Per Passwortrichtlinie zu mehr Datenschutz

Illustration: Absmeier, TheDigitalArtist

 

Es ist lange her, dass ausschließlich Großkonzerne Opfer von Cyberkriminellen wurden. Heute haben sie es auf alle und jeden abgesehen, denn nahezu jedes Unternehmen geht mit Daten um. »Daten sind das Gold unserer Zeit. Das macht eine Passwortrichtlinie umso wichtiger, in der festgehalten wird, wie ein sicheres Passwort überhaupt aussieht.

Dazu gehört die Festlegung der Mindestlänge eines Passworts, Vorgaben zur Verwendung von Sonderzeichen sowie die Angabe einer Zeitspanne, nach der ein Passwort zu ändern ist«, so Christian Heutger, CTO bei der PSW GROUP Consulting (www.psw-consulting.de). Der IT-Sicherheitsexperte macht anhand häufig verwendeter Methoden deutlich, wie leicht es Angreifern gelingen kann, Passwörter zu erbeuten, um an gespeicherte Daten zu gelangen. »Mithilfe von Brute Force-Attacken versuchen Cyberkriminelle, Passwörter zu erraten. Dabei kombinieren sie Buchstaben, Satzzeichen, Zahlen und Sonderzeichen. Fast noch einfacher ist die sogenannte Dictionary Attack, bei der Angreifer mit Datenbanken arbeiten, in denen oft verwendete Passwörter enthalten sind. Manchmal probieren sie auch einfach Begriffe aus einem Wörterbuch aus, weshalb ich eindringlich davor warne, Wörter, die so auch im Duden zu finden sind, als Kennwort zu verwenden.«

Aufwändiger sind hingegen die Methoden des Social Engineerings sowie des Sniffings. Bei letzterem überwachen Cyberkriminelle den Datenverkehr ihrer Opfer – einschließlich der Eingabe von Benutzernamen und Passwörtern. »Möglich ist die Überwachung beispielsweise durch den Einsatz von Schadsoftware auf dem System. Auch lassen sich Netzwerkverbindungen außerhalb der eigenen IT-Infrastruktur überwachen«, erklärt Heutger. Social Engineering hingegen ist eine besonders perfide Masche, denn die Passwörter müssen nicht erraten werden, sie werden direkt erfragt. So geben sich Angreifer als Kollegen aus der IT aus und erfragen zu angeblichen Testzwecken Passwörter. »Es gehört eine hohe Mitarbeitersensibilisierung dazu, nicht auf diese Masche hereinzufallen. Die Opfer handeln meist in gutem Glauben und geben sämtliche Zugangsdaten preis«, so Christian Heutger.

 

Diese Anforderungen an Passwörter sollten im Rahmen einer Passwortrichtlinie berücksichtigt werden: Passwortlänge

Es sollen ausschließlich alphanumerische Zeichen verwendet werden. Zudem sollte das Passwort eine Mindestlänge von acht Zeichen, besser jedoch 12 Zeichen haben. Stehen für ein Passwort ausschließlich Ziffern zur Verfügung, muss es mindestens sechs Zeichen lang sein. Zudem sollte das Authentisierungssystem den Zugang nach einer bestimmten Anzahl von Fehlversuchen sperren.

Sonderzeichen

Damit ein Passwort nicht leicht zu erraten ist, sollte auf Namen, Geburtsdaten, Kfz-Kennzeichen und ähnliches verzichtet werden. Idealerweise gibt die Passwortrichtlinie vor, dass das Passwort aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen besteht. Die Verwendung mindestens zweier Zeichenarten sollte Pflicht sein.

