E-Mail-Konten, Online-Banking, Social Media Accounts, Website-Administration, Cloud... Nicht nur im Privatleben, sondern auch im Arbeitsalltag haben wir jede Menge Accounts, bei denen wir tagtäglich Passwörter eingeben.
Findet jemand das richtige Passwort heraus, hat er die Möglichkeit, Einkäufe oder Überweisungen in unserem Namen zu tätigen, Daten einzusehen und zu stehlen, Profile und veröffentlichte Beiträge zu ändern und viel mehr. Das kann im Unternehmensumfeld nicht nur schwerwiegende finanzielle Folgen haben, sondern auch deinen Unternehmensruf schädigen und einen Vertrauensverlust deiner Kunden bewirken. Dennoch gehen wir gern locker mit unseren Passwörtern um: Lieber einfach zu merken und schnell eingegeben als kompliziert und lang…
Wir zeigen dir, wieso sichere Passwörter in deinem Unternehmen so wichtig sind und vor allem, wie du eine solide Passwort-Strategie einführst.
Um zu wissen, wie man sichere Passwörter erstellt, muss man zunächst verstehen, welche Bedrohungen es überhaupt gibt. Denn es gibt zahlreiche Wege, über die Angreifer ein unsicheres Passwort herausfinden und sich damit Zugang zu Firmendaten und -konten verschaffen können.
Datenlecks oder Datenpannen sind Sicherheitsvorfälle, bei denen ungewollt Daten oder vertrauliche Informationen wie Passwörter, Sozialversicherungsnummern oder Kreditkarteninfos im Internet veröffentlicht werden. Grund dafür können zum Beispiel Sicherheitslücken im Netzwerk eines Unternehmens oder unachtsame Mitarbeiter sein, die Viren oder Trojanern durch das Öffnen verdächtiger Websites oder E-Mails Zugang zum Netzwerk verschaffen.
Seit Januar 2022 ist zum Beispiel ein großes Datenleck bei Twitter bekannt, und auch der Online-Händler Alibaba war 2021 durch einen Hackerangriff von einer Datenpanne betroffen.
Sobald ein Datenleck bei einem von ihren Mitarbeitern genutzten Dienst bekannt wird, sollte jeder sein Passwort ändern. Der Schaden fällt kleiner aus, wenn die Mitarbeiter für jedes Nutzerkonto ein anderes Passwort verwenden. So können Angreifer im Falle eines Datenlecks höchstens auf den einen Account zugreifen, nicht auf weitere.
Phishing ist eine der bekanntesten Formen der Cyberangriffe und ist darauf ausgelegt, menschliche Verhaltensweisen auszunutzen. In der Regel wird das Opfer in einer realistischen E-Mail oder auf einer vertrauenswürdig wirkenden Fake-Website dazu gebracht, auf einen Link zu klicken, über den Malware heruntergeladen wird oder Anmeldedaten preiszugeben.
Es gibt viele offensichtliche Phishing-Mails, wie die typische “Verfolgen Sie jetzt Ihr Paket”-Nachricht, obwohl man nichts bestellt hat. Doch es gibt auch ausgeklügeltere Phishing-Taktiken, hinter denen meist ein Hacker steckt, der sich gezielt Zugriff zu einem Unternehmensnetzwerk verschaffen will. Es ist sogar möglich, dass der Angreifer sich in einen bestehenden E-Mail-Verlauf einklinkt und sich auf die aktuelle Unterhaltung bezieht. Solche Phishing-Versuche sind besonders gefährlich, da sie wie täuschend echte Mails wirken.
Deshalb ist es unerlässlich, die Mitarbeiter durch Schulungen und Phishing-Simulationen zu simulieren, sodass sie keinen Link öffnen, ohne vorher die Absenderadresse zu überprüfen.
Brute-Force-Angriffe sind der Grund, weshalb Passwörter wie “1234” und “Hallo” nicht empfohlen werden. Denn bei einem Brute-Force-Angriff verwenden Hacker die Trial-and-Error-Methode: Mit einem entsprechenden Programm testen sie in Sekundenschnelle tausende von Zeichenkombinationen, bis sie das richtige Passwort gefunden haben.
Für eine vierstellige PIN gibt es 10.000 mögliche Kombinationen. Das wirkt wie eine große Menge, doch ein moderner Prozessor kann alle Kombinationen in einem Sekundenbruchteil prüfen.
Die empfohlene Passwortlänge liegt deshalb bei mindestens 8 Zeichen. Werden nur Groß- und Kleinbuchstaben verwendet, gibt es 52^8 oder 53.459.728.531.456 mögliche Kombinationen. Selbst diese riesige Menge kann von einem leistungsstarken Prozessor innerhalb von sieben Stunden durchgetestet werden. Hat das Passwort nur 8 Stellen, sollten deshalb möglichst komplexe Zeichenkombinationen mit Sonderzeichen, Groß- und Kleinbuchstaben und Zahlen gewählt werden.
Manchmal probieren Angreifer existierende Wörter aus dem Wörterbuch oder Wörter mit verschiedenen Zeichenkombinationen aus, da viele Nutzer bekannte Begriffe als Passwort verwenden, um es sich leichter zu merken.
Beim umgekehrten Brute Force Angriff wird nicht versucht, ein einzelnes Konto zu hacken. Stattdessen probieren Angreifer triviale Passwörter wie “12345678” oder “qwertz” auf Tausenden von Accounts aus.
Haben Angreifer durch Phishing oder ein Datenleck Passwörter erlangt, können sie diese auch für viele weitere Accounts ausprobieren. Schließlich verwenden viele Nutzer aus Bequemlichkeit überall dasselbe Passwort. Diese Methode nennt man Credential Stuffing.
Laut einem Verizon Data Breach Report von 2021 haben 23% der befragten Unternehmen bereits eine Form eines Brute-Force-Angriffs erfahren. Es handelt sich also keinesfalls um eine seltene Bedrohung - Sichere Passwörter gehören zu den wichtigsten Grundlagen deiner Cybersicherheitsstrategie.
Wenn man weiß, wie einfach Hacker an Passwörter gelangen können, ist die Wichtigkeit eines komplexen Passworts klar. Wir empfehlen, deine Mitarbeiter speziell zum Thema Passwortsicherheit zu schulen, damit jeder einzelne weiß, worauf es beim Erstellen und Speichern der Zugangsdaten ankommt.
Das sicherste Passwort nützt wenig, wenn es gut sichtbar auf einem Klebezettel am PC steht, in einer geordneten Passwortliste im Kalender oder in einer ungeschützten Datei am Computer oder Smartphone zu finden ist.
Sich viele verschiedene komplizierte Passwörter zu merken ist nahezu unmöglich. Deshalb ist es so wichtig, dass deine Mitarbeiter wissen, wie sie ihre Passwörter sicher speichern oder notieren. Dazu kann eine Schulung extrem hilfreich sein.
Wenn sich jemand ein Passwort notieren muss, hat es sich bewährt, als Erinnerungshilfe nur einen Teil des Passworts zu notieren und den Rest im Kopf zu behalten. Selbst wenn jemand die Passwortliste findet, kann er ohne den fehlenden Teil nichts damit anfangen.
Ob im Browser, im E-Mailprogramm oder auf irgendwelchen Plattformen: “An mich erinnern” und “Passwort speichern” kann man fast überall anklicken. Schon muss man auf dem Gerät nicht mehr den komplizierten Code eingeben und kann sich in Sekundenschnelle einloggen. Doch deine Mitarbeiter sollten ihre Passwörter nur auf dem Gerät speichern, wenn diese verschlüsselt aufgezeichnet werden und nur durch ein Masterpasswort oder einen Passkey (wie den Fingerabdruck beim iPhone) entschlüsselt werden können. Ansonsten kann jeder, der Zugang zum Gerät hat, auf sämtliche Profile zugreifen.
Eine sichere Methode, um viele komplizierte Passwörter zu speichern, sind Passwortmanager. Es gibt einige zuverlässige und sichere Anbieter, die die Passwörter verschlüsselt hinterlegen und sie bei Eingabe eines Masterpassworts oder mithilfe eines Passkeys (z.B. Fingerabdruck) automatisch ausfüllen.
Viele Betriebssysteme verfügen über eigene Passwortmanagementlösungen. Wir beraten dich gern zu den sichersten Möglichkeiten, mit denen deine Mitarbeiter ihre Passwörter speichern und verwalten können.
Fast jeder hat schonmal ganz bequem die Nachricht
Benutzername: Firma3000
Passwort: 12345
erhalten oder verschickt. Das stellt ein großes Sicherheitsrisiko dar, sollte ein Unbefugter Zugang zu dem E-Mail- oder SMS-Verlauf bekommen. Verschlüsselte Kommunikationskanäle sind deshalb extrem wichtig. Noch sicherer ist natürlich die mündliche Übermittlung sensibler Anmeldedaten.
Wenn es anders nicht geht, kann dem Mitarbeiter ein vorläufiges Passwort ausgestellt und per E-Mail geschickt werden, das dieser dann umgehend ändert, sobald er sich angemeldet hat.
Ein sicheres Passwort ist nicht die einzige Möglichkeit, Konten, Profile und Daten zu schützen. Gerade besonders sensible Zugänge wie zum Beispiel zum Online-Banking sollten sogar über das Passwort hinaus geschützt werden. Diese Möglichkeiten gibt es:
Zwei-Faktor-Authentifizierung ist mittlerweile der Standard für sichere Log-ins. Cloud-Anbieter, Banken und Zahlungsdienstleister sowie zahlreiche Plattformen verwenden die Methode längst. Dabei muss zusätzlich zum Passwort ein einmaliger Code, der an ein anderes Gerät, E-Mail-Konto oder eine Telefonnummer gesendet wird, eingegeben werden. So können Angreifer selbst dann nicht auf das Profil zugreifen, wenn sie das Passwort kennen.
