Illustration: Absmeier, TheDigitalArtist

Es ist lange her, dass ausschließlich Großkonzerne Opfer von Cyberkriminellen wurden. Heute haben sie es auf alle und jeden abgesehen, denn nahezu jedes Unternehmen geht mit Daten um. »Daten sind das Gold unserer Zeit. Das macht eine Passwortrichtlinie umso wichtiger, in der festgehalten wird, wie ein sicheres Passwort überhaupt aussieht.

Dazu gehört die Festlegung der Mindestlänge eines Passworts, Vorgaben zur Verwendung von Sonderzeichen sowie die Angabe einer Zeitspanne, nach der ein Passwort zu ändern ist«, so Christian Heutger, CTO bei der PSW GROUP Consulting (www.psw-consulting.de). Der IT-Sicherheitsexperte macht anhand häufig verwendeter Methoden deutlich, wie leicht es Angreifern gelingen kann, Passwörter zu erbeuten, um an gespeicherte Daten zu gelangen. »Mithilfe von Brute Force-Attacken versuchen Cyberkriminelle, Passwörter zu erraten. Dabei kombinieren sie Buchstaben, Satzzeichen, Zahlen und Sonderzeichen. Fast noch einfacher ist die sogenannte Dictionary Attack, bei der Angreifer mit Datenbanken arbeiten, in denen oft verwendete Passwörter enthalten sind. Manchmal probieren sie auch einfach Begriffe aus einem Wörterbuch aus, weshalb ich eindringlich davor warne, Wörter, die so auch im Duden zu finden sind, als Kennwort zu verwenden.«

Aufwändiger sind hingegen die Methoden des Social Engineerings sowie des Sniffings. Bei letzterem überwachen Cyberkriminelle den Datenverkehr ihrer Opfer – einschließlich der Eingabe von Benutzernamen und Passwörtern. »Möglich ist die Überwachung beispielsweise durch den Einsatz von Schadsoftware auf dem System. Auch lassen sich Netzwerkverbindungen außerhalb der eigenen IT-Infrastruktur überwachen«, erklärt Heutger. Social Engineering hingegen ist eine besonders perfide Masche, denn die Passwörter müssen nicht erraten werden, sie werden direkt erfragt. So geben sich Angreifer als Kollegen aus der IT aus und erfragen zu angeblichen Testzwecken Passwörter. »Es gehört eine hohe Mitarbeitersensibilisierung dazu, nicht auf diese Masche hereinzufallen. Die Opfer handeln meist in gutem Glauben und geben sämtliche Zugangsdaten preis«, so Christian Heutger.

Diese Anforderungen an Passwörter sollten im Rahmen einer Passwortrichtlinie berücksichtigt werden: Passwortlänge

Es sollen ausschließlich alphanumerische Zeichen verwendet werden. Zudem sollte das Passwort eine Mindestlänge von acht Zeichen, besser jedoch 12 Zeichen haben. Stehen für ein Passwort ausschließlich Ziffern zur Verfügung, muss es mindestens sechs Zeichen lang sein. Zudem sollte das Authentisierungssystem den Zugang nach einer bestimmten Anzahl von Fehlversuchen sperren.

Sonderzeichen

Damit ein Passwort nicht leicht zu erraten ist, sollte auf Namen, Geburtsdaten, Kfz-Kennzeichen und ähnliches verzichtet werden. Idealerweise gibt die Passwortrichtlinie vor, dass das Passwort aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen besteht. Die Verwendung mindestens zweier Zeichenarten sollte Pflicht sein.

Regelmäßige Passwort-Änderungen

Es ist wichtig, dass jeder Benutzer im Betrieb sein Passwort jederzeit ändern kann – und zwar spätestens alle 90 Tage. Außerdem ist ein Passwortwechsel durchzuführen, wenn das Passwort in unbefugte Hände geraten ist – oder auch nur der Verdacht besteht. Keinesfalls sollten alte Passwörter nach dem Passwortwechsel noch einmal verwendet werden. Zu den wohl größten Irrtümern bei der Vergabe von Passwörtern gehört es, dass Passwörter beim Wechseln einfach variiert werden. Da wird aus dem Passwort »PE567rd« einfach »567PErd«. »Viele Benutzer möchten Passwörter mit maximal acht Zeichen, idealerweise ohne Sonderzeichen, um sich Passwörter gut zu merken. Doch solchen Passwörtern kommen auch Cyberkriminelle schnell auf die Spur«, spricht Heutger ein verbreitetes Problem an und macht deutlich: »Gute Passwörter sind lang. Sie bestehen aus mehreren Wörtern und verschiedenen Zeichen wie Zahlen oder Sonderzeichen.« Allerdings: Zu viele Sonderzeichen sind auch nicht sinnvoll. Denn Passwörter mit vielen Sonderzeichen sind mithilfe von Brute-Force-Attacke schnell herausgefunden.

In einer Passwortrichtlinie geht es allerdings nicht ausschließlich um die Festlegung von Passwörtern und Anforderungen an diese. Auch andere Bereiche müssen für einen ganzheitlichen Ansatz Berücksichtigung finden. Dazu gehört, Mitarbeiter dazu zu verpflichten, jedes Gerät, mit dem ein Zugriff auf personenbezogene Daten möglich ist, mittels Passwort abzusichern. »Diese Sicherheitsvorkehrungen sind jedoch nichtig, wenn die Daten unverschlüsselt durch fremde Netzwerke laufen. Deswegen müssen in der Passwortrichtlinie auch Sicherheitsbestimmungen für Netzwerke sowie Verbindungen festgehalten werden«, gibt Heutger zu bedenken. Das gilt im Übrigen auch für das Speichern von Passwörtern: Passwörter werden idealerweise verschlüsselt und an einem sicheren Ort aufbewahrt. »In der Passwortrichtlinie sollte darüber hinaus die vorgeschriebene Passwortänderung ihren Platz finden sowie zulässige Passwort-Manager aufgelistet werden. Zudem sollten Mitarbeiter angeleitet werden, beim Verlassen ihres Arbeitsplatzes den Bildschirm zu sperren – das gilt auch für alle mobilen Endgeräte. So wird der Passwortschutz aktiv und es gibt eine Kontrolle über den Zugriff«, rät Christian Heutger. Weitere Informationen unter: https://www.psw-consulting.de/blog/2019/04/02/passwortrichtlinie-ihr-weg-zu-besserem-datenschutz/

452 search results for „Passwörter „