Am 01. Februar steht der internationale "Change your Password"-Day an. An diesem Tag sind Nutzer angehalten, sich mit dem Thema Datensicherheit in Bezug auf ihr Verhalten beim Log-In zu beschäftigen. Dass hier zusätzliche Awareness – besonders in Zeiten von Home-Office – nötig ist, beweist die SailPoint Studie The Cybersecurity Pandora’s Box of Remote Work aus dem letzten Jahr.
Hierfür wurde eine repräsentative Stichprobe von Verbrauchern ab 18 Jahren in den USA, Großbritannien, Frankreich, Deutschland, Australien und Neuseeland befragt. Das ernüchternde Ergebnis: Während der Pandemie scheint es immer üblicher geworden zu sein, Zuhause Passwörter weiterzugeben.
Einer von vier Befragten weltweit hat etwa berufliche Passwörter an einen Dritten weitergegeben, etwa den Partner, einen Mitbewohner oder Freund. Weiterhin ergab die Studie: Nur 23 Prozent der Befragten in EMEA haben ihr Arbeitspasswort innerhalb des Vormonats geändert, und fast die Hälfte (44 Prozent) hat es seit über sechs Monaten nicht geändert.
Vielleicht sind auch solche Zahlen der Grund dafür, dass ein aktueller Trend innerhalb der Cybersicherheit die Abkehr von Passwörtern im klassischen Sinne ist. Doch bevor „Passwordless“ zum Standard wird, dürften noch ein paar Jahre vergehen – bis dahin sollten die wichtigsten Regeln befolgt werden und wichtige Fallstricke vermieden werden.
Die Nutzung eines Passwortmanagers ist genauso sinnvoll wie die Zwei- oder Multi-Faktor-Authentifizierung, die eine zusätzliche Schutzebene bietet. Da das Thema Passwörter Betriebe und deren Mitarbeiter noch einige Jahre beschäftigen wird, folgen hier drei wichtige Punkte zum Thema Passwortsicherheit, die wesentlich zur Sicherheit jedes Unternehmens und Nutzers beitragen.
1) Niemals Passwörter wiederverwenden
Es mag unwesentlich erscheinen, aber die Wiederverwendung von Passwörtern über verschiedenen Konten hinweg ist sehr riskant. Viele Angestellte verwenden die gleichen Passwörter für berufliche und private Konten, was nicht nur sie selbst gefährdet und Cyberkriminellen leichtes Spiel verschafft, sondern auch ihren Arbeitgeber ins Fadenkreuz der Betrüger rückt.
Haben diese sich erst einmal Zugriff zu einem privaten Konto verschafft, können sie sich somit leicht Zugang zu Geschäftskonten sichern, wenn dasselbe Passwort für beide Accounts genutzt wird. Dieser „Dominoeffekt“ ist die Grundlage für das "Credential Stuffing" – eine Technik, die heute zunehmend von Hackern verwendet wird. Als Faustregel gilt also: Passwörter dürfen unter keinen Umständen wiederverwendet werden.
2) Sentimentalität beim Thema Passwörter? Fehlanzeige
Die Wiederverwendung von Passwörtern ist nicht die einzige Kardinalsünde in der IT-Security. Auch das zu lange Festhalten an und die zu unregelmäßige Änderung von Anmeldedaten stellt ein großes Problem dar – wie verbreitet dieses Phänomen ist, zeigt auch die eingangs zitierte Studie.
Die gleiche Erhebung fragte die Nutzer, ob es Initiativen an ihrem Arbeitsplatz gibt, die den Cyber-Sicherheitsschutz der Mitarbeiter fördern. Hierbei gaben lediglich 12 Prozent der deutschen Befragten an, ihr Arbeitgeber verlange eine regelmäßige Zurücksetzung der Passwörter.
Diese Zahl ist eindeutig zu niedrig und Unternehmen sollten hier aufmerksamer sein. Denn, natürlich ist das Ändern von Passwörtern lästig – vor allem, wenn Mitarbeiter gleich mehrere im Auge behalten müssen, und schließlich schleicht sich die Gewohnheit ein. Mitarbeiter gewöhnen sich daran, eine bestimmte Kombination einzutippen, und es kann ziemlich irritierend sein, sich bei der Eingabe eines neuen Passworts umzugewöhnen.
Außerdem: Keinen Zugriff zu erhalten, weil man sich nicht an sein Passwort erinnern kann, ist sehr ärgerlich. Dennoch lautet die Devise: Keine Sentimentalität, wenn es um Passwörter geht. Es lohnt sich immer, Kriminellen einen Schritt voraus zu sein, indem man sein Passwort mindestens alle drei Monate ändert.
3) Warum 123456 kein sicheres Passwort ist
Auch dies scheint offensichtlich, aber dennoch sollte betont werden: Fortlaufende Zahlen und auch einfach zu erratende Kennwörter wie der Name des Haustieres, der Lieblingsband oder des Lieblingsfußballteams bieten keinen ausreichenden Schutz vor Cyberkriminellen.
Sichere Passwörter zeichnen sich dadurch aus, dass sie komplex sind und eher zufällig zusammengestellt wirken – nur so bieten sie eine zusätzliche Schutzebene und verhindern Datenmissbrauch. Eine weitere Faustregel lautet also: Ist das Kennwort leicht zu merken, ist es vermutlich kein besonders starkes.
Mit einer ungewöhnlichen Mischung aus Groß- und Kleinbuchstaben, mit einigen zufälligen Zahlen – nicht dem Geburtstag oder Jahrestag – und Symbolen ist es meist getan. Insgesamt sollten Nutzer und Verantwortlich in Unternehmen diesen Tag nutzen, um die täglichen Zugangspraktiken auf den Prüfstand zu stellen, insbesondere jetzt, in denen der Großteil der Belegschaft remote arbeitet.
Der Schutz digitaler Identitäten wird 2021 ein Kernthema sein – neben automatisierten Lösungen aus dem Bereich Identity Security, die diese Identitäten managen und IT-Abteilungen entlasten, sollten vermeintlich offensichtliche Punkte wie Passwort-Hygiene nicht aus den Augen gelassen werden. Effektives Passwortmanagement trägt schließlich wesentlich auch zum Schutz der vielen verschiedenen Identitäten im Unternehmen bei.