Konsequenzen haben kann – von Datenklau bis hin zum Missbrauch kompletter Identitäten – kann er für Unternehmen und Selbständige existenzbedrohend werden. Obwohl die Angst vor Hackerangriffen groß ist, herrscht auch im Business ein zu sorgloser Umgang mit Passwörtern, so Experten.
Eine Studie von LastPass zeigt: Fast 75 Prozent der europäischen IT-Führungskräfte haben keine Kontrolle über die Passwortsicherheit in ihren Unternehmen. 76 Prozent der befragten Mitarbeiter gaben an, dass sie regelmäßig Probleme mit der Verwendung von Passwörtern haben. Und damit sind wir beim eigentlichen Problem: Unternehmer geben das Problem „Passwörter“ gerne einfach an ihre Mitarbeiter weiter, ohne sich selbst damit zu beschäftigen. Das ist jedoch keine Lösung. Denn am Ende trägt das Unternehmen die Konsequenzen, wenn es ins Visier der Hacker gerät.
Tipps zum Passwortmanagement: Was müssen Unternehmen beachten?
Deshalb sollten Unternehmer zum Thema Passwortsicherheit klare Ansagen machen und die Prozesse regelmäßig überprüfen. Unsere Tipps für gutes Passwortmanagement:
1. Klare Passwort-Vorgaben machen
Wenn Ihre Mitarbeiter nicht wissen, was ein sicheres Passwort ist und es keine Anweisungen dazu gibt, werden sie irgendeines wählen – wahrscheinlich eines, das sie sich gut merken können. Nicht umsonst gehören „hallo“ und „12345“ immer noch zu den beliebtesten Passwörtern.
Deshalb braucht es klare Passwort-Regeln: Definieren Sie Länge und Aufbau von Passwörtern und legen Sie fest, ob und wann sie gewechselt werden müssen. Oder legen Sie No-gos fest, zum Beispiel dass der Name des Mitarbeiters oder des Unternehmens nicht im Passwort vorkommen darf.
Die Reue des Passwort-Gurus oder: Warum wir die alten Passwortregeln vergessen sollten…
Es war alles so schön einfach. Seit vielen Jahren wird uns gepredigt, wie ein sicheres Passwort auszusehen hat: Mindestens eine Zahl und ein Sonderzeichen und alle 90 Tage das Passwort wechseln. Doch der Verfasser dieser goldenen Passwortregeln, Bill Burr, zerstört nun selbst unsere Illusionen: „Vieles von dem, was ich getan habe, bereue ich“, sagte er in einem Interview mit dem Wall Street Journal. Am Ende seien seine Regeln wohl zu kompliziert, um verstanden zu werden. Und jetzt? Jetzt gibt es einen neuen Passwort-Ratgeber des NIST (National Institute of Standards an Technology), die US-Behörde, für die auch Burr arbeitete. Die wichtigsten neuen Regeln:
- je länger desto besser: Umso mehr Zeichen ein Passwort hat, umso schwerer ist es für Hacker, es zu knacken. Das Minimum sollten 8 Zeichen sein, bereits 12 erhöhen die Sicherheit signifikant, noch besser: 16 Zeichen!
- Zeichen mischen: Lange Zeit galten Sonderzeichen als das Zauberwort in Sachen Passwortsicherheit. Wahllose Kombinationen aus Sonderzeichen wirken auf User zwar sicher, sind es aber nicht. Für Hacker sind solche Passwörter relativ leicht zu knacken. Daher ist es besser, weniger Sonderzeichen zu verwenden, dafür aber als Grundlage lange Phrasen, die aus mehreren Wörtern bestehen.
- nicht nach dem Wörterbuch gehen: Wer den Tipp „Passwortlänge“ beherzigen will und deshalb auf Sätze oder mehrere aneinandergereihte Wörter setzt, sollte sie grammatikalisch unkorrekt schreiben, sinnfreie Sätze formulieren und sie mit Sonderzeichen ergänzen. Auch einzelne Wörter, die im Duden stehen, sollten Sie vermeiden.
Übrigens: Auch die Regeln, Passwörter alle 90 Tage zu ändern, ist überholt. Wenn das Passwort nach den neuesten Vorgaben als sicher gilt, gibt es keinen Grund, es zu ändern – außer es gibt einen konkreten Anlass wie beispielsweise ein (versuchter) Hacker-Angriff.
2. Mitarbeiter schulen
Wenn es Regeln gibt, müssen sie auch eingehalten werden. Daher ist es wichtig, Mitarbeiter regelmäßig die neuesten Vorschriften für sichere Passwörter zukommen zu lassen – beispielsweise in Form eines Reminders, der gleich auch daran erinnert, falls Passwörter geändert werden sollen.
3. Zugangsrechte ordentlich verwalten
Wenn ein Mitarbeiter das Unternehmen verlässt oder in eine andere Position wechselt, muss sichergestellt sein, dass auch seine Zugriffsrechte entsprechend angepasst werden. Dafür ist ein automatisiertes System sinnvoll, das Zugangsrechte und Accounts verwaltet und aktualisiert, sobald es Veränderungen gibt.
4. Sensible Daten doppelt sichern
Für den Zugang zu besonders sensiblen Unternehmensdaten sollten Sie auf eine sogenannte Zwei-Faktor-Authentifizierung setzen. Das bedeutet, dass für den Zugang zusätzlich zum Passwort eine weitere Eingabe notwendig ist, beispielsweise ein Code, ein temporäres Passwort oder ein Fingerabdruck.
5. Über professionelle Passwort-Manager nachdenken
Ein professionelles Passwort-Management kann individuell auf jedes Unternehmen zugeschnitten werden und Licht in das Passwortchaos bringen. Es verwaltet alle Anmeldeinformationen, synchronisiert diese automatisch und kann dabei helfen, sichere Kennwörter zu generieren. Hier finden Sie die Passwort-Manager, die Stiftung Warentest empfiehlt.
Sichere Passwörter und gute Absicherung
Auch wenn Sie Ihre Passwörter nach den neuesten Regeln erstellen, eine 100%ige Sicherheit wird es nie geben. Leider passen sich auch Hacker den neuen Vorgaben an und entwickeln immer neue Algorithmen, um an Ihre Daten zu kommen. Deshalb ist als „Auffangnetz“, falls Ihr Business doch ins Visier von Cyber-Kriminellen gerät, eine gute Berufshaftpflichtversicherung wichtig. Die Berufshaftpflichtversicherungen über exali.de mit dem Zusatzbaustein Datenschutz- & Cyber-Eigenschaden-Deckung (DCD) schützen Ihr Business, wenn Sie Opfer eines Hacker-Angriffs oder allgemein von Mal- und Ransomware werden. Dabei begleicht der Versicherer nicht nur die Kosten, die entstehen, um Ihre IT-Systeme wieder herzustellen, sondern auch für die Beauftragung von Experten (zum Beispiel Computer-Forensik-Analysten oder spezialisierte Anwälte) oder das Krisenmanagement.
