Globaler Passwortsicherheitsreport: Spitzenposition für Deutschland: Im Ländervergleich hat die Bundesrepublik den höchsten durchschnittlichen Sicherheitswert sowie den höchsten durchschnittlichen Passwortqualitätswert.
Der Bericht zur »Globalen Passwortsicherheitsreport 2018« von LastPass und LogMeIn untersuchte das reale Passwortverhalten am Arbeitsplatz [1]. Dafür wurden anonymisierte Daten von über 43.000 Unternehmen aller Größen, Branchen und Regionen, die LastPass als Enterprise-Passwortmanager nutzen, analysiert. Damit zeichnet der Report ein genaues Bild des Passwortmanagements und gibt Unternehmen außerdem mit dem LastPass-Sicherheitswert und dem LastPass-Passwortqualitätswert [2] Richtgrößen an die Hand, mit denen sie den Erfolg ihrer Passwortsicherheit messen können.
Der Bericht, der am ersten Tag des European Cyber Security Month veröffentlicht wird, zeigt, dass Unternehmen zwar Fortschritte im Bereich Passwortsicherheit machen, es aber immer noch viel zu tun gibt. Der durchschnittliche Sicherheitswert der untersuchten Unternehmen liegt nämlich international bei nur 52 von 100 möglichen Punkten. Im Ländervergleich liegt Deutschland mit 56 Punkten dabei ganz vorne.
»Nach wie vor stellen Passwörter eine Herausforderung für die Cybersicherheit am Arbeitsplatz dar, und die Angriffe nehmen jedes Jahr an Menge und Komplexität zu. Trotz dieser Bedrohungen haben Unternehmen aber Schwierigkeiten, ihr eigenes Passwortrisiko realistisch zu bewerten«, sagt Gerald Beuchelt, Chief Information Security Officer bei LogMeIn. »Unser Bericht gibt Information Security Managern ein Werkzeug an die Hand, anhand dessen sie den Passwortqualitätswert ihres eigenen Unternehmens mit dem anderer vergleichen können. Dadurch sind die Sicherheitsabteilungen nun besser gerüstet, die Lücken in ihrem Sicherheitsprogramm zu identifizieren und die Fortschritte nach der Investition in Passwortsicherheit zu messen.«
Die wichtigsten Ergebnisse der Auswertung:
- Je größer das Unternehmen, desto geringer ist der durchschnittliche Sicherheitswert
Unternehmen mit weniger als 25 Mitarbeitern haben mit 50 Punkten den höchsten durchschnittlichen Sicherheitswert. Der Durchschnitt sinkt, je größer das Unternehmen ist. Denn mehr Mitarbeiter bedeuten mehr Passwörter und damit auch mehr potenzielle Risiken; außerdem nutzen sie öfter unautorisierte Apps. In größeren Unternehmen ist es für die IT-Abteilung insgesamt deutlich schwieriger, bei allen Mitarbeitern die Einhaltung der Passwortsicherheitsstandards zu gewährleisten.
- Die Investition in einen Enterprise-Passwortmanager hat messbare Effekte
Innerhalb eines Jahres nach der Investition in einen Passwortmanager gewinnt ein Unternehmen fast 15 Sicherheitspunkte dazu. Das ist nicht nur eine signifikante Verbesserung des Sicherheitsniveaus des Unternehmens, sondern auch eine greifbare Messgröße zur Validierung der Investition.
- Das Teilen von Passwörtern mit Kollegen ist immer noch gang und gäbe
Im Durchschnitt teilt ein Mitarbeiter sechs Passwörter mit seinen Kollegen. Da Teams immer häufiger auf mehrere Standorte verteilt und auf verschiedene Technologien angewiesen sind, ist die Möglichkeit, gemeinsame Passwörter zu schützen, nachzuverfolgen und zu prüfen, wichtiger denn je.
