Foto: Valeri Potapova - shutterstock.com
Meldungen über Millionen gehackte Emails-Accounts und Passwörter sind heutzutage keine Seltenheit mehr - leider. Selbst Giganten wie Google oder Prominente wie Mark Zuckerberg sind vom Datenklau in großem Stil betroffen. Die erbeuteten Email-Adressen und Passwörter sind beliebtes Handelsgut auf dem schwarzen Markt. Diese Datenleaks bleiben häufig lange unentdeckt die gestohlenen Daten tauchen oft erst Jahre später auf. Das sorglose Verhalten vieler Privatnutzer und Unternehmen trägt dazu bei, dass sie trotzdem nicht an Attraktivität verlieren - dank immer gleich leibender Passwörter, und das über Jahre und viele verschiedene Dienste hinweg.
Was für Privatpersonen ärgerlich ist, kann jedoch für Unternehmen desaströs sein, vor allem dann, wenn nicht nur eigene, sondern auch Kundendaten betroffen sind. Laut einer neuen Studie, die das renommierte Marktforschungsinstitut Ovum unter Hunderten von IT-Managern und Angestellten durchgeführt hat, verlassen sich weltweit 61 Prozent der IT-Führungskräfte darauf, dass Angestellte sichere Passwörter nutzen. Ganze 78 Prozent haben keine Möglichkeit, den Zugang zu den von den Mitarbeitern genutzten cloudbasierten Applikationen zu überwachen, ohne dass sie weitere Kontrollmechanismen implementiert haben.
Demgegenüber stehen 76 Prozent der Angestellten, die über regelmäßige Probleme beim Thema Passwort berichten; gut ein Drittel davon wendet sich mindestens einmal im Monat an die Helpdesk-Abteilung. Die meisten Unternehmen sind sich dieser Schwachstellen bewusst, nehmen sie aber oft nur zögerlich in Angriff.
Dafür gibt es verschiedene Gründe: Vor allem in kleineren Unternehmen herrscht Unwissen über die tatsächlichen Risiken oder Unsicherheit, wie man das Thema am besten angeht - gepaart mit fehlendem Wissen zu möglichen Lösungen wie Passwortmanagern. Die Botschaft, die sowohl bei Unternehmen als auch bei Angestellten verankert werden muss, heißt: Email-Accounts sind einer der angreifbarsten Punkte eines Unternehmens.
Lesetipp: Die besten Passwort-Manager
Und die hier erbeuteten Passwörter sind deshalb so wertvoll, weil sie oft unverändert auch für andere Accounts oder Systeme, die ein Login verlangen, genutzt werden. Hacker haben so die Möglichkeit, auf zahlreiche Daten illegal zuzugreifen. Und damit rückt vor allem das Thema Passwortsicherheit in den Fokus.
Hierbei können auch externe IT-Dienstleister wertvolle Hilfestellung leisten. In der Praxis haben sich folgende Maßnahmen zur Erhöhung der IT-Sicherheit bewährt:
Vorgaben für Passwörter machen
In Unternehmen, die keine Vorgaben für starke Passwörter machen, wählen User Komfort statt Sicherheit - nicht umsonst ist "hallo" das am meisten genutzte deutsche Passwort. Manche Unternehmen wiederum geben Richtlinien vor, überwachen aber nicht deren Einhaltung. Notwendig sind daher von der IT klar formulierte Regeln, die Länge und Aufbau des Passworts oder auch Wechselintervalle definieren - sowie ein System, das die Einhaltung dieser Vorgaben überprüft.
Die Empfehlung der US-Technologiebehörde NIST lautet: Das Passwort sollte vor allem möglichst lang und einzigartig sein. Entscheidender als die Komplexität ist dabei die Länge. Auch moderne Rechner können Jahre brauchen, um ein Kennwort mit 20 oder mehr Zeichen zu knacken - vorausgesetzt, es enthält keine beliebten Phrasen. Schon ab zwölf Zeichen erhöht sich die Sicherheit erheblich.
Alternativ kann man auch festlegen, dass ein neues Passwort dem alten nicht zu ähnlich ist oder dass in einem Passwort weder der Name des Mitarbeiters noch des Unternehmens vorkommen darf. Sinnvoll ist es in diesem Zusammenhang, gleich auch die ganze Riege unsicherer, aber beliebter Passwörter zu blocken. Ein Passwortmanager erlaubt es Unternehmen in diesem Zusammenhang, minimale Anforderungen an Passwörter durchzusetzen und zu überwachen.Sicherheitsrichtlinien für alle Bereiche festlegen
Jedes Unternehmen sollte weitreichende Sicherheitsrichtlinien festlegen, die alle Prozesse von der Passworterstellung bis hin zu Access-Management umfassen. Nicht vergessen: klar definierte Vorgaben zum Thema "Bring your own device" (BYOD). Viele Unternehmen haben heutzutage schon ein Mischnetzwerk aus eigenen und BYOD-Geräten, gerade dann, wenn viele Mitarbeiter von unterwegs oder vom Home Office aus arbeiten.
Während eine solche Lösung viele Vorteile mit sich bringt, macht sie das Netzwerk besonders angreifbar. Aus diesem Grund muss genau festgelegt sein, was erlaubt ist und was nicht: Darf öffentliches WLAN genutzt werden? Welche Apps sind freigegeben? Klare Regelungen sowie die Nutzung eines Passwortmanagers sorgen hier für Sicherheit sowohl beim Unternehmen als auch bei den Angestellten.Zwei-Faktor bzw. Multifaktor-Authentifizierung einführen
Zwei- bzw. Multi-Faktor-Authentifizierung (MFA/2FA) ist eine überaus effektive Methode, sensible Daten zu schützen. Durch die Eingabe einer weiteren Information vor dem Einloggen - sei es ein Code, ein temporäres Passwort oder ein Fingerabdruck - entsteht ein doppeltes Sicherheitsnetz.
So kann Multi-Faktor-Authentifizierung dazu beitragen, einen möglichen Angreifer schon im Anfangsstadium wirkungsvoll abzuwehren, denn das Passwort alleine genügt nicht. MFA ist außerdem ein sicherer Schutz gegen Phishing-Versuche oder Passwort-Ausspähprogramme. Auch hier kann der Einsatz eines Passwortmanagers sinnvoll sein, denn die Nutzung von MFA schützt den Password Vault. Die Kombination von MFA und langen, einmaligen Passwörtern erhöht die Gesamtsicherheit eines Unternehmens signifikant.
Bewusstsein schaffen
Viele Angestellte sind der Meinung, dass sie genau wissen, wie sie die Sicherheit ihrer eigenen Daten und den ihres Unternehmens gewährleisten können - aber das stimmt nicht. Eine Studie zu diesem Thema fand heraus, dass 47 Prozent der Befragten schnell identifizierbare persönliche Informationen wie Familiennamen oder Initialen nutzen, um ihr Passwort zu erstellen. Darüber hinaus gaben 39 Prozent der Befragten an, dass sie für ihre persönlichen Accounts sicherere Passwörter kreieren als für ihre geschäftlichen.Unternehmen müssen deshalb ihre Mitarbeiter darüber informieren, welches Verhalten notwendig und erwünscht ist. Die sicherste Option auch in diesem Fall: ein Passwortmanager, der diese Risiken von vorneherein ausschließt - und so für Sicherheit sorgt.
Externe IT-Security-Dienstleiser tun sich oft leichter, die Vorgaben für die Wahl eines sicheren Passworts von außen durchzusetzen. (rw)
Lesetipp: So erstellen und merken Sie sich wirklich sichere Passwörter