Fachartikel & News

Passwort regelmäßig ändern garantiert keine IT-Sicherheit

Viele Firmenchefs wollen, dass Mit­ar­bei­ter ihr Pass­wort re­gel­mä­ßig än­dern. Man könn­te aber auch ei­nen rich­tig star­ken Code wäh­len und den dann gut schüt­zen. Die­se und an­de­re Tipps soll­ten Un­ter­neh­mer als Teil der IT-Si­cher­heits­stra­te­gie re­gel­mä­ßig in Trainings weitergeben.

Text: Frank Wiercks


Auch in diesen Ferien hat­ten Unternehmer wieder genug Grund – und hof­fentlich Zeit – zum Nach­denken über IT-Sicher­heit. Wie sehr die am Fak­tor Men­sch hängt, zeigten zwei „Tagesschau“-Berichte. Kurz vor Jahre­sende hieß es zuerst, im Inter­net sei eine riesige Samm­lung gestohlen­er Zugangs­dat­en aufge­taucht: 773 Mil­lio­nen Mail-Adressen und 21 Mil­lio­nen unter­schiedliche Pass­wörter. Wenig später kam dann die Mel­dung, Lieblingspass­wort des Jahres sei die Zahlen­rei­he „123456“ gewe­sen. Es fol­gten „123456789“ und „1234567“ sowie auf Platz fünf „pass­word“. Angesichts solch­er Fan­tasielosigkeit scheint es kon­se­quent, dass zumin­d­est Router in Kali­fornien seit Jahres­be­ginn mit indi­vidu­ellen Pass­wörtern aus­geliefert wer­den müssen. Oder die Nutzer durch tech­nis­che Vor­e­in­stel­lun­gen gezwun­gen wer­den, ein starkes Pass­wort festzule­gen, bevor das Gerät in Betrieb gehen kann. Bei Microsoft ste­hen allzu sim­ple Zugangscodes bere­its länger auf ein­er schwarzen Liste. Auch andere Soft­ware­hersteller oder Dien­stleis­ter verpflicht­en die Kun­den, sichere Zif­fern-Buch­staben-Zeichen-Kom­bi­na­tio­nen zu wählen. Um Hack­ern das Handw­erk zu erschw­eren, kommt oft auch die Empfehlung: Das Pass­wort regelmäßig ändern.

Passwort regelmäßig ändern kann zur IT-Si­cher­heit gehören

Tat­säch­lich nutzen Cyberkrim­inelle immer raf­finiert­ere Meth­o­d­en, um Net­zw­erke zu kapern oder Zugangs­dat­en abzu­greifen. Und Pass­wort­dieb­stahl nimmt zu. Insofern scheint es fol­gerichtig, dass jemand sein Pass­wort regelmäßig ändern soll, um pri­vat oder im Unternehmen die IT-Sicher­heit zu erhöhen. Allerd­ings sind per­sön­liche Pass­wörter – ger­ade bei Fir­men­net­zw­erken – ein zwar wichtiger Sicher­heit­saspekt, aber nur ein­er von mehreren. Daher soll­ten Fir­menchefs das The­ma IT-Sicher­heit möglichst bre­it betra­cht­en, vom Ein­satz von Ver­schlüs­selung­stech­nolo­gie bis zum Abschluss von Cyberver­sicherun­gen. Und es zudem tief im Bewusst­sein der Mitar­beit­er sowie organ­isatorisch im Betrieb ver­ankern. Das erfordert eine scho­nungslose Bedro­hungsaufk­lärung und trans­par­enten Umgang mit dem The­ma. Aber eben­so ein durch­dacht­es Sicher­heit­skonzept, das über Ein­führungss­chu­lun­gen sowie kon­tinuier­liche Train­ings alle Beschäftigten erre­icht. Sin­nvoll sind außer­dem regelmäßige Pen­e­tra­tionstests: So zeigen sich tech­nis­che Sicher­heit­slück­en, aber auch men­schliche Schwach­stellen etwa in Form leicht zu erra­ten­der Pass­wörter. Die Ergeb­nisse kön­nten dann bei der Entschei­dung helfen, ob Mitar­beit­er wirk­lich ihr Pass­wort regelmäßig ändern soll­ten. Übri­gens auch im Home-Office.

