Blog » IT-Updates mit netgo

Passwortsicherheit in Unternehmen » netgo

Geschrieben von Christina Löchteken | 31.1.24

Auch im Jahr 2024 nimmt die Passwortsicherheit einen hohen Stellwert in der IT Security ein. Für Unternehmen ist es von höchster Bedeutung, sichere Passwörter zu verwenden, um Unternehmensinformationen bestmöglich vor Angreifern zu schützen.

Doch was macht ein sicheres Passwort aus? Welche Tipps für sichere Passwörter geben Experten? Und wie kann die Passwortsicherheit optimal bewerkstelligt werden, sodass kritische Unternehmensdaten zu jeder Zeit den bestmöglichen Schutz genießen?

 

Inhaltsverzeichnis:

  1. Warum ist Passwortsicherheit für Unternehmen so wichtig?
  2. Sicheres Passwort: Tipps und Best Practices
  3. Die Bedeutung von regelmäßigem Passwortwechsel und der Verwendung von Passwortmanagern
  4. Die Rolle von Multi-Faktor-Authentifizierung bei der Stärkung der Passwortsicherheit
  5. Wie können Passwörter geknackt werden?
  6. So erkennen Sie verdächtige Passwortaktivitäten
  7. Informationssicherheit auf dem neuesten Stand mit netgo

Warum ist Passwortsicherheit für Unternehmen so wichtig?

Die Passwortsicherheit ist ein fundamentales Element für Informationssicherheit in Unternehmen. Durch diese einfache und effektive Maßnahme können Unternehmen sensible Daten schützen und finanzielle Verluste verhindern. Für die vertrauensvolle Zusammenarbeit mit Kunden und Partnern ist dies unabdingbar.

Sichere Passwörter spielen somit eine wichtige Rolle, um die Anforderungen im Datenschutz zu erfüllen und Compliance-Anforderungen hinsichtlich Datenschutz oder Datensicherheit einzuhalten, die in vielen Branchen üblich sind.

Von E-Mails und Geschäftsgeheimnissen über Zahlungsdaten bis hin zu Kundendaten – die Daten in einem Unternehmen sind höchst sensibel. Deshalb sollten die Unternehmenskonten vor unbefugtem Zugriff bestmöglich geschützt werden, damit einem Datendiebstahl präventiv entgegengewirkt werden kann.

Auch Cyberangriffe können durch sichere Passwörter vermieden werden. Unternehmen aus allen Branchen sind immer öfter das Ziel von Cyberangriffen, z. B. durch Phishing-Versuche oder Ransomware-Angriffe. Um die Mitarbeitenden im Unternehmen für optimale Passwortsicherheit zu sensibilisieren, sollten regelmäßig Schulungen zu IT Security und insbesondere zur Bedeutung sicherer Passwörter erfolgen.

Sicheres Passwort: Tipps und Best Practices

Viele Nutzer machen es sich sehr einfach und ebnen Angreifern den Weg in die erfolgreiche Attacke mit leicht zu knackenden Passwörtern wie „test“ oder „Passwort“.

Tatsächlich war die Zahlenreihenfolge „123456789“ laut Hasso Plattner Institut das beliebteste Passwort der Deutschen im Jahr 2023. Das ist ein wahrlich großes Problem, denn derartig triviale Passwörter können in weniger als einer Sekunde geknackt werden.

Das muss nun wirklich nicht sein, denn wenn man sich an ein paar klare Regeln hält, kann der Passwortschutz so effizient wie möglich gestaltet werden. Auch wenn einige Unternehmen inzwischen auf passwortlose Logins setzen, sind Passwörter unangefochten die häufigste und wichtigste Authentisierungsmethode.

1. Je länger, desto besser

So schützen Sie sich effektiv vor Brute-Force-Attacken. Dabei sollten Sie natürlich selbst entscheiden, wie lang das Passwort am Ende sein sollte, insbesondere wenn Sie es regelmäßig eingeben müssen. Die Sicherheit eines Passworts steigt jedoch mit der Anzahl der Zeichen, da es für potenzielle Angreifer zeitaufwändiger wird, es zu erraten.

