Kontakt

Blog

Awareness

„Change Your Password Day“ – was wirklich hilft, um Unternehmensinformationen zu schützen

Lesedauer 5 Minuten

Der erste Februar ist seit zehn Jahren „Change Your Password Day“. Das amerikanische Webportal GIZMODO rief diesen Tag 2012 ins Leben, um im Sinne des positiven Gruppenzwangs einmal im Jahr gemeinsam Passwörter zu ändern. Diese Idee entstand, nachdem ein Mitarbeiter der Agentur feststellte, im Laufe der Jahre immer mehr Accounts und Logins anzusammeln und für viele dieser Accounts gleiche Zugangsdaten, also dieselbe E-Mailadresse sowie dasselbe Passwort, zu verwenden. Nachdem zwei seiner Accounts gehackt wurden und er erkannte, dass es generell nur eine Frage der Zeit ist, bis solch ein Hack erfolgreich geschieht, kam ihm die Idee des jährlichen Passwort-Wechsel-Tages.  


Ein Passwort ist schnell geändert, aber wie gewährleistet man den Schutz von Unternehmensinformationen wirklich am besten? Das klingt auf den ersten Blick recht trivial, ist aber dennoch sehr wichtig. Daher haben sich die Informationssicherheitsexperten der sila consulting mit den IT-Sicherheitsexperten der netgo software ausgetauscht und erläutert, wie sinnvoll der „Change Your Password Day“ ist. Alle wichtigen Tipps und Empfehlungen zum Umgang mit Passwörtern und zur Sicherung von Unternehmensinformationen erfahren Sie in diesem Beitrag.

Was macht ein gutes Passwort aus?

Ein gutes Passwort erfüllt zunächst einmal zwei Kriterien. Es sollte: 

  • nicht trivial sein, da es sonst über „Wörterbuch-Attacken“ schnell geknackt werden kann 
  • nicht zu kurz sein, da es sonst über „Brute-Force-Attacken“ schnell geknackt werden kann 

Wie schnell Passwörter mit einfachen modernen Client-PC-Systemen über Brute-Force-Attacken zu knacken sind, zeigt die folgende Darstellung deutlich. Hier wird veranschaulicht, wie ausschlaggebend Zeichenanzahl und -kombination sind:

Grafik: Zeit, die ein Computer benötigt, um ein Passwort bestehend aus den folgenden Parametern zu knacken

Wie sicher ist ihr Passwort? Bei Passwörtern ist die Zeichenanzahl sowie -kombination ausschlaggebend.
Quelle: Katharina Buchholz / statista.com

Beispielsweise knackt ein Computer ein siebenstelliges Passwort bestehend aus Groß- und Kleinbuchstaben sofort. Wenn das Passwort zusätzlich noch eine Zahl enthält, wird das Kennwort innerhalb einer Minute geknackt. Bei der zusätzlichen Verwendung eines Symbols innerhalb von sechs Minuten.

Generell sollten für alle Anwendungsfälle unterschiedliche Passwörter eingesetzt werden, da durch einen Hack oder Leak weitere Systeme gefährdet sind. Hierbei ist es besonders wichtig, gute Passwörter für E-Mail Accounts zu verwenden, da Angreifer mit Zugriff auf ein Mailkonto Passwort-Resets nutzen können, um Zugang zu weiteren Systemen zu erhalten. Passwort-Resets sollten daher nur über das Mailkonto geschehen. Zudem sollten Sicherheitsabfragen wie „Geburtsname der Mutter“ nicht verwendet werden.

Sollte man sein Passwort oft wechseln, um Angriffe zu unterbinden?  

Das Ändern eines Passwortes ist grundsätzlich sinnvoll, aber falls keine entsprechenden technischen Hilfsmittel zur Verfügung stehen, führt dies häufig zur Verwendung schlechterer Passwörter.

Die Empfehlung von Microsoft lautet beispielsweise eine Mindestpasswortlänge von 14 Zeichen sowie 3 von 4 Zeichenklassen (Aa1!) zu verwenden und alle 365 Tage das Passwort zu wechseln, also z.B. am „Change Your Password Day“.

