Ändere-Dein-Passwort-Tag – 3 grundlegende Tipps für mehr Datensicherheit im Home-Office

Ein Statement von Volker Sommer, Area VP DACH bei SailPoint

München, den 01.02.2021 - Am 01. Februar steht jährlich der internationale "Change your Password"-Day an. An diesem Tag sind Nutzer angehalten, sich mit dem Thema Datensicherheit in Bezug auf ihr Verhalten beim Log-In zu beschäftigen. Dass hier zusätzliche Awareness – besonders in Zeiten von Home-Office – nötig ist, beweist die SailPoint Studie The Cybersecurity Pandora’s Box of Remote Work aus dem letzten Jahr. Hierfür wurde eine repräsentative Stichprobe von Verbrauchern ab 18 Jahren in den USA, Großbritannien, Frankreich, Deutschland, Australien und Neuseeland befragt. Das ernüchternde Ergebnis: Während der Pandemie scheint es immer üblicher geworden zu sein, Zuhause Passwörter weiterzugeben. Einer von vier Befragten weltweit hat etwa berufliche Passwörter an einen Dritten weitergegeben, etwa den Partner, einen Mitbewohner oder Freund. Weiterhin ergab die Studie: Nur 23 Prozent der Befragten in EMEA haben ihr Arbeitspasswort innerhalb des Vormonats geändert, und fast die Hälfte (44 Prozent) hat es seit über sechs Monaten nicht geändert.

Vielleicht sind auch solche Zahlen der Grund dafür, dass ein aktueller Trend innerhalb der Cybersicherheit die Abkehr von Passwörtern im klassischen Sinne ist.  Doch bevor „Passwordless“ zum Standard wird, dürften noch ein paar Jahre vergehen – bis dahin sollten die wichtigsten Regeln befolgt werden und wichtige Fallstricke vermieden werden. Die Nutzung eines Passwortmanagers ist genauso sinnvoll wie die Zwei- oder Multi-Faktor-Authentifizierung, die eine zusätzliche Schutzebene bietet. Da das Thema Passwörter Betriebe und deren Mitarbeiter noch einige Jahre beschäftigen wird, folgen hier drei wichtige Punkte zum Thema Passwortsicherheit, die wesentlich zur Sicherheit jedes Unternehmens und Nutzers beitragen.

1) Niemals Passwörter wiederverwenden

Es mag unwesentlich erscheinen, aber die Wiederverwendung von Passwörtern über verschiedenen Konten hinweg ist sehr riskant. Viele Angestellte verwenden die gleichen Passwörter für berufliche und private Konten, was nicht nur sie selbst gefährdet und Cyberkriminellen leichtes Spiel verschafft, sondern auch ihren Arbeitgeber ins Fadenkreuz der Betrüger rückt. Haben diese sich erst einmal Zugriff zu einem privaten Konto verschafft, können sie sich somit leicht Zugang zu Geschäftskonten sichern, wenn dasselbe Passwort für beide Accounts genutzt wird. Dieser „Dominoeffekt“ ist die Grundlage für das "Credential Stuffing" – eine Technik, die heute zunehmend von Hackern verwendet wird. Als Faustregel gilt also: Passwörter dürfen unter keinen Umständen wiederverwendet werden.

2) Sentimentalität beim Thema Passwörter? Fehlanzeige

Die Wiederverwendung von Passwörtern ist nicht die einzige Kardinalsünde in der IT-Security. Auch das zu lange Festhalten an und die zu unregelmäßige Änderung von Anmeldedaten stellt ein großes Problem dar – wie verbreitet dieses Phänomen ist, zeigt auch die eingangs zitierte Studie. Die gleiche Erhebung fragte die Nutzer, ob es Initiativen an ihrem Arbeitsplatz gibt, die den Cyber-Sicherheitsschutz der Mitarbeiter fördern. Hierbei gaben lediglich 12 Prozent der deutschen Befragten an, ihr Arbeitgeber verlange eine regelmäßige Zurücksetzung der Passwörter.