Regelmäßige Passwort-Änderungen

Es ist wichtig, dass jeder Benutzer im Betrieb sein Passwort jederzeit ändern kann – und zwar spätestens alle 90 Tage. Außerdem ist ein Passwortwechsel durchzuführen, wenn das Passwort in unbefugte Hände geraten ist – oder auch nur der Verdacht besteht. Keinesfalls sollten alte Passwörter nach dem Passwortwechsel noch einmal verwendet werden. Zu den wohl größten Irrtümern bei der Vergabe von Passwörtern gehört es, dass Passwörter beim Wechseln einfach variiert werden. Da wird aus dem Passwort »PE567rd« einfach »567PErd«. »Viele Benutzer möchten Passwörter mit maximal acht Zeichen, idealerweise ohne Sonderzeichen, um sich Passwörter gut zu merken. Doch solchen Passwörtern kommen auch Cyberkriminelle schnell auf die Spur«, spricht Heutger ein verbreitetes Problem an und macht deutlich: »Gute Passwörter sind lang. Sie bestehen aus mehreren Wörtern und verschiedenen Zeichen wie Zahlen oder Sonderzeichen.« Allerdings: Zu viele Sonderzeichen sind auch nicht sinnvoll. Denn Passwörter mit vielen Sonderzeichen sind mithilfe von Brute-Force-Attacke schnell herausgefunden.

In einer Passwortrichtlinie geht es allerdings nicht ausschließlich um die Festlegung von Passwörtern und Anforderungen an diese. Auch andere Bereiche müssen für einen ganzheitlichen Ansatz Berücksichtigung finden. Dazu gehört, Mitarbeiter dazu zu verpflichten, jedes Gerät, mit dem ein Zugriff auf personenbezogene Daten möglich ist, mittels Passwort abzusichern. »Diese Sicherheitsvorkehrungen sind jedoch nichtig, wenn die Daten unverschlüsselt durch fremde Netzwerke laufen. Deswegen müssen in der Passwortrichtlinie auch Sicherheitsbestimmungen für Netzwerke sowie Verbindungen festgehalten werden«, gibt Heutger zu bedenken. Das gilt im Übrigen auch für das Speichern von Passwörtern: Passwörter werden idealerweise verschlüsselt und an einem sicheren Ort aufbewahrt. »In der Passwortrichtlinie sollte darüber hinaus die vorgeschriebene Passwortänderung ihren Platz finden sowie zulässige Passwort-Manager aufgelistet werden. Zudem sollten Mitarbeiter angeleitet werden, beim Verlassen ihres Arbeitsplatzes den Bildschirm zu sperren – das gilt auch für alle mobilen Endgeräte. So wird der Passwortschutz aktiv und es gibt eine Kontrolle über den Zugriff«, rät Christian Heutger. Weitere Informationen unter: https://www.psw-consulting.de/blog/2019/04/02/passwortrichtlinie-ihr-weg-zu-besserem-datenschutz/

 

452 search results for „Passwörter „

Cybersecurity & Passwörter-Studie – 14 Prozent nutzen für alles das gleiche Passwort

Cybersecurity spielt nicht nur in der Digitalisierung der Arbeitswelt, sondern auch im Umgang mit unseren persönlichen Daten, eine immer größere Rolle. Und trotzdem sind unter den beliebtesten Passwörtern in Deutschland immer noch gefährliche Klassiker wie »hallo123« und »passwort«. Appinio hat 3592 Deutsche im Alter von 16 bis 44 Jahren über die Sicherheit ihrer Passwörter befragt.…

Täglich grüßt der Hacker – sind Passwörter noch zeitgemäß?

Ein australischer IT-Sicherheitsexperte hat in einem Hackerforum die bisher größte öffentlich einsehbare Sammlung gestohlener Zugangsdaten entdeckt. Um 2.692.818.238 (rund 2,7 Milliarden) Zeilen mit E-Mail-Adressen und Passwörtern soll es dabei gehen. Für Betroffene kann damit großer Schaden verbunden sein, etwa, wenn Kreditkartendaten mit kompromittierten Accounts verknüpft sind. Zeit zu handeln und auf Alternativen für klassische Passwörter…