Befolgt man all diese genannten Maßnahmen, hat man am Ende eine große Anzahl komplizierter Passwörter, die man sich alle merken muss. Keinesfalls sollten Passwörter im Klartext notiert oder im Browser gespeichert werden. Hier unterstützen technische Lösungen wie Password-Manager, welche die Möglichkeit bieten, Passwörter sicher und bequem zu verwalten. Zusätzlich bieten viele dieser Lösungen weitere nützliche Funktionen wie Passwörter siegeln, Passwortnutzung IP-tracken, Passwörter automatisch ändern, Backup sowie weitere. Welche Lösungen sich am besten für welchen Anwendungsfall eignen, erfahren Sie von unseren Sicherheitsspezialisten der netgo.

Reichen Passwörter allein aus?

Unsere Experten geben hierzu ein klares Statement: „Nein.“ Selbst das beste Passwort kann durch Angriffe auf die Anbieter in den einschlägigen Passwortlisten auftauchen. Vor allem das Phishing von Passwörtern wird immer effektiver und ausgefeilter.

Die zuverlässigste Methode, Zugänge sicherer zu machen, ist die Multi-Faktor-Authentifizierung (MFA). Also zusätzlich zu etwas, „das man weiß“ (ein Passwort) noch etwas, „das man hat“ (wie der Nachweis über Auth-App im Handy oder per Hardwaretoken) zu nutzen. Selbst wenn das Passwort bekannt wird, ist ein Zugriff ohne das physische Objekt in Form von Handy oder Token für den Angreifer nicht möglich. Multi-Faktor-Authentifizierung sollte daher überall genutzt werden, wo es möglich ist. Google hat beispielsweise durch den Einsatz von MFA das Phishing intern komplett eliminiert. Das schont nicht nur die Nerven, sondern auch den Geldbeutel. Wichtig ist dabei zu beachten, dass die eingesetzte MFA-Lösung flexibel und zukunftsfähig ist. MFA kann für User nämlich umständlich wirken, wenn die Benutzerfreundlichkeit nicht genug Aufmerksamkeit in der Umsetzung bekommt. Ein erfolgreiches Ausrollen von MFA im Unternehmen erfordert daher Flexibilität und breite Möglichkeiten zur Integration. Vor allem bei der Abstimmung zwischen Sicherheit, Benutzbarkeit und Kosten gilt es, die richtige Balance zu finden. Mit der MFA Lösung LinOTP erhalten Unternehmen eine optimale technische Lösung. Gerne beraten wir Sie persönlich zur Umsetzung.

Was sollte nicht vergessen werden?

Zu guter Letzt ist es wichtig zu beachten, dass neben der technischen Lösung die organisatorischen Fragen der Informationssicherheit nicht vergessen werden. Dies bedeutet saubere Prozesse und entsprechende Richtlinien aufzusetzen, um dadurch Zugänge eng zu fassen, Zugänge bei Wechseln/Abgängen zu entziehen und um alle genutzten Systeme, Netze sowie Zugänge im Auge zu behalten. Unser Team der sila consulting unterstützt Sie hierzu gerne.

Weitere Beiträge

Alle Artikel ansehen

Hybrid Cloud

Die IT ist der Motor eines Unternehmens und kann Marktpositionen sichern und Wettbewerbsvorteile ausbauen – aber nur, wenn sie auf dem neuesten Stand ist. Nicht umsonst treibt das Thema Cloud-Computing mittelständische Unternehmen um. Es gibt verschiedene Optionen, die Cloud zu nutzen. Die Hybrid...

Weiterlesen
Alle Artikel ansehen
Sprechen Sie jetzt mit einem Experten!

Als netgo group bringen wir Menschen und Technologien erfolgreich zusammen. Dabei denken wir ganzheitlich, verstehen das Geschäft unserer Kunden und ebnen den Weg für eine smarte und intelligente Digitalisierung.

Mehr erfahren