Diese Zahl ist eindeutig zu niedrig und Unternehmen sollten hier aufmerksamer sein. Denn, natürlich ist das Ändern von Passwörtern lästig – vor allem, wenn Mitarbeiter gleich mehrere im Auge behalten müssen, und schließlich schleicht sich die Gewohnheit ein. Mitarbeiter gewöhnen sich daran, eine bestimmte Kombination einzutippen, und es kann ziemlich irritierend sein, sich bei der Eingabe eines neuen Passworts umzugewöhnen. Außerdem: Keinen Zugriff zu erhalten, weil man sich nicht an sein Passwort erinnern kann, ist sehr ärgerlich. Dennoch lautet die Devise: Keine Sentimentalität, wenn es um Passwörter geht. Es lohnt sich immer, Kriminellen einen Schritt voraus zu sein, indem man sein Passwort mindestens alle drei Monate ändert.

3) Warum 123456 kein sicheres Passwort ist

Auch dies scheint offensichtlich, aber dennoch sollte betont werden: Fortlaufende Zahlen und auch einfach zu erratende Kennwörter wie der Name des Haustieres, der Lieblingsband oder des Lieblingsfußballteams bieten keinen ausreichenden Schutz vor Cyberkriminellen. Sichere Passwörter zeichnen sich dadurch aus, dass sie komplex sind und eher zufällig zusammengestellt wirken – nur so bieten sie eine zusätzliche Schutzebene und verhindern Datenmissbrauch. Eine weitere Faustregel lautet also: Ist das Kennwort leicht zu merken, ist es vermutlich kein besonders starkes. Mit einer ungewöhnlichen Mischung aus Groß- und Kleinbuchstaben, mit einigen zufälligen Zahlen – nicht dem Geburtstag oder Jahrestag – und Symbolen ist es meist getan.

Insgesamt sollten Nutzer und Verantwortlich in Unternehmen diesen Tag nutzen, um die täglichen Zugangspraktiken auf den Prüfstand zu stellen, insbesondere jetzt, in denen der Großteil der Belegschaft remote arbeitet. Der Schutz digitaler Identitäten wird 2021 ein Kernthema sein – neben automatisierten Lösungen aus dem Bereich Identity Security, die diese Identitäten managen und IT-Abteilungen entlasten, sollten vermeintlich offensichtliche Punkte wie Passwort-Hygiene nicht aus den Augen gelassen werden. Effektives Passwortmanagement trägt schließlich wesentlich auch zum Schutz der vielen verschiedenen Identitäten im Unternehmen bei.

Über SailPoint

SailPoint ist der führende Anbieter von Identity Security für Unternehmen in der Cloud. Wir haben es uns zur Aufgabe gemacht, die Risiken auszuräumen, die mit der Bereitstellung von Benutzerzugriffen für eine vielfältige und verteilte Belegschaft einhergehen. Unsere Lösungen für Identity Security schützen und unterstützen Tausende von Unternehmen weltweit. Sie vermitteln unseren Kunden hervorragende Übersicht über ihre gesamte digitale Belegschaft und sorgen dafür, dass jeder Mitarbeiter genau die Zugriffe hat, die er für seine Arbeit benötigt – nicht mehr und nicht weniger. Mit SailPoint als Grundlage der Unternehmenssicherheit können unsere Kunden sicheren Zugriff gewährleisten, ihre Assets bedarfsgerecht schützen und Compliance-Vorgaben erfüllen.

Pressekontakt

Kafka Kommunikation GmbH & Co. KG

Susanne Sothmann
Philipp Plum
Mona Bastian
Markus Reck

Telefon: 089 747470580
E-Mail: ssothmann@kafka-kommunikation.de
E-Mail: pplum@kafka-kommunikation.de
E-Mail: mbastian@kafka-kommunikation.de
E-Mail: mreck@kafka-kommunikation.de

Zurück