Passwortsicherheit: größtes Schutzrisiko seit Jahren – Gastbeitrag von Andreas Kunz

Beim Zugang zu personenbezogenen Daten und Systemen stellt die Passwortsicherheit – und damit verbunden auch die Passworthygiene – seit Jahren eines der größten Sicherheitsrisiken dar. Über 80 Prozent aller Sicherheitsverletzungen sind mittlerweile auf schwache, mehrmals verwendete oder gestohlene Passwörter zurückzuführen [1]. Ein Fakt, der so erst einmal nicht wegzudiskutieren ist und für sich allein steht. Doch woran liegt das? Und was muss dagegen getan werden?


Infobox 1

Welche Verhaltensregeln gelten für Passwörter?

  • Keine Weitergabe von Passwörtern, auch nicht an Vorgesetzte.
  • Passwörter dürfen nicht offen notiert und schriftlich abgelegt werden.
  • Für jede Anwendung muss ein individuelles Passwort gewählt werden, dieses darf sich nicht wiederholen.
  • Bei Verdacht einer Kompromittierung sind entsprechende Stellen im Unternehmen zu informieren und das Passwort sofort zu ändern.
  • Private Kennwörter dürfen nicht für geschäftliche Accounts verwendet werden – und umgekehrt.
  • Kein „Hochzählen“ von Passwörtern bei der (regelmäßigen) Passwortänderung, also nicht P@ssw0rt01, P@ssw0rt02 und so weiter.

Unkenntnis schützt bekanntlich nicht vor Strafe. Sie kann hier auch nicht der ausschlaggebende Faktor sein. Laut der Umfragewerte des Berichts „Psychologie der Passwörter 2022“ des webbasierten Passwortmanager-Online-Dienstes LastPass verfügen knapp zwei Drittel der Befragten über Kenntnisse zum Thema Cybersicherheit [2]. Auch wenn nur 31 Prozent die Mehrfachnutzung von Passwörtern unterlassen und 33 Prozent starke Passwörter für Arbeitskonten verwenden. Zu erkennen ist auch ein Unterschied bei der eigenen Sicherheitseinschätzung und dem Passwortverhalten zwischen den Generationen, bei dem durchaus voneinander gelernt werden könnte. Wäre die Erhöhung des Austauschs und der Awareness somit ein zentrales Mittel? Grundsätzlich ist dieser Ansatz nie falsch, gerade im sich schnell wandelnden digitalen Umfeld.

Doch auch im Arbeitsumfeld ist Mitarbeitenden die Bedeutung der Sicherheit bewusst. Dennoch wünschen sie sich schnelle, praktische und einfach funktionierende Technologien mit einem Höchstmaß an Komfort und Flexibilität. Unternehmen stellt dies vor eine größere Herausforderung denn je: Sie müssen Passwörter absichern und die Authentifizierung in heterogenen Umgebungen verwalten, ohne die Endbenutzer bei der Arbeit zu stören. 


Infobox 2

Wie sieht ein sicheres Passwort aus?

Ein sicheres Passwort besteht aus mindestens acht Zeichen, es setzt sich zusammen aus Buchstaben (Groß- und/oder Kleinschreibung), Ziffern und Sonderzeichen. Aus den vier Bereichen (Groß-, Kleinschreibung, Ziffern, Sonderzeichen) müssen für ein sicheres Passwort mindestens drei gewählt werden.
 
Beispiel für ein sicheres Passwort: We.ga!97

HDT-Veranstaltungsempfehlung:
Digitalisierungsthemen im HDT

Was ist ein sehr starkes Passwort?

Ein sehr starkes Passwort besteht aus mindestens zwölf Zeichen. Es erfüllt außerdem die bereits oben beschriebenen Kriterien für sichere Passwörter – mit dem Unterschied, dass hier aus allen vier Bereichen (Groß- und Kleinschreibung, Ziffern, Sonderzeichen) gewählt werden muss. Außerdem darf das Passwort nicht als Wort lesbar sein (nicht also beispielsweise Karlheinrich123!).
 