Sündenfall Qwertz123: Sechs Best Practices für sichere Passwörter

Qwertz123, Passwort, Hallo – Sündenfälle bei der Passwortvergabe halten sich hartnäckig. Vielen Nutzern scheint immer noch nicht bewusst zu sein, dass sich Cyberkriminelle, etwa durch die Verwendung von Passwortlisten gestohlener, gängiger und beliebter Kennwörter, relativ einfach Zugang zu Konten verschaffen können. Um Sicherheitsmaßnahmen wie eine Sperrung wegen mehrfacher Eingabe falscher Zugangsdaten zu umgehen, nutzen Angreifer…

Die meisten Passwörter wurden schonmal geknackt: Wie Sie sich selbst online schützen

Hier gibt es Ratschläge, wie potenzielle Datenschutzverletzungen bemerkt werden und man online gesichert bleibt. Datenpannen sind auf einem Allzeithoch und es ist sehr wahrscheinlich, dass viele Passwörter diesen ausgesetzt sind. Sie werden jetzt im Dark Web zusammen mit allen Nutzerinformationen verkauft. Schlagzeilen über massive Datenpannen, die Millionen von Nutzern betreffen, waren noch nie so häufig…

Passwörter, Fingerabdrücke und Gesichtserkennung – Authentifizierungsmethoden verändern Geschäfts­prozesse

Als alleinige Authentifizierungsmethode sind Passwörter nicht mehr zeitgemäß. Je komplexer Passwörter werden, desto aufwendiger sind sie zu verwalten. Bei der biometrischen Authentifizierung zeichnen sich eine immer größere Interoperabilität, offene Standards und wachsende Benutzerfreundlichkeit ab.

Neue Angriffsvariante: Trojaner nutzt Samba, um an Daten und Passwörter zu gelangen

Angriffe sind stark verschleiert und werden unbemerkt direkt unter dem Profil des aktuellen Benutzers ausgeführt.   Barracuda Networks hat eine neue Form einer Cyberattacke auf unvorsichtige Nutzer identifiziert, die von Kriminellen genutzt werden kann, um Ransomware oder andere Malware zu verbreiten. Die Angreifer nutzen eine für die Nutzer unbekannte Dateiendung innerhalb eines Links, um den…

Passwortschutz 4.0: Passwörter auf Schmuck und Haushaltsgegenstände gravieren lassen

Absolute Weltneuheit – Gravieren Sie sich Ihre Passwörter auf edlen Schmuck oder andere Produkte des täglichen Lebens und Sie müssen sich nie wieder merkwürdige Buchstabenrätsel merken. Gravado.de veröffentlicht exklusive »Password Collection«. Ihnen ist es doch sicher auch schon so ergangen: Egal ob Sie unterwegs oder vergesslich sind – in einen dringend benötigten Account einloggen, ohne…

Gehaltslisten, Kreditkartendaten, Passwörter und Kundendaten auf gebrauchten Festplatten gefunden

So leichtsinnig gehen Firmen und Konsumenten mit sensiblen Daten um. Mit wenigen Klicks an vertrauliche Daten einer großen Supermarktkette gelangen klingt unmöglich? Attingo Datenrettung tritt den Gegenbeweis an: Auf namhaften Onlineauktionsplattformen und Kleinanzeigenportalen in Österreich und Deutschland kaufte das Datenrettungsunternehmen 100 gebrauchte Datenträger um etwa 6 Euro per Stück für das Ersatzteillager ein. Die regelmäßig…

Guter Vorsatz: Bessere Passwörter nutzen

■ Jeder Dritte nutzt nur ein Passwort für mehrere Dienste. ■ Bitkom gibt Hinweise zum besseren Schutz gegen Cyberkriminelle.   »hallo«, »passwort« oder »123456« – bei der Wahl ihrer Passwörter vertrauen viele Menschen auf einfache Kombinationen. Jeder dritte Internetnutzer (32 Prozent) in Deutschland gibt außerdem an, dass er für mehrere Online-Dienste das gleiche Passwort nutzt.…