Passwort regelmäßig ändern garantiert keine IT-Sicherheit
Viele Firmenchefs wollen, dass Mitarbeiter ihr Passwort regelmäßig ändern. Man könnte aber auch einen richtig starken Code wählen und den dann gut schützen. Diese und andere Tipps sollten Unternehmer als Teil der IT-Sicherheitsstrategie regelmäßig in Trainings weitergeben.
Text: Frank Wiercks
uch in diesen Ferien hatten Unternehmer wieder genug Grund – und hoffentlich Zeit – zum Nachdenken über IT-Sicherheit. Wie sehr die am Faktor Mensch hängt, zeigten zwei „Tagesschau“-Berichte. Kurz vor Jahresende hieß es zuerst, im Internet sei eine riesige Sammlung gestohlener Zugangsdaten aufgetaucht: 773 Millionen Mail-Adressen und 21 Millionen unterschiedliche Passwörter. Wenig später kam dann die Meldung, Lieblingspasswort des Jahres sei die Zahlenreihe „123456“ gewesen. Es folgten „123456789“ und „1234567“ sowie auf Platz fünf „password“. Angesichts solcher Fantasielosigkeit scheint es konsequent, dass zumindest Router in Kalifornien seit Jahresbeginn mit individuellen Passwörtern ausgeliefert werden müssen. Oder die Nutzer durch technische Voreinstellungen gezwungen werden, ein starkes Passwort festzulegen, bevor das Gerät in Betrieb gehen kann. Bei Microsoft stehen allzu simple Zugangscodes bereits länger auf einer schwarzen Liste. Auch andere Softwarehersteller oder Dienstleister verpflichten die Kunden, sichere Ziffern-Buchstaben-Zeichen-Kombinationen zu wählen. Um Hackern das Handwerk zu erschweren, kommt oft auch die Empfehlung: Das Passwort regelmäßig ändern.
Passwort regelmäßig ändern kann zur IT-Sicherheit gehören
Tatsächlich nutzen Cyberkriminelle immer raffiniertere Methoden, um Netzwerke zu kapern oder Zugangsdaten abzugreifen. Und Passwortdiebstahl nimmt zu. Insofern scheint es folgerichtig, dass jemand sein Passwort regelmäßig ändern soll, um privat oder im Unternehmen die IT-Sicherheit zu erhöhen. Allerdings sind persönliche Passwörter – gerade bei Firmennetzwerken – ein zwar wichtiger Sicherheitsaspekt, aber nur einer von mehreren. Daher sollten Firmenchefs das Thema IT-Sicherheit möglichst breit betrachten, vom Einsatz von Verschlüsselungstechnologie bis zum Abschluss von Cyberversicherungen. Und es zudem tief im Bewusstsein der Mitarbeiter sowie organisatorisch im Betrieb verankern. Das erfordert eine schonungslose Bedrohungsaufklärung und transparenten Umgang mit dem Thema. Aber ebenso ein durchdachtes Sicherheitskonzept, das über Einführungsschulungen sowie kontinuierliche Trainings alle Beschäftigten erreicht. Sinnvoll sind außerdem regelmäßige Penetrationstests: So zeigen sich technische Sicherheitslücken, aber auch menschliche Schwachstellen etwa in Form leicht zu erratender Passwörter. Die Ergebnisse könnten dann bei der Entscheidung helfen, ob Mitarbeiter wirklich ihr Passwort regelmäßig ändern sollten. Übrigens auch im Home-Office.
Passwort regelmäßig ändern kann Sicherheit auch gefährden
Ohne umfassende Strategie sowie Aufklärung zur IT-Sicherheit dürfte es aber kaum helfen, dass die Beschäftigten ihr Passwort regelmäßig ändern. Es bringt wenig, wenn die neue Ziffern-Buchstaben-Zeichen-Kombination dann für jeden sichtbar per Klebezettel am Bildschirm hängt. Oder wenig einfallsreich aus Namen der Haustiere und Geburtstagen naher Verwandter besteht. Aber gerade auf solche Daten greifen viele Beschäftigte zurück, die sich zum regelmäßigen Ändern eines Zugangscodes genötigt sehen: Sie fürchten, durch den schnellen Wechsel der Kombinationen irgendwann die gerade gültige Version schlicht zu vergessen, weil sie ja immer wieder aufs Neue sicher und daher komplex sein muss. Aus diesem Grund raten Experten zunehmend davon ab, dass man im Beruf wie im Privaten sein Passwort regelmäßig ändern soll: Beim Kompromiss aus Passwort oft aktualisieren, neue Kombination ausdenken und keinen früheren Code verwenden bleibt rasch die Sicherheit auf der Strecke. Gewählt wird nämlich häufig eine weniger komplexe Variante, weil sie sich einfach besser merken lässt.
Nach einem Datendiebstahl ist das Passwort ändern Pflicht
Natürlich ist es nach einem Datendiebstahl unvermeidbar, das Passwort für den gehackten Account zu ändern. Und zu prüfen, ob sich aus dem erbeuteten Passwort auch Zugangscodes für andere Accounts des Opfers ableiten lassen könnten. Dies ist etwa dann der Fall, wenn eine Mail-Adresse als Benutzername für den gehackten Account sowie auch weitere Onlinedienste gilt. Dann ist einer von zwei Faktoren – der Benutzername – schon bekannt, und der Hacker muss nur noch beim Passwort ausprobieren. Dabei erleichtert die Verwendung einer identischen oder leicht variierten Ziffern-Buchstaben-Zeichen-Kombination den Cyberangriff. Ob Identitätsdaten erbeutet wurden, lässt sich etwa per HPI Identity Leak Checker des Hasso-Plattner-Instituts in Potsdam prüfen. Generell gilt: Ebenso wichtig, vermutlich sogar noch wichtiger als ein Passwort regelmäßig zu ändern, ist dessen gute Auswahl. Je sicherer, also komplexer ein Passwort ist, desto seltener muss es gewechselt werden, falls es nicht leichtsinnig weitergegeben wird. Oder doch bei einer Attacke in falsche Hände gerät.
Diese sechs Tipps für ein starkes Passwort beachten
Tipps für ein starkes Passwort gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
• Mindestens acht Zeichen verwenden. Sind Offline-Attacken ohne permanente Netzverbindung über längere Zeit möglich, sollten es mindestens 20 Zeichen sein.
• Alle verfügbaren Zeichen nutzen. Meistens sind Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen verwendbar. Umlaute gilt es zu vermeiden – sie erschweren den Zugriff aus Ländern, wo sich diese Zeichen nicht eingegeben lassen.
• Persönliches vermeiden. Das gilt etwa für die Namen von Familienmitgliedern, Haustieren oder beliebten Künstlern. Auch Geburtsdaten verbieten sich.
• Bekanntes ignorieren. Ungeeignet sind Begriffe, die im Wörterbuch stehen. Und gängige Tastaturmuster wie „asdfgh“ oder „1234abcd“.
• Kein simples Modifizieren. Wer eine Ziffer an ein Wort hängt oder ein Sonderzeichen an den Anfang stellt, stoppt Hacker nicht.
• Eselsbrücke bauen. Mit einer Hilfsstrategie sind der Kreativität keine Grenzen gesetzt. Man kann sich etwa einen ganzen Satz als Passwort bauen, bei dem die Wörter durch Sonderzeichen verbunden sind. Beispiel: „Die?Sonne!scheint/“.
Bei Fragen sprechen Sie uns gerne an.
Quelle: www.trialog-unternehmerblog.de, Herausgeber: DATEV eG, Nürnberg