Passwort regel­mäßig än­dern kann Si­cher­heit auch gefährden

Ohne umfassende Strate­gie sowie Aufk­lärung zur IT-Sicher­heit dürfte es aber kaum helfen, dass die Beschäftigten ihr Pass­wort regelmäßig ändern. Es bringt wenig, wenn die neue Zif­fern-Buch­staben-Zeichen-Kom­bi­na­tion dann für jeden sicht­bar per Kle­bezettel am Bild­schirm hängt. Oder wenig ein­fall­sre­ich aus Namen der Haustiere und Geburt­sta­gen naher Ver­wandter beste­ht. Aber ger­ade auf solche Dat­en greifen viele Beschäftigte zurück, die sich zum regelmäßi­gen Ändern eines Zugangscodes genötigt sehen: Sie fürcht­en, durch den schnellen Wech­sel der Kom­bi­na­tio­nen irgend­wann die ger­ade gültige Ver­sion schlicht zu vergessen, weil sie ja immer wieder aufs Neue sich­er und daher kom­plex sein muss. Aus diesem Grund rat­en Experten zunehmend davon ab, dass man im Beruf wie im Pri­vat­en sein Pass­wort regelmäßig ändern soll: Beim Kom­pro­miss aus Pass­wort oft aktu­al­isieren, neue Kom­bi­na­tion aus­denken und keinen früheren Code ver­wen­den bleibt rasch die Sicher­heit auf der Strecke. Gewählt wird näm­lich häu­fig eine weniger kom­plexe Vari­ante, weil sie sich ein­fach bess­er merken lässt.

Nach einem Da­ten­dieb­stahl ist das Passwort ändern Pflicht

Natür­lich ist es nach einem Datendieb­stahl unver­mei­d­bar, das Pass­wort für den gehack­ten Account zu ändern. Und zu prüfen, ob sich aus dem erbeuteten Pass­wort auch Zugangscodes für andere Accounts des Opfers ableit­en lassen kön­nten. Dies ist etwa dann der Fall, wenn eine Mail-Adresse als Benutzer­name für den gehack­ten Account sowie auch weit­ere Online­di­en­ste gilt. Dann ist ein­er von zwei Fak­toren – der Benutzer­name – schon bekan­nt, und der Hack­er muss nur noch beim Pass­wort aus­pro­bieren. Dabei erle­ichtert die Ver­wen­dung ein­er iden­tis­chen oder leicht vari­ierten Zif­fern-Buch­staben-Zeichen-Kom­bi­na­tion den Cyberan­griff. Ob Iden­titäts­dat­en erbeutet wur­den, lässt sich etwa per HPI Iden­ti­ty Leak Check­er des Has­so-Plat­tner-Insti­tuts in Pots­dam prüfen. Generell gilt: Eben­so wichtig, ver­mut­lich sog­ar noch wichtiger als ein Pass­wort regelmäßig zu ändern, ist dessen gute Auswahl. Je sicher­er, also kom­plex­er ein Pass­wort ist, desto sel­tener muss es gewech­selt wer­den, falls es nicht leichtsin­nig weit­ergegeben wird. Oder doch bei ein­er Attacke in falsche Hände gerät.

Diese sechs Tipps für ein star­kes Pass­wort beachten

Tipps für ein starkes Pass­wort gibt das Bun­de­samt für Sicher­heit in der Infor­ma­tion­stech­nik (BSI).

• Min­destens acht Zeichen ver­wen­den. Sind Offline-Attack­en ohne per­ma­nente Net­zverbindung über län­gere Zeit möglich, soll­ten es min­destens 20 Zeichen sein.

• Alle ver­füg­baren Zeichen nutzen. Meis­tens sind Groß- und Klein­buch­staben, Zif­fern und Son­derze­ichen ver­wend­bar. Umlaute gilt es zu ver­mei­den – sie erschw­eren den Zugriff aus Län­dern, wo sich diese Zeichen nicht eingegeben lassen.

• Per­sön­lich­es ver­mei­den. Das gilt etwa für die Namen von Fam­i­lien­mit­gliedern, Haustieren oder beliebten Kün­stlern. Auch Geburts­dat­en ver­bi­eten sich.

• Bekan­ntes ignori­eren. Ungeeignet sind Begriffe, die im Wörter­buch ste­hen. Und gängige Tas­tatur­muster wie „asd­fgh“ oder „1234abcd“.

• Kein sim­ples Mod­i­fizieren. Wer eine Zif­fer an ein Wort hängt oder ein Son­derze­ichen an den Anfang stellt, stoppt Hack­er nicht.

• Esels­brücke bauen. Mit ein­er Hil­f­sstrate­gie sind der Kreativ­ität keine Gren­zen geset­zt. Man kann sich etwa einen ganzen Satz als Pass­wort bauen, bei dem die Wörter durch Son­derze­ichen ver­bun­den sind. Beispiel: „Die?Sonne!scheint/“.


Bei Fra­gen sprechen Sie uns gerne an.


Quelle: www.trialog-unternehmerblog.de, Her­aus­ge­ber: DATEV eG, Nürnberg

This is a unique website which will require a more modern browser to work! Please upgrade today!