Auch im Jahr 2024 nimmt die Passwortsicherheit einen hohen Stellwert in der IT Security ein. Für Unternehmen ist es von höchster Bedeutung, sichere Passwörter zu verwenden, um Unternehmensinformationen bestmöglich vor Angreifern zu schützen.
Doch was macht ein sicheres Passwort aus? Welche Tipps für sichere Passwörter geben Experten? Und wie kann die Passwortsicherheit optimal bewerkstelligt werden, sodass kritische Unternehmensdaten zu jeder Zeit den bestmöglichen Schutz genießen?
Inhaltsverzeichnis:
Die Passwortsicherheit ist ein fundamentales Element für Informationssicherheit in Unternehmen. Durch diese einfache und effektive Maßnahme können Unternehmen sensible Daten schützen und finanzielle Verluste verhindern. Für die vertrauensvolle Zusammenarbeit mit Kunden und Partnern ist dies unabdingbar.
Sichere Passwörter spielen somit eine wichtige Rolle, um die Anforderungen im Datenschutz zu erfüllen und Compliance-Anforderungen hinsichtlich Datenschutz oder Datensicherheit einzuhalten, die in vielen Branchen üblich sind.
Von E-Mails und Geschäftsgeheimnissen über Zahlungsdaten bis hin zu Kundendaten – die Daten in einem Unternehmen sind höchst sensibel. Deshalb sollten die Unternehmenskonten vor unbefugtem Zugriff bestmöglich geschützt werden, damit einem Datendiebstahl präventiv entgegengewirkt werden kann.
Auch Cyberangriffe können durch sichere Passwörter vermieden werden. Unternehmen aus allen Branchen sind immer öfter das Ziel von Cyberangriffen, z. B. durch Phishing-Versuche oder Ransomware-Angriffe. Um die Mitarbeitenden im Unternehmen für optimale Passwortsicherheit zu sensibilisieren, sollten regelmäßig Schulungen zu IT Security und insbesondere zur Bedeutung sicherer Passwörter erfolgen.
Viele Nutzer machen es sich sehr einfach und ebnen Angreifern den Weg in die erfolgreiche Attacke mit leicht zu knackenden Passwörtern wie „test“ oder „Passwort“.
Tatsächlich war die Zahlenreihenfolge „123456789“ laut Hasso Plattner Institut das beliebteste Passwort der Deutschen im Jahr 2023. Das ist ein wahrlich großes Problem, denn derartig triviale Passwörter können in weniger als einer Sekunde geknackt werden.
Das muss nun wirklich nicht sein, denn wenn man sich an ein paar klare Regeln hält, kann der Passwortschutz so effizient wie möglich gestaltet werden. Auch wenn einige Unternehmen inzwischen auf passwortlose Logins setzen, sind Passwörter unangefochten die häufigste und wichtigste Authentisierungsmethode.
1. Je länger, desto besser So schützen Sie sich effektiv vor Brute-Force-Attacken. Dabei sollten Sie natürlich selbst entscheiden, wie lang das Passwort am Ende sein sollte, insbesondere wenn Sie es regelmäßig eingeben müssen. Die Sicherheit eines Passworts steigt jedoch mit der Anzahl der Zeichen, da es für potenzielle Angreifer zeitaufwändiger wird, es zu erraten. Passphrasen können hierbei hilfreich sein, damit Sie sich an lange Passwörter erinnern können. Hierbei handelt es sich um Sätze, die als Passwort dienen können, zum Beispiel "Ich schütze die Daten meines Unternehmens". Das Passwort könnte dann beispielsweise die Anfangsbuchstaben der Wörter enthalten, inklusive Groß- und Kleinschreibung sowie Sonderzeichen und Zahlen. |
2. Je komplexer, desto besser So schützen Sie sich effektiv vor Wörterbuchattacken, da komplexe Passwörter nicht leicht zu erraten sind. Ein denkbar schlechtes Passwort ist demnach ein Wort wie "Milch", das im Wörterbuch nachzuschlagen ist und somit im Handumdrehen erraten. Wie im obigen Beispiel bereits erläutern, sollten Sie sich im Sinne der Komplexität aller Zeichenarten bedienen, die Ihnen die Tastatur bietet. Verwenden Sie also Groß-, und Kleinschreibung Sonderzeichen und Zahlen, damit das Passwort nicht nur möglichst lang ist, sondern sich auch einer ausreichenden Komplexität bedient. |
3. Accounts/Passwörter für sich behalten Es ist wichtig, dass Sie die Passwörter streng vertraulich behandeln, für sich behalten und diese somit keineswegs mit anderen Nutzern teilen oder weitergeben. Sollten Sie gemeinschaftliche Log-Ins in Abteilungen nutzen, gibt es professionelle Password-Manager-Tools, auf die weiter unten im Artikel näher eingegangen wird.