Passphrasen können hierbei hilfreich sein, damit Sie sich an lange Passwörter erinnern können. Hierbei handelt es sich um Sätze, die als Passwort dienen können, zum Beispiel "Ich schütze die Daten meines Unternehmens". Das Passwort könnte dann beispielsweise die Anfangsbuchstaben der Wörter enthalten, inklusive Groß- und Kleinschreibung sowie Sonderzeichen und Zahlen.

 

2. Je komplexer, desto besser

So schützen Sie sich effektiv vor Wörterbuchattacken, da komplexe Passwörter nicht leicht zu erraten sind. Ein denkbar schlechtes Passwort ist demnach ein Wort wie "Milch", das im Wörterbuch nachzuschlagen ist und somit im Handumdrehen erraten.

Wie im obigen Beispiel bereits erläutern, sollten Sie sich im Sinne der Komplexität aller Zeichenarten bedienen, die Ihnen die Tastatur bietet. Verwenden Sie also Groß-, und Kleinschreibung Sonderzeichen und Zahlen, damit das Passwort nicht nur möglichst lang ist, sondern sich auch einer ausreichenden Komplexität bedient.

 

3. Accounts/Passwörter für sich behalten

Es ist wichtig, dass Sie die Passwörter streng vertraulich behandeln, für sich behalten und diese somit keineswegs mit anderen Nutzern teilen oder weitergeben.

Sollten Sie gemeinschaftliche Log-Ins in Abteilungen nutzen, gibt es professionelle Password-Manager-Tools, auf die weiter unten im Artikel näher eingegangen wird. 

 

 

 

4. Passwörter nicht für mehrere Anwendungen wiederverwenden

Stellen Sie sicher, dass Sie für jeden Dienst ein eigenes Passwort nutzen. Denn wenn Sie mehrere Accounts mit demselben Passwort schützen, machen Sie es Kriminellen besonders leicht – sollte ein Passwort einmal gehacked werden, ist es ein Kinderspiel für die Angreifer auf weitere Konten und Dienste zuzugreifen. 

Dies gilt es zu vermeiden, indem Sie für die unterschiedlichen Dienste individuelle Passwörter zu verwenden. Wichtig ist, dass Sie nicht nur Vorgaben machen, sondern Ihr Team auch dabei unterstützen, diese effizient umzusetzen. 

 

 

Pro-Tipps für maximale Passwortsicherheit: 

1. Koppeln Sie möglichst viele Anmeldungen als SSO an den Verzeichnisdienst (z.B. Active Directory). Darüber können Sie Ihre Vorgaben zu Passwörtern auch technisch sicherstellen. 

2. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA).

 

 

Die Bedeutung von regelmäßigem Passwortwechsel und der Verwendung von Passwortmanagern

Auch im Jahr 2024 ist es ratsam sein Passwort regelmäßig zu ändern, z. B. einmal im Jahr zum "Change Your Password Day". Jedoch sind sich Sicherheitsexperten mittlerweile einig, dass gute Passwörter nicht ohne gute Begründung höherfrequent als jährlich getauscht werden sollten. Befolgt man also die gängigen Experten-Tipps für ein sicheres Passwort, braucht man es nicht häufiger als einmal im Jahr zu ändern.

Nun fragen sich viele Nutzer: Wie merke ich mir alle Passwörter? Bei der Fülle an verschiedenen Portalen und Benutzerkonnten ist dies eine berechtigte Frage. Damit man sich nicht alle Passwörter merken muss und aus Bequemlichkeit nicht zu einfachen Passwörtern greift, bietet sich ein Passwort-Manager an, der wiederum über ein Master-Passwort die Daten verschlüsselt speichert und einen einfachen sowie sicheren Zugriff auf die Passwörter erlaubt. 

