Das Haustier, der Name des Partners oder simple Zahlenfolgen – bei der Wahl von Passwörtern herrscht oftmals Nachlässigkeit. Das Bewusstsein für Passwortsicherheit zu verbessern ist das Ziel des „Ändere-dein-Passwort-Tag“, der heute am 1. Februar stattfindet. Dies ist insbesondere für Unternehmen wichtig, denn immer mehr Hacker zielen darauf ab, sich einfache Passwörter finanziell zu Nutze zu machen. Hilfreiche Tipps, um Passwörter sicher zu gestalten, finden Sie hier:
Egal ob beim Starten des Firmen-Smartphones, bei der Intranet-Nutzung oder dem Social Media Account des eigenen Unternehmens – durch die Digitalisierung steigt die Zahl der Passwörter stetig an. Das ruft Hacker auf den Plan: Mit jeder neuen Anwendung oder jedem neuen Gerät kommen neue Berechtigungsnachweise hinzu – und damit für Cyberkriminelle neue Einstiegsmöglichkeiten in die Systeme ihrer Opfer. Viele Mitarbeiter machen es Hackern allzu leicht: So lautet das häufigste deutsche Passwort „123456“, auf dem zweiten Platz liegt „123456789“ und auf dem dritten Platz rangiert „12345678“.
Ziel von Cyberkriminellen ist es zumeist, in möglichst kurzer Zeit eine hohe Anzahl von Passwörtern zu knacken. Dafür nutzen sie unterschiedliche Varianten:
- Brute-Force-Angriffe: Reines Ausprobieren von möglichen Passwortkombinationen.
- Wörterbuch-Attacken: Ausprobieren von sinnvollen Wörtern, Eigennamen und Zahlenreihen.
- Phishing: Versand von E-Mails, durch die Internet-Nutzer auf gefälschte Internetseiten gelangen, z.B. Banken oder Online-Shops, wo dort eingegebene Passwörter gesammelt werden.
- Social-Engineering: Bewusstes Ausnutzen menschlicher Schwächen, etwa indem sich Cyberkriminelle als Mitarbeiter von IT-/Tech-Mitarbeiter ausgeben und konkret nach Passwörtern fragen.
Die Auswirkungen vom Passwort-Diebstahl sind vielfältig: Sie reichen vom unrechtmäßigen Abschluss von Verträgen und der Bestellung von Waren über die illegale Nutzung von E-Mail-Programmen, Messaging-Diensten oder Sozialen Netzwerken bis hin zur Durchführung von Online-Banküberweisungen.
Passwortdiebstahl kann also sehr lukrativ für Cyberkriminelle sein. Um es ihnen zu erschweren und Ihre Zugänge möglichst gut abzusichern, haben wir einige grundlegende Gefahrenquellen und Hinweise zusammengestellt:
1. Einfache Passwörter: Um sich Passwörter leicht merken zu können, setze viele Mitarbeiter auf Einfachheit. Namen, simple Wörter, Geburtstage und Zahlenfolgen sind beliebt – auch bei Cyberkriminellen. Besser sind Passwörter mit Zahlen und Sonderzeichen sowie mit Groß- und Kleinschreibung. Optimale Länge: mindestens acht Zeichen, besser mehr.
2. Gleicher Login bei unterschiedlichen Diensten: Oft werden auf unterschiedlichen Plattformen die gleichen Zugangsdaten verwendet. Das hat zur Folge, dass Cyberkriminelle leichten Zugriff auch auf die Dienste bekommen, bei denen dieselben Zugangsdaten verwendet werden – „Sieben Fliegen mit einer Klappe“. Mitarbeiter sollten daher unbedingt unterschiedliche Passwörter erstellen.
3. Regelmäßiges ändern von Passwörtern: Davon raten Experten zunehmend ab. Der Grund: Die Aufforderung, Passwörter regelmäßig zu ändern, verleitet dazu, auf Passwörter, die einem simplen Schema folgen: Start1, Start2, Start3 etc. So empfahl der Verein „Deutschland sicher im Netz“ (DsiN) im vergangenen Jahr den „Ändere-dein-Passwort-Tag“ in „Sicherer-Log-in-Tag“ umzubenennen.
