Passwortsicherheit

Erhalten Sie höhere Passwort-Sicherheit im Unternehmen

Sarina Kraft 05/04/2019, Security

Die DSGVO ist ganz klar in ihren Aussagen, dass nur berechtigte Mitarbeiter in Organisationen und Unternehmen auf personenbezogene Daten zugreifen dürfen und dies auch nur im dienstlich notwendigen Umfang. Dazu bedarf es als Minimalstandard eines datenschutzgerechten Passwortschutzes für jedes Konto, über das ein Zugriff auf diese Daten möglich ist. Schon aus eigenem Interesse sollten Sie nichts dem Zufall überlassen, denn die Bußgelder bei Verstößen sind hoch.

Über Passwort-Sicherheit haben wir bereits in früheren Blogposts geschrieben und auch, wie Angreifer den Passwortschutz umgehen können. Eine der Methoden ist beispielsweise das Social Engineering, bei dem die Angreifer das Passwort durch fingierte Szenarien, beispielsweise zu Testzwecken oder im Rahmen eines vorgetäuschten Support-Einsatzes, direkt erfragen. Eine sogenannte Brute Force-Attacke ist eine weitere Möglichkeit. Hierbei wird versucht, Passwörter durch das systematische Durchprobieren von Kombinationen aus Buchstaben, Satzzeichen, Sonderzeichen und Zahlen zu ermitteln.  Ein in Verbindung mit Brute-Force gerne genutztes, weiteres Bedrohungsszenario ist die Dictionary Attack. Angreifer arbeiten hierbei mit Datenbanken, die häufig verwendete Passwörter nutzen oder verwenden einfache Begriffe aus Wörterbüchern (Dictionary). Beim Sniffing wird die Eingabe von Passwort und Benutzername überwacht. Dies kann durch den Einsatz von eingeschleuster Schadsoftware erfolgen, aber auch durch Beobachtung des Anwenders während der Eingabe. Ganz eindeutig: Einfache Passwörter eignen sich keinesfalls zum Schutz Ihrer sensiblen Daten, denn die notwendige Sicherheit ist viel zu gering.

 

Wie erhalten Sie eine höhere Passwortsicherheit im Unternehmen?

In den meisten Unternehmen werden nur noch Passwörter akzeptiert, wenn diese nicht nur Buchstaben sondern auch Zahlen und Sonderzeichen beinhalten. Je länger das Passwort, desto besser. Empfohlen werden derzeit 14 Zeichen. Ab dieser Länge werden Attacken schwieriger im Vergleich zu einem Passwort mit weniger Zeichen. Dies ist zumindest schon eine Sicherheitsstufe gegen Dictionary Attacks. Bedenken Sie jedoch: auch die Angreifer kennen die am häufigsten genutzten Sonderzeichen, also beispielsweise ! oder @. Ein Passwort wie z.B. W1nter20!9 mag auf den ersten Blick sicher erscheinen, ist es aber nicht. Beliebt ist auch die Variante, ein Sonderzeichen an ein simples Passwort anzuhängen.  Dies ist ebenfalls nicht empfehlenswert. Und: vermeiden sie unbedingt persönliche Daten in Passwörtern. Erst kürzlich konnte ich mich in den PC eines Bekannten einloggen, der Porsche911 als Passwort genutzt hat. Raten Sie mal, welches Auto er fährt.

Von einer Passwort-Bildung mit Merksätzen wird ebenfalls abgeraten. Ein Beispiel: „Im Sommer 2012 habe ich meine Freundin auf Teneriffa besucht.“ ergäbe das Passwort „IS2012himFaTb.“ Das sieht auf den ersten Blick zufällig und sicher aus. Maschinen jedoch erkennen typische Satzmuster leichter als tatsächliche Zufallskombinationen.

Noch vor nicht allzu langer Zeit wurde dazu geraten, turnusmäßig vorgeschriebene Passwort-Änderungen im Unternehmen anzuwenden. Dabei darf ein bereits verwendetes Passwort nicht noch einmal genutzt werden. Dies ist in der Zwischenzeit überholt und es wird angeraten, lieber sehr komplexe Passwörter zu nutzen und diese nicht so oft zu ändern.

Sogenannte Diceware und Passphrasen sind daher eine bessere Möglichkeit, Passwörter durch zufällige Kombinationen deutlich sicherer zu gestalten. Eine Anleitung hierzu finden Sie auf Wikipedia.

Denken Sie bei Passwort-Sicherheit auch an Smartphones und Tablets. Manche nutzen ein Entsperr-Muster, das auf einem Gitter gezeichnet wird. Wenn Ihnen jemand dabei über die Schulter schaut und Sie dies nicht bemerken, haben Sie keine Sicherheit mehr. Bedenken Sie auch, dass Ihre Finger eine Fettspur hinterlassen, die sichtbar sein kann. Wenn Sie eine Zahlenkombination wählen, in der einige Zahlen mehrfach vorkommen, ist die Kombination schwerer zu deuten.

Ganz wichtig: Sensibilisieren Sie Ihre Mitarbeiter dahingehend, dass sie ihre Geräte sperren, wann immer sie den Arbeitsplatz verlassen, und sei es nur für ein paar Minuten. Dies gilt nicht nur für das stationäre Gerät, sondern selbstverständlich auch für Smartphones oder Tablets. Auch bei längerer Inaktivität sollte das Passwort abgefragt werden.

 

Führen Sie zuverlässige Passwort-Richtlinien ein

Arbeiten Sie gemeinsam mit Ihrem Datenschutzbeauftragten Passwort-Richtlinien für alle Mitarbeiter aus. Diese werden sowohl technische als auch organisatorische Maßnahmen enthalten. Stellen Sie sicher, dass diejenigen Mitarbeiter, die Zugriff auf personenbezogene und/oder unternehmenskritische Daten erhalten über die entsprechenden Maßnahmen unterrichtet werden. Lassen Sie sich eine Verpflichtungserklärung per Unterschrift bestätigen. So haben Sie im Zweifelsfall auch den Nachweis, dass sie sensible Daten DSGVO-konform behandeln.

 

Weitere Informationen zum Thema Passwortsicherheit finden Sie auf der Website des Bundesamt für Sicherheit in der Informationstechnik.

Übrigens: Prüfen Sie doch mal, ob Ihr Passwort bereits gestohlen wurde. Wenn Sie einen Dienst nutzen, der in der Vergangenheit gehackt wurde, ist die Chance ziemlich groß, dass auch Sie dabei waren.

Und nicht zu vergessen: Mehr Faktoren sorgen auch für mehr Sicherheit.

Related Posts