Die Vorteile eines Passwort-Managers liegen auf der Hand:

  • Sie brauchen sich nur noch ein Passwort zu merken: das Hauptpasswort oder Master Passwort. Mit diesem können Sie wiederum auf alle anderen Passwörter zugreifen.
  • Da man sich die einzelnen Passwörter nicht mehr merken muss, ist es einfach, sich für jedes Benutzerkonto ein individuelles Passwort zu erstellen.
  • Durch Autofill-Funktionen und geräteübergreifende Verfügbarkeit wird dadurch die Anwendbarkeit gesteigert statt gehindert.
  •  Durch den häufig eingebauten Passwortgenerator kann man sich komplexe, zufällige und sichere Passwörter erstellen lassen.

Sie möchten wissen, welche Lösungen sich am besten für welchen Anwendungsfall eignen? Kontaktieren Sie gerne unsere netgo-Sicherheitsexperten.

Die Rolle von Multi-Faktor-Authentifizierung bei der Stärkung der Passwortsicherheit

Die Multi-Faktor-Authentifizierung (MFA) ist die zuverlässigste Methode, um Zugänge sicherer zu machen. Das heißt: zusätzlich zu etwas, „das man weiß“ (ein Passwort) noch etwas, „das man hat“ (z. B. der Nachweis über eine Authenticator-App im Handy oder per Hardware-Token) zu nutzen. Selbst wenn das Passwort bekannt wird, ist ein Zugriff ohne das physische Objekt in Form von Handy oder Token für den Angreifer nicht möglich.

Die Multi-Faktor-Authentifizierung sollte daher überall genutzt werden, wo es möglich ist. Sie hat sich als ein nachhaltiges Mittel erwiesen, um Phishing-Attacken zu verhindern und Angriffe über externe Vektoren zu mitigieren.

Das schont nicht nur die Nerven, sondern auch den Geldbeutel. Wichtig ist dabei zu beachten, dass die eingesetzte MFA-Lösung flexibel und zukunftsfähig ist. MFA kann für User umständlich wirken, wenn die Benutzerfreundlichkeit nicht genug Aufmerksamkeit in der Umsetzung bekommt. 

 

Ein erfolgreiches Ausrollen von MFA im Unternehmen erfordert daher Flexibilität und breite Möglichkeiten zur Integration. Vor allem bei der Abstimmung zwischen Sicherheit, Benutzbarkeit und Kosten gilt es, die richtige Balance zu finden.

Eine effektive MFA ist auch Voraussetzung, um eine starke Identität zu ermöglichen beim Thema Zero Trust – einem Konzept, bei dem prinzipiell jeder Anwendung außerhalb des Netzwerks misstraut wird – oder auch beim Thema Passwordless – einem Konzept, das statt Passwörtern mit Authentifizierungsmethoden wie z. B. biometrischen Daten auskommt.

Somit haben sich neben den etablierten Methoden mit One-Time-Passwörtern (OTP) und Zertifikaten/SmartCards in den letzten Jahren auch gerätegebundene biometrische Faktoren (FaceID, TouchID) als wichtige Methoden etabliert.

Gerade im Bereich der One-Time-Passwort-(OTP)-Lösungen gibt es ein breites Spektrum an möglichen Token-Technologien, um die für den Anwendungszweck angemessene Balance zwischen Sicherheit, Usability und Kosten zu finden.

Hardware-Token bieten immer noch eine sehr sichere Lösung, um eine Trennung von ausführendem und authentifizierendem Gerät zu gewährleisten. Neben den gängigen Token mit Display werden hier auch neue Formfaktoren (USB-Keys, FIDO, Yubikey) eingesetzt.

Software-Token können vor allem im Bereich Rollout und Kosten ihre Vorteile ausspielen. Auch durch die vielfältigen Möglichkeiten in modernen Smartphones sind dabei große Fortschritte bei transaktionsbasierten und biometrischen Faktoren möglich. Neben üblichen TOTP-Token (TOTP = Time-based One-Time Password, also ein kurzzeitig gültiger Passcode) kommen hier auch nutzerfreundliche Push-Verfahren oder kamerabasierte QR-Token zum Einsatz und erhöhen die Sicherheit gegenüber klassischen Verfahren.