- Die Technologiebranche ist Spitzenreiter in puncto Passwortsicherheit
Die höchsten durchschnittlichen Sicherheitswerte erreicht die Technologiebranche (53 Punkte). Da die meisten Unternehmen den Privatsphäre- und Datenschutzbestimmungen entsprechen müssen, ist dies ist nicht verwunderlich. Überraschend ist jedoch, dass stark reglementierte Branchen wie Banken, Krankenhäuser und Versicherungen keine vergleichbaren (oder sogar höheren) durchschnittlichen Sicherheitswerte aufweisen. Vor allem in Deutschland eine erfreuliche Ausnahme: der öffentliche Dienst. Mit einem Wert von 83 ist Deutschland im internationalen Vergleich absoluter Spitzenreiter – und das mit weitem Abstand. Schweden folgt mit einem Wert von 77, die drittplatzierten Niederlande sind mit einem Wert von 43 sogar deutlich unter dem allgemeinen Durchschnittswert.
- Multifaktor-Authentifizierung gewinnt immer mehr an Bedeutung
Da sich immer mehr Unternehmen um das Thema Passwortsicherheit sorgen, rückt Multifaktor-Authentifizierung (MFA) als Sicherheitsmaßnahme zunehmend in den Fokus. 45 Prozent der untersuchten Unternehmen nutzen das Verfahren bereits, was eine deutliche Steigerung gegenüber 24,5 Prozent aus dem Vorjahr darstellt. Interessanterweise sind nur 3 Prozent der Unternehmen, die MFA nutzen, aus Deutschland – hier gibt es also Optimierungspotenzial. Auch Im Bereich MFA nimmt die Technologiebranche mit 31 Prozent die Führungsposition ein. Ob der Grund dafür in einem gesteigerten Bewusstsein für verfügbare Sicherheitsoptionen oder einer stärker ausgeprägten Sicherheitskultur liegt: Technologie-Unternehmen legen Wert auf besonderen Schutz.
»Sicherheitsexperten unterschätzen oft, wie wichtig der erste Schritt der Authentifizierung – nämlich das Passwort – ist. Viele Unternehmen haben zwar inzwischen ausgeklügelte Sicherheitsmaßnahmen etabliert, aber eine einfache Sache wie ein Passwort kann sie dann zu Fall bringen«, sagt Frank Dickson, Research Vice President, Security Products bei IDC, dem weltweit führenden Anbieter von Marktinformationen im Bereich IT und Telekommunikation. »Ein Sicherheits-Benchmark, wie er von LastPass mit diesem Bericht angeboten wird, wird Unternehmen dabei helfen, ihr Passwort-Risiko zu quantifizieren und zu sehen, wie sie im Vergleich mit Unternehmen ähnlicher Größe abschneiden – und wie effektiv ihr Passwortmanagement ist.«
[1] Zur Studie: Für den Report wurden die Daten von über 43.000 Unternehmen, die LastPass als Enterprise-Passwortmanager verwenden, anonymisiert und kumuliert. Ähnlich wie beim LastPass Password Exposé sind dabei Unternehmen jeder Art, Größe und Branche vertreten. Der Datensatz ist jedoch deutlich größer und ermöglicht so, ein genaueres Bild des unternehmensinternen Umgangs mit Passwörtern zu zeichnen. Wenngleich die Daten ausschließlich wiedergeben, wie die Situation bei Unternehmen ist, die LastPass nutzen, wurden die Schlussfolgerungen auf die gesamte IT-Branche ausgeweitet. Vollständiger Bericht
[2] Der LastPass-Passwortqualitätswert bewertet die kombinierte, gemittelte Passwortstärke aller im Tresor des Benutzers gespeicherten Passwörter. Der LastPass-Sicherheitswert baut auf dem Passwortqualitätswert auf. Er beurteilt, ob Passwörter doppelt vorkommen, anfällig oder anderweitig schwach sind. Die Bewertung berücksichtigt auch die Verwendung von Multifaktor-Authentifizierung und andere Sicherheitseinstellungen, um so das komplette Bild der Passwortsicherheit für einen Einzelnutzer zu zeichnen.
Safer Surfing: »123456« nicht nur aus DSGVO-Sicht kein optimales Passwort
Passwortschutz 4.0: Passwörter auf Schmuck und Haushaltsgegenstände gravieren lassen
Gefälschte Office-365-Mails im Umlauf: Perfide Phishing-Variante täuscht Passwort-Verifizierung vor