|
4. Passwörter nicht für mehrere Anwendungen wiederverwenden Stellen Sie sicher, dass Sie für jeden Dienst ein eigenes Passwort nutzen. Denn wenn Sie mehrere Accounts mit demselben Passwort schützen, machen Sie es Kriminellen besonders leicht – sollte ein Passwort einmal gehacked werden, ist es ein Kinderspiel für die Angreifer auf weitere Konten und Dienste zuzugreifen. Dies gilt es zu vermeiden, indem Sie für die unterschiedlichen Dienste individuelle Passwörter zu verwenden. Wichtig ist, dass Sie nicht nur Vorgaben machen, sondern Ihr Team auch dabei unterstützen, diese effizient umzusetzen. |
Pro-Tipps für maximale Passwortsicherheit: 1. Koppeln Sie möglichst viele Anmeldungen als SSO an den Verzeichnisdienst (z.B. Active Directory). Darüber können Sie Ihre Vorgaben zu Passwörtern auch technisch sicherstellen. 2. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA).
|
Auch im Jahr 2024 ist es ratsam sein Passwort regelmäßig zu ändern, z. B. einmal im Jahr zum "Change Your Password Day". Jedoch sind sich Sicherheitsexperten mittlerweile einig, dass gute Passwörter nicht ohne gute Begründung höherfrequent als jährlich getauscht werden sollten. Befolgt man also die gängigen Experten-Tipps für ein sicheres Passwort, braucht man es nicht häufiger als einmal im Jahr zu ändern.
Nun fragen sich viele Nutzer: Wie merke ich mir alle Passwörter? Bei der Fülle an verschiedenen Portalen und Benutzerkonnten ist dies eine berechtigte Frage. Damit man sich nicht alle Passwörter merken muss und aus Bequemlichkeit nicht zu einfachen Passwörtern greift, bietet sich ein Passwort-Manager an, der wiederum über ein Master-Passwort die Daten verschlüsselt speichert und einen einfachen sowie sicheren Zugriff auf die Passwörter erlaubt.
Sie möchten wissen, welche Lösungen sich am besten für welchen Anwendungsfall eignen? Kontaktieren Sie gerne unsere netgo-Sicherheitsexperten.
Die Multi-Faktor-Authentifizierung sollte daher überall genutzt werden, wo es möglich ist. Sie hat sich als ein nachhaltiges Mittel erwiesen, um Phishing-Attacken zu verhindern und Angriffe über externe Vektoren zu mitigieren.
Das schont nicht nur die Nerven, sondern auch den Geldbeutel. Wichtig ist dabei zu beachten, dass die eingesetzte MFA-Lösung flexibel und zukunftsfähig ist. MFA kann für User umständlich wirken, wenn die Benutzerfreundlichkeit nicht genug Aufmerksamkeit in der Umsetzung bekommt.
Ein erfolgreiches Ausrollen von MFA im Unternehmen erfordert daher Flexibilität und breite Möglichkeiten zur Integration. Vor allem bei der Abstimmung zwischen Sicherheit, Benutzbarkeit und Kosten gilt es, die richtige Balance zu finden.
Eine effektive MFA ist auch Voraussetzung, um eine starke Identität zu ermöglichen beim Thema Zero Trust – einem Konzept, bei dem prinzipiell jeder Anwendung außerhalb des Netzwerks misstraut wird – oder auch beim Thema Passwordless – einem Konzept, das statt Passwörtern mit Authentifizierungsmethoden wie z. B. biometrischen Daten auskommt.
Somit haben sich neben den etablierten Methoden mit One-Time-Passwörtern (OTP) und Zertifikaten/SmartCards in den letzten Jahren auch gerätegebundene biometrische Faktoren (FaceID, TouchID) als wichtige Methoden etabliert.
Gerade im Bereich der One-Time-Passwort-(OTP)-Lösungen gibt es ein breites Spektrum an möglichen Token-Technologien, um die für den Anwendungszweck angemessene Balance zwischen Sicherheit, Usability und Kosten zu finden.
Hardware-Token bieten immer noch eine sehr sichere Lösung, um eine Trennung von ausführendem und authentifizierendem Gerät zu gewährleisten. Neben den gängigen Token mit Display werden hier auch neue Formfaktoren (USB-Keys, FIDO, Yubikey) eingesetzt.
Software-Token können vor allem im Bereich Rollout und Kosten ihre Vorteile ausspielen. Auch durch die vielfältigen Möglichkeiten in modernen Smartphones sind dabei große Fortschritte bei transaktionsbasierten und biometrischen Faktoren möglich. Neben üblichen TOTP-Token (TOTP = Time-based One-Time Password, also ein kurzzeitig gültiger Passcode) kommen hier auch nutzerfreundliche Push-Verfahren oder kamerabasierte QR-Token zum Einsatz und erhöhen die Sicherheit gegenüber klassischen Verfahren.
„Out-of-Band“-Verfahren rund um SMS und E-Mail können schnell den alleinigen Schutz durch ein Passwort um MFA erweitern. Für einen langfristigen Einsatz ist aber aus der Vergangenheit der Provider als Angriffsvektor zu berücksichtigen und daher ein dedizierter Hardware- oder Software-Token langfristig die bessere Lösung. SMS und E-Mail punkten jedoch klar gegenüber dem alleinigen Passwort.
Das Ausrollen einer MFA-Lösung ist ein wichtiges Thema, das gleichzeitig einige Herausforderungen mit sich bringt, sowohl für die Unternehmensprozesse als auch für die Integration. Uns bei netgo ist es wichtig, die für Sie richtige Balance aus Sicherheit, Kosten und Benutzerzufriedenheit zu finden. Gerne stehen wir mit unserer Erfahrung zur Verfügung und beraten Sie mit unserem Experten-Team zu unseren MFA-Lösungen, z. B. LinOTP.
Es gibt einige Tricks und Methoden von Kriminellen, um an Passwörter zu kommen. Sie sollten diese kennen und erkennen, um zu vermeiden, dass Passwörter geknackt werden.
Shoulder Surfing
Hierbei wird versucht Reisenden über die Schulter zu schauen und sie bei der Passworteingabe am Laptop oder Handy zu beobachten. Die Gefahr auf Geschäftsreisen ist somit hoch, denn solche Angriffe passieren z. B. im Zug, am Flughafen oder an öffentlichen Orten wie Parks und Cafés.
Achten Sie immer darauf, dass niemand mitlesen kann, wenn Sie Ihr Passwort eingeben und ziehen Sie Anti-Spy-Bildschirmfolien in Erwägung, sodass auf dem Bildschirm nichts erkannt werden kann, wenn Ihnen jemand über die Schulter schaut.
Social Engineering und Phishing
Hierbei versuchen Angreifer sensible Informationen, wie z. B. Passwörter, von Unternehmen durch Täuschung zu stehlen. Die Angreifer geben sich beispielsweise als Mitarbeitende im IT Support aus, um ihre Opfer nach vertraulichen Informationen und Passwörtern zu fragen.
Eine beliebte Methode ist das E-Mail-Phishing mit gefälschten E-Mails, die so aussähen, als kämen sie von legitimen Absendern wie Kunden oder Geschäftspartnern. Diese E-Mails enthalten oft Links zu gefälschten Websites, auf denen versucht wird, Anmeldedaten oder andere vertrauliche Informationen abzufangen.
Keylogger
Hierbei handelt es sich um eine Art von Schadsoftware, die darauf abzielt, Tastenanschläge auf einem infizierten System aufzuzeichnen und an den Angreifer zu senden. Öffnen Sie deshalb keine E-Mail-Anhänge von unbekannten Absendern und laden Sie keine Software von dubios wirkenden Webseiten herunter.
Sniffing
Bei dieser Methode wird die Netzwerkverbindung abgehört, um sensible Informationen abzufangen, z. B. das eingegebene Passwort. Deshalb sollten ausschließlich verschlüsselte Verbindungen genutzt werden.
Datenbankhack
Wenn Passwort-Datenbanken nicht ausreichend geschützt sind, können Angreifer diese möglicherweise hacken und somit Passwörter und zugehörige Benutzerdaten erbeuten.
Brute-Force-Attacke
Brute Force bedeutet übersetzt "rohe Gewalt". Bei dieser Attacke probiert der Angreifer alle möglichen Zeichenkombination aus, um so das Passwort zu erraten. Handelt es sich um ein simples Wort, kann das Passwort somit innerhalb weniger Sekunden geknackt werden. Ein langes und komplexes Passwort mit Klein- & Großbuchstaben, Zahlen und Sonderzeichen bietet einen guten Schutz vor dieser Attacke.
Wörterbuch-Attacke
Hierbei handelt es sich um einen Brute-Force-Angriff, bei dem ein Angreifer versucht, Zugriff auf ein geschütztes System oder Konto zu erhalten, indem er eine Liste bekannter Wörter, häufiger Passwörter oder speziell zusammengestellter Wörter durchprobiert. Der Name "Wörterbuch-Attacke" leitet sich daher ab, dass der Angreifer wie beim Durchblättern eines Wörterbuchs eine Liste von Wörtern nacheinander ausprobiert.
Es gibt einige Anzeichen, an denen Sie erkennen können, ob in Ihrem Unternehmen ein Passwort geknackt wurde oder ein Sicherheitsvorfall stattgefunden hat.
Die folgenden Tipps können Ihnen bei der Überwachung der Sicherheit helfen:
Wichtig ist neben der Überwachung verdächtiger Aktivitäten, dass die Mitarbeitenden geschult werden und dass die Entwicklung eines Notfallplans für potenzielle Sicherheitsvorfälle fest im Unternehmen etabliert ist.
Für die Informationssicherheit ist es fundamental, dass neben der passenden Wahl der technischen Lösung auch organisatorische Aspekte berücksichtigt werden.
Die Prozesse und Richtlinien sollten organisationsweit aufgestellt, kommuniziert und eingehalten werden. Darüber hinaus sollte die dauerhafte kritische Überprüfung der Sicherheitsstandards ernstgenommen werden, sodass die Technologie und die Prozesse stets auf dem neusten Wissensstand sind und mögliche neue Empfehlungen von Experten, Verbänden sowie dem Bundesamt für Sicherheit in der Informationstechnik in Betracht gezogen werden können.
Unser Team der sila consulting berät Sie gerne zum Thema Information Security und untersucht Ihre Sicherheit technisch in Penetration-Tests.