Fachartikel & News

Passwort regel­mäßig ändern garan­tiert keine IT-Sicherheit

Viele Firmen­chefs wollen, dass Mit­ar­bei­ter ihr Pass­wort re­gel­mä­ßig än­dern. Man könn­te aber auch ei­nen rich­tig star­ken Code wäh­len und den dann gut schüt­zen. Die­se und an­de­re Tipps soll­ten Un­ter­neh­mer als Teil der IT-Si­cher­heits­­stra­­te­gie re­gel­mä­ßig in Trainings weiter­geben.

Text: Frank Wiercks


Auch in diesen Ferien hatten Unter­nehmer wieder genug Grund – und hoffentlich Zeit – zum Nachdenken über IT-Sicherheit. Wie sehr die am Faktor Mensch hängt, zeigten zwei „Tagesschau“-Berichte. Kurz vor Jahresende hieß es zuerst, im Internet sei eine riesige Sammlung gestoh­lener Zugangs­daten aufge­taucht: 773 Millionen Mail-Adressen und 21 Millionen unter­schied­liche Passwörter. Wenig später kam dann die Meldung, Lieblings­passwort des Jahres sei die Zahlen­reihe „123456“ gewesen. Es folgten „123456789“ und „1234567“ sowie auf Platz fünf „password“. Angesichts solcher Fanta­sie­lo­sigkeit scheint es konse­quent, dass zumindest Router in Kalifornien seit Jahres­beginn mit indivi­du­ellen Passwörtern ausge­liefert werden müssen. Oder die Nutzer durch technische Vorein­stel­lungen gezwungen werden, ein starkes Passwort festzu­legen, bevor das Gerät in Betrieb gehen kann. Bei Microsoft stehen allzu simple Zugangs­codes bereits länger auf einer schwarzen Liste. Auch andere Software­her­steller oder Dienst­leister verpflichten die Kunden, sichere Ziffern-Buchstaben-Zeichen-Kombi­na­tionen zu wählen. Um Hackern das Handwerk zu erschweren, kommt oft auch die Empfehlung: Das Passwort regel­mäßig ändern.

Passwort regel­mäßig ändern kann zur IT-Si­cher­heit gehören

Tatsächlich nutzen Cyber­kri­mi­nelle immer raffi­niertere Methoden, um Netzwerke zu kapern oder Zugangs­daten abzugreifen. Und Passwort­dieb­stahl nimmt zu. Insofern scheint es folge­richtig, dass jemand sein Passwort regel­mäßig ändern soll, um privat oder im Unter­nehmen die IT-Sicherheit zu erhöhen. Aller­dings sind persön­liche Passwörter – gerade bei Firmen­netz­werken – ein zwar wichtiger Sicher­heits­aspekt, aber nur einer von mehreren. Daher sollten Firmen­chefs das Thema IT-Sicherheit möglichst breit betrachten, vom Einsatz von Verschlüs­se­lungs­tech­no­logie bis zum Abschluss von Cyber­ver­si­che­rungen. Und es zudem tief im Bewusstsein der Mitar­beiter sowie organi­sa­to­risch im Betrieb verankern. Das erfordert eine schonungslose Bedro­hungs­auf­klärung und trans­pa­renten Umgang mit dem Thema. Aber ebenso ein durch­dachtes Sicher­heits­konzept, das über Einfüh­rungs­schu­lungen sowie konti­nu­ier­liche Trainings alle Beschäf­tigten erreicht. Sinnvoll sind außerdem regel­mäßige Penetra­ti­ons­tests: So zeigen sich technische Sicher­heits­lücken, aber auch mensch­liche Schwach­stellen etwa in Form leicht zu erratender Passwörter. Die Ergeb­nisse könnten dann bei der Entscheidung helfen, ob Mitar­beiter wirklich ihr Passwort regel­mäßig ändern sollten. Übrigens auch im Home-Office.