„Out-of-Band“-Verfahren rund um SMS und E-Mail können schnell den alleinigen Schutz durch ein Passwort um MFA erweitern. Für einen langfristigen Einsatz ist aber aus der Vergangenheit der Provider als Angriffsvektor zu berücksichtigen und daher ein dedizierter Hardware- oder Software-Token langfristig die bessere Lösung. SMS und E-Mail punkten jedoch klar gegenüber dem alleinigen Passwort.

Das Ausrollen einer MFA-Lösung ist ein wichtiges Thema, das gleichzeitig einige Herausforderungen mit sich bringt, sowohl für die Unternehmensprozesse als auch für die Integration. Uns bei netgo ist es wichtig, die für Sie richtige Balance aus Sicherheit, Kosten und Benutzerzufriedenheit zu finden. Gerne stehen wir mit unserer Erfahrung zur Verfügung und beraten Sie mit unserem Experten-Team zu unseren MFA-Lösungen, z. B. LinOTP

Wie können Passwörter geknackt werden?

Es gibt einige Tricks und Methoden von Kriminellen, um an Passwörter zu kommen. Sie sollten diese kennen und erkennen, um zu vermeiden, dass Passwörter geknackt werden.

Shoulder Surfing

Hierbei wird versucht Reisenden über die Schulter zu schauen und sie bei der Passworteingabe am Laptop oder Handy zu beobachten. Die Gefahr auf Geschäftsreisen ist somit hoch, denn solche Angriffe passieren z. B. im Zug, am Flughafen oder an öffentlichen Orten wie Parks und Cafés.

Achten Sie immer darauf, dass niemand mitlesen kann, wenn Sie Ihr Passwort eingeben und ziehen Sie Anti-Spy-Bildschirmfolien in Erwägung, sodass auf dem Bildschirm nichts erkannt werden kann, wenn Ihnen jemand über die Schulter schaut.

Social Engineering und Phishing

Hierbei versuchen Angreifer sensible Informationen, wie z. B. Passwörter, von Unternehmen durch Täuschung zu stehlen. Die Angreifer geben sich beispielsweise als Mitarbeitende im IT Support aus, um ihre Opfer nach vertraulichen Informationen und Passwörtern zu fragen.

Eine beliebte Methode ist das E-Mail-Phishing mit gefälschten E-Mails, die so aussähen, als kämen sie von legitimen Absendern wie Kunden oder Geschäftspartnern. Diese E-Mails enthalten oft Links zu gefälschten Websites, auf denen versucht wird, Anmeldedaten oder andere vertrauliche Informationen abzufangen.

Keylogger

Hierbei handelt es sich um eine Art von Schadsoftware, die darauf abzielt, Tastenanschläge auf einem infizierten System aufzuzeichnen und an den Angreifer zu senden. Öffnen Sie deshalb keine E-Mail-Anhänge von unbekannten Absendern und laden Sie keine Software von dubios wirkenden Webseiten herunter.

Sniffing

Bei dieser Methode wird die Netzwerkverbindung abgehört, um sensible Informationen abzufangen, z. B. das eingegebene Passwort. Deshalb sollten ausschließlich verschlüsselte Verbindungen genutzt werden.

Datenbankhack

Wenn Passwort-Datenbanken nicht ausreichend geschützt sind, können Angreifer diese möglicherweise hacken und somit Passwörter und zugehörige Benutzerdaten erbeuten.

Brute-Force-Attacke

Brute Force bedeutet übersetzt "rohe Gewalt". Bei dieser Attacke probiert der Angreifer alle möglichen Zeichenkombination aus, um so das Passwort zu erraten. Handelt es sich um ein simples Wort, kann das Passwort somit innerhalb weniger Sekunden geknackt werden. Ein langes und komplexes Passwort mit Klein- & Großbuchstaben, Zahlen und Sonderzeichen bietet einen guten Schutz vor dieser Attacke.

Wörterbuch-Attacke

Hierbei handelt es sich um einen Brute-Force-Angriff, bei dem ein Angreifer versucht, Zugriff auf ein geschütztes System oder Konto zu erhalten, indem er eine Liste bekannter Wörter, häufiger Passwörter oder speziell zusammengestellter Wörter durchprobiert. Der Name "Wörterbuch-Attacke" leitet sich daher ab, dass der Angreifer wie beim Durchblättern eines Wörterbuchs eine Liste von Wörtern nacheinander ausprobiert.

So erkennen Sie verdächtige Passwortaktivitäten

Es gibt einige Anzeichen, an denen Sie erkennen können, ob in Ihrem Unternehmen ein Passwort geknackt wurde oder ein Sicherheitsvorfall stattgefunden hat.

Die folgenden Tipps können Ihnen bei der Überwachung der Sicherheit helfen:

  • Behalten Sie die Zugriffsprotokolle Ihrer Systeme und Anwendungen im Blick und halten Sie Ausschau nach wiederholten fehlerhaften Anmeldeversuchen sowie verdächtigen Aktivitäten.
  • Durch Sicherheitssysteme und Intrusion Detection Systeme (IDS) können Sie verdächtige Aktivitäten über Warnmeldungen erkennen.
  • Wenn Passwörter oft durch Benutzer geändert werden, sollten Sie hellhörig werden. Möglicherweise wurden in diesem Falle Passwörter kompromittiert.
  • Der unautorisierte Zugriff durch Mitarbeiter oder Dritte auf Ressourcen im Unternehmen, für die sie eigentlich keine Berechtigung haben, ist ein klares Anzeichen für einen Sicherheitsvorfall.
  • Falls Ihnen ungewöhnliche Aktivitäten im Netzwerk auffallen, z. B. große Datenübertragungen oder ungewöhnliche Verbindungen zu verdächtigen IP-Adressen, könnte dies auf einen Angriff hinweisen.
  • Mehrere fehlerhafte Anmeldeversuche, die zur Sperrung eines Kontos führen, können auf einen Angriffsversuch hindeuten.
  • Stellen Sie sicher, dass die Passwortsicherheit über Richtlinien im Unternehmen gewährleistet ist und die Mitarbeitenden keine einfachen Passwörter verwenden, die leicht zu hacken sind.
  • Sollten Mitarbeitende oder Benutzer auffällige Aktivitäten bemerken, sollten sie diese umgehend melden.
  • Unternehmen können mithilfe von Penetrationstests und Sicherheitsaudits Schwachstellen und Sicherheitslücken zu identifizieren, bevor sie ausgenutzt werden.
  • Durch den Einsatz von Log-Analyse-Tools und Security Information and Event Management Systemen (SIEM-Systeme) können Sie verdächtige Aktivitäten in Echtzeit erkennen und ggf. darauf reagieren.

Wichtig ist neben der Überwachung verdächtiger Aktivitäten, dass die Mitarbeitenden geschult werden und dass die Entwicklung eines Notfallplans für potenzielle Sicherheitsvorfälle fest im Unternehmen etabliert ist.

Informationssicherheit auf dem neuesten Stand mit netgo

Für die Informationssicherheit ist es fundamental, dass neben der passenden Wahl der technischen Lösung auch organisatorische Aspekte berücksichtigt werden.

Die Prozesse und Richtlinien sollten organisationsweit aufgestellt, kommuniziert und eingehalten werden. Darüber hinaus sollte die dauerhafte kritische Überprüfung der Sicherheitsstandards ernstgenommen werden, sodass die Technologie und die Prozesse stets auf dem neusten Wissensstand sind und mögliche neue Empfehlungen von Experten, Verbänden sowie dem Bundesamt für Sicherheit in der Informationstechnik in Betracht gezogen werden können.

Unser Team der sila consulting berät Sie gerne zum Thema Information Security und untersucht Ihre Sicherheit technisch in Penetration-Tests.