Unabhängig von der konkreten Bezeichnung des Tages rät auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu, Passwörter nur zu ändern, wenn ein Zugriff unbefugter Dritter wahrscheinlich ist. Das ist beispielsweise der Fall, wenn Dienstanbieter den Nutzer auffordern, sein Passwort zu ändern oder, wenn die Nachricht auftaucht, dass die Daten eines bestimmten Dienstleisters gestohlen wurden und nun im Netz kursieren. Wird konkret festgestellt, dass Geräte mit einem Schadprogramm infiziert worden sind, ist es ebenfalls ratsam, Passwörter zu ändern.
4. Notieren von Passwörtern: Zettel und Excel-Tabellen werden genutzt, um Passwörter zu speichern – mit nicht zu unterschätzenden Sicherheitsrisiken bei falscher Aufbewahrung bzw. Ablage. Hiervon sollte also unbedingt abgesehen werden.
5. Versand von Passwörtern
In Unternehmen werden Passwörter oft per E-Mail oder Microsoft Teams versendet. Auch das sollte unbedingt vermieden werden, denn es ist nicht auszuschließen, dass sich jemand Externes Zugriff hierauf verschafft hat – ein Anruf zur Übermittlung ist hier eine geeignete Alternative.
6. Passwortmanager
Passwortmanager unterstützen in vielerlei Hinsicht bei den vorab aufgezählten Punkten. Es können z.B. Passwörter generiert und sicher verwaltet werden. Dabei werden alle Passwörter zentral in einer sicheren Datenbank verschlüsselt und abgelegt. Um Zugriff auf das jeweilige Nutzerkonto zu erhalten, bedarf es eines Hauptpasswortes. Das ist das einzige, das sich Nutzer von Passwortmanagern merken müssen. Und auch das kann zusätzlich per Zwei-Faktoren-Authentifizierung (siehe Punkt 8.) abgesichert werden. Zudem können über einige solcher Anwendungen Passwörter geteilt werden. Dabei legt der Eigentümer eines Nutzerkontos ein Zugriffslevel fest und bestimmt, welche Anwender Zugriff auf von ihm definierte Passwörter erhalten soll. Wichtig dabei ist ein Sicherung der Passwortdatenbank, denn ist diese zum Beispiel aufgrund einer defekten Festplatte nicht mehr verfügbar, sind alle Passwörter weg.
7. Zugriffsrechte definieren
Nicht jeder Mitarbeiter benötigt Zugriffsrechte auf alle Anwendungen, die ein Unternehmen nutzt. Dementsprechend sollten auch Zugriffsrechte unterschiedlich verteilt sein. Dies gilt insbesondere, wenn ein Mitarbeiter Rechte zur Administration besitzt. Hier sind immer zwei Benutzer zu erstellen: einen für die tägliche Arbeit und einen für die Administration.
8. Zwei-Faktor-Authentifizierung: Die Zwei-Faktor-Authentifizierung basiert auf der doppelten Absicherung von Zugangsdaten. Sie bietet sich vor allem bei besonders schützenwerten Daten an, also beispielsweise auch zur zusätzlichen Absicherung eines Hauptpasswortes für einen Passwortmanager. Nach der Eingabe des Passwortes wird zusätzlich ein Code abgefragt, der z.B. via SMS zugestellt wird und nach Eingabe Zugriff gewährt.
9. Unternehmensregeln aufstellen
Für Unternehmen bietet es sich an, einen Regelkatalog zu erstellen, der vorgibt, wie der Umgang mit Passwörtern zu handhaben ist. Auf den Katalog sollten das Unternehmen bzw. die Führungskräfte in regelmäßigen Abständen hinweisen.
Fazit: Passwörter sicher zu gestalten ist grundsätzlich also gar nicht so schwer. Die Herausforderung besteht für Unternehmen oftmals darin, ihre Mitarbeiter zu sensibilisieren und ihnen die Notwendigkeit sicherer Passwörter vor Augen zu führen. Wir bieten Ihnen hierfür gerne unsere Unterstützung an.
Mit Layer8 zu mehr Security Awareness
Layer8 ist eine interaktive Schulungsplattform, auf der vielfältige Angebote zum Thema Security Awareness in Unternehmen bereitstehen. Mithilfe kurzer Beiträge, Videos und Podcasts werden Mitarbeiter geschult und für die Informationssicherheit sensibilisiert. Durch Phishing-Simulationen kann der Erfolg direkte überprüft werden. Sprechen Sie uns an – gemeinsam finden wir den richtigen Input für Ihre Teams.