Passwörter: Der Schlüssel zu mehr Sicherheit

  • Im Geschäftsalltag finden Prozesse vermehrt online statt, doch unsichere Passwörter stellen ein zunehmendes Risiko dar. Was ist bei der Passwortsicherheit zu beachten? Seit dem Ausbruch des Coronavirus ist der berufliche Alltag digitaler als jemals zuvor. Für viele sind Home-Office, Video-Calls & Co. zur Routine geworden. Doch damit nehmen auch die Risiken durch Internetkriminalität und Identitätsdiebstahl zu. Für Unternehmen sind Cyber-Gefahren zur größten Sorge aufgestiegen, ergab das Allianz Risk Barometer 2022. Ein wichtiger Baustein für die Online-Sicherheit ist nach wie vor das Passwort. Auch wenn es schon oft totgesagt wurde, ist es in zahlreichen Unternehmen weiterhin die häufigste Authentifizierungsmethode. Aber: Je digitaler die Welt wird, desto mehr Kennwörter müssen wir jonglieren. Es breitet sich eine Art Kennwortmüdigkeit aus. Wegen zu schwachen oder gar mehrfach genutzten Passwörtern sowie zunehmenden Phishing-Attacken wird deren Verwendung immer unsicherer. Was ist für Unternehmen bei der Passwort-Sicherheit somit zu beachten?

Sammelsurium an Passwörtern

  • Diverse Tools und Applikationen erleichtern den Arbeitsalltag – und es werden mit der Zeit immer mehr. Experten schätzen, dass sich die Zahl der Accounts alle fünf Jahre verdoppelt. Man kann annehmen, dass ein neuer Mitarbeiter im Unternehmen mit etwa 20 Passwörtern startet, jeder erfahrene Business-User kommt bereits auf etwa 50 Accounts. Diese Zahlen veröffentlichten Dashlane und LastPass, zwei Anbieter von Passwort-Managern. Innerhalb kürzester Zeit entsteht ein Sammelsurium an Passwörtern und User-Identitäten – die weitreichenden Folgen für das Unternehmen haben können.

    • Auch wenn die Zahl der Logins, die für die Arbeit und privat genutzt werden, im Einzelfall niedriger liegen mag: Die Gefahr, dass Passwörter recycelt werden, steigt. Studien des Ponemon Institute zufolge macht dies jeder Zweite, im Durchschnitt nutzen wir nur fünf Passwörter – sowohl geschäftlich als auch privat. Bei Usern herrscht der Wunsch nach Einfachheit und Bequemlichkeit vor. Um sich Kennwörter besser merken zu können, tendieren viele Nutzer auch zu eher schwachen Passwörtern.

    • Neben der Gefahr von Hackerangriffen sorgen Passwörter zudem für hohe Kosten: So drehen sich nach Angaben von Microsoft 30 bis 60 Prozent der Support-Desk-Anrufe in Unternehmen um das Zurücksetzen von Passwörtern.
    • Der größte Nachteil von Passwörtern ist die Leichtigkeit, mit der sie in die falschen Hände geraten können. Kompromittierte Passwörter sind nach wie vor eine der Hauptursachen für Datendiebstahl. In 80 Prozent dieser Fälle werden die Kennwörter gehackt, so der Data Breach Investigations Report 2022 von Verizon.

Kriterien für ein sicheres Passwort

  • Wenn schon Passwörter, dann sollten User starke und einzigartige Passwörter kreieren, die einen besonders hohen Schutz gewährleisten. Dazu muss ein Passwort laut Experten folgende Kriterien erfüllen

    • Es gilt: Je länger das Passwort, desto sicherer. Kaspersky beispielsweise empfiehlt eine Länge von mindestens 16 Zeichen.
    • Ein starkes Passwort zeichnet sich auch durch Komplexität aus. Das Kennwort sollte daher Klein- und Großbuchstaben, Ziffern und Sonderzeichen enthalten. 
    • Keine personenbezogenen, leicht nachvollziehbaren Informationen wie Hobbies, Vornamen, Nachnamen, Geburtsjahre oder -tage nutzen,
    • Logische und simple Wörter, Phrasen, feste Wortverbindungen und Zeichensätze, die leicht zu erraten sind, meiden.
    • Für jeden Online-Account ein eigenes Passwort.

Ein wichtiges Konzept: Awareness

  • Ein wichtiges Konzept gegen Cyber-Bedrohungen ist Awareness, also die Sensibilisierung der Mitarbeiter und Mitarbeiterinnen auf die Sicherheit von Passwörtern. Studien zeigen jedoch, dass die Awareness rund um das Thema Passwort-Sicherheit nach wie vor gering ist. Unternehmen sollten Mitarbeiter daher im Umgang mit sicheren Passörtern schulen. Dazu gehört auch, Regeln zum Erstellen eines sicheren Passworts auszugeben. Eine effektive Passwortrichtlinie erhöht die IT-Sicherheit eines Unternehmens. In solch einer Richtlinie sollten folgende Bereiche abgedeckt werden:

    • Verpflichtung zum Verwenden von Passwörtern: Wenn im Unternehmen Passwörter weiterhin der Standard sind, sollte auch jedes Gerät, mit dem ein Zugriff auf personenbezogene Daten möglich ist, mittels Passwort abgesichert sein.

    • Anforderungen an Passwörter: Das Unternehmen soll das Ziel verdeutlichen, dass sichere Passwörter verwendet werden. Anhand der vorgegebenen Richtlinie zur Passwortsicherheit legt jeder Anwender sein Passwort selbst fest. 

    • Übermitteln von Passwörtern: All diese Sicherheitsvorkehrungen sind wenig wert, wenn die Daten unverschlüsselt durch fremde Netzwerke laufen. Halten Sie in der Passwortrichtlinie die Sicherheitsbestimmungen für Netzwerke sowie Verbindungen fest.

    • Passwörter speichern: Passwörter werden idealerweise verschlüsselt und an einem sicheren Ort aufbewahrt – indem man beispielsweise einen Passwortmanager nutzt.
      Die Passwortrichtlinie kann allerdings noch so gut formuliert sein – die eigentliche Herausforderung besteht in ihrer effektiven Umsetzung. Nur dann bietet sie Schutz gegen Angriffe.

Sichere Alternative zu Passwörtern

  • Die Probleme rund um Passwörter sind alles andere als neu. Es ist seit Langem klar, dass Passwörter keine langjährige Zukunft mehr haben. Bei sensiblen Zugängen, wie etwa Banking-Accounts, ist es ob der Risiken schon längere Zeit Standard, sie mit einer Zwei-Faktor- bzw. Multi-Faktor-Authentifizierung (MFA) abzusichern. Auf diese Methoden sollten auch Unternehmen vermehrt setzen. Ein Beispiel: Mit Hilfe eines eigenen und einfach zu verwendenden FIDO2-Keys oder über eine App am Smartphone. Der Ablauf ähnelt dem einer Online-Zahlung – nur, anstatt eine Zahlung zu tätigen, meldet man sich am Computer, bei der App oder einem Online-Dienst an.

  • Fotocredit: AdobeStock/Blue Planet Studio