Beispiel für ein sehr starkes Passwort: Mz1501.Hl?Dq


Passwörter allein reichen für den Schutz des Unternehmens nicht aus

Die Zahl der gestohlenen Zugangsdaten ist seit 2017 um fast 30 Prozent gestiegen und hat sich in den letzten vier Jahren zu einer der erfolgreichsten Methoden entwickelt, um sich Zugang zu einem Unternehmen zu verschaffen.  Die jährliche Top Ten deutscher Passwörter des Hasso-Plattner-Instituts (HPI) verschafft einen ersten Überblick darüber, wie es um das Passwort-Verhalten und das Bewusstsein der Deutschen in 2022 stand [3]. 

Um ein sicheres Verhalten zu fördern, braucht es die richtigen Verhaltensweisen. Zu wissen, was richtig ist, ist das eine. Es in die Tat umzusetzen, etwas ganz anderes. So können schlechte Gewohnheiten mit Wissen und Technik verändert werden. Mit Unterstützung der richtigen Tools und Methoden – zum Beispiel durch Passwort-Manager für die Passwortverwaltung – kann so die Lücke zwischen gefühlter und tatsächlicher Sicherheit online geschlossen und Sicherheitswissen in sinnvolles Handeln überführt werden. Die Multi-Faktor-Authentifizierung (MFA) mit einem zweiten oder sogar dritten Faktor kann die Sicherheit noch einmal drastisch anheben.


Infobox 3

Was muss bei Passwörtern sonst noch beachtet werden?

Ein Passwort darf nicht 

  • den eigenen Namen oder den von Familienmitgliedern enthalten,
  • aus der eigenen Telefonnummer oder Geburtstagen bestehen,
  • den Namen der Firma beinhalten,
  • den Rechnernamen, Benutzerkennungen oder Teile davon enthalten,
  • rückwärts lesbar sein.

Zusatztipp: Bei der Verwendung von Sonderzeichen auf die Tastaturbelegung achten!


 

Autor: Andreas Kunz, Geschäftsführer Connecting Media GmbH, IT-Security-Experte & Datenschutzbeauftragter 

Weitere Informationen:
Connecting Media GmbH
www.connectingmedia.de

Quellen:

[1] https://www.verizon.com/business/resources/reports/dbir/2022/master-guide/

[2] https://www.lastpass.com/resources/ebook/psychology-of-passwords-2022

[3] https://hpi.de/pressemitteilungen/2022/die-beliebtesten-deutschen-passwoerter-2022.html

 

Bitte geben Sie die Zeichenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.

Ich habe die Datenschutzbestimmungen zur Kenntnis genommen.

Passende Schulungen
Psychologische Fallen – Abwehr von Social Engineering

Psychologische Fallen – Abwehr von Social...

Im Online-Seminar werden aktuelle Techniken und Methoden des Social Engineering vorgestellt. Erläutert wird, wie potenzielle Zielpersonen in Unternehmen, Schwachstellen und Angriffspunkte durch Internet-Recherchen identifiziert werden....
Online Teilnahme möglich
Tipp
NEU
Die resiliente Stadt von morgen: Gefahrenabwehr und Attraktivitätssteigerung

Die resiliente Stadt von morgen: Gefahrenabwehr...

Das Seminar behandelt Pläne zur Wieder- und Neunutzung von Stadträumen unter dem Aspekt des Nutzungswandels aufgrund aktueller Gefahrenlagen im Zuge des anstehenden Klimawandels und unter Einfluss des sich wandelnden Kaufverhaltens...
Virtuelle Diebe, falsche Chefs & echte Erpresser - Social Engineering Awareness

Virtuelle Diebe, falsche Chefs & echte...

Im Workshop wird Social Engineering per E-Mail, Telefonanruf und im persönlichen Kontakt auf Basis konkreter Fälle veranschaulicht. Erläutert wird ebenso die Internet-Recherche zur Identifizierung von Zielpersonen. Darauf basierend wird...