Passwort regel­mäßig än­dern kann Si­cher­heit auch gefährden

Ohne umfas­sende Strategie sowie Aufklärung zur IT-Sicherheit dürfte es aber kaum helfen, dass die Beschäf­tigten ihr Passwort regel­mäßig ändern. Es bringt wenig, wenn die neue Ziffern-Buchstaben-Zeichen-Kombi­nation dann für jeden sichtbar per Klebe­zettel am Bildschirm hängt. Oder wenig einfalls­reich aus Namen der Haustiere und Geburts­tagen naher Verwandter besteht. Aber gerade auf solche Daten greifen viele Beschäf­tigte zurück, die sich zum regel­mä­ßigen Ändern eines Zugangs­codes genötigt sehen: Sie fürchten, durch den schnellen Wechsel der Kombi­na­tionen irgendwann die gerade gültige Version schlicht zu vergessen, weil sie ja immer wieder aufs Neue sicher und daher komplex sein muss. Aus diesem Grund raten Experten zunehmend davon ab, dass man im Beruf wie im Privaten sein Passwort regel­mäßig ändern soll: Beim Kompromiss aus Passwort oft aktua­li­sieren, neue Kombi­nation ausdenken und keinen früheren Code verwenden bleibt rasch die Sicherheit auf der Strecke. Gewählt wird nämlich häufig eine weniger komplexe Variante, weil sie sich einfach besser merken lässt.

Nach einem Da­ten­dieb­stahl ist das Passwort ändern Pflicht

Natürlich ist es nach einem Daten­dieb­stahl unver­meidbar, das Passwort für den gehackten Account zu ändern. Und zu prüfen, ob sich aus dem erbeu­teten Passwort auch Zugangs­codes für andere Accounts des Opfers ableiten lassen könnten. Dies ist etwa dann der Fall, wenn eine Mail-Adresse als Benut­zername für den gehackten Account sowie auch weitere Online­dienste gilt. Dann ist einer von zwei Faktoren – der Benut­zername – schon bekannt, und der Hacker muss nur noch beim Passwort auspro­bieren. Dabei erleichtert die Verwendung einer identi­schen oder leicht variierten Ziffern-Buchstaben-Zeichen-Kombi­nation den Cyber­an­griff. Ob Identi­täts­daten erbeutet wurden, lässt sich etwa per HPI Identity Leak Checker des Hasso-Plattner-Instituts in Potsdam prüfen. Generell gilt: Ebenso wichtig, vermutlich sogar noch wichtiger als ein Passwort regel­mäßig zu ändern, ist dessen gute Auswahl. Je sicherer, also komplexer ein Passwort ist, desto seltener muss es gewechselt werden, falls es nicht leicht­sinnig weiter­ge­geben wird. Oder doch bei einer Attacke in falsche Hände gerät.

Diese sechs Tipps für ein star­kes Pass­wort beachten

Tipps für ein starkes Passwort gibt das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI).

• Mindestens acht Zeichen verwenden. Sind Offline-Attacken ohne perma­nente Netzver­bindung über längere Zeit möglich, sollten es mindestens 20 Zeichen sein.

• Alle verfüg­baren Zeichen nutzen. Meistens sind Groß- und Klein­buch­staben, Ziffern und Sonder­zeichen verwendbar. Umlaute gilt es zu vermeiden – sie erschweren den Zugriff aus Ländern, wo sich diese Zeichen nicht einge­geben lassen.

• Persön­liches vermeiden. Das gilt etwa für die Namen von Famili­en­mit­gliedern, Haustieren oder beliebten Künstlern. Auch Geburts­daten verbieten sich.

• Bekanntes ignorieren. Ungeeignet sind Begriffe, die im Wörterbuch stehen. Und gängige Tasta­tur­muster wie „asdfgh“ oder „1234abcd“.

• Kein simples Modifi­zieren. Wer eine Ziffer an ein Wort hängt oder ein Sonder­zeichen an den Anfang stellt, stoppt Hacker nicht.

• Esels­brücke bauen. Mit einer Hilfs­stra­tegie sind der Kreati­vität keine Grenzen gesetzt. Man kann sich etwa einen ganzen Satz als Passwort bauen, bei dem die Wörter durch Sonder­zeichen verbunden sind. Beispiel: „Die?Sonne!scheint/“.


Bei Fragen sprechen Sie uns gerne an.


Quelle: www.trialog-unternehmerblog.de, Heraus­geber: DATEV eG, Nürnberg

This is a unique website which will require a more modern browser to work! Please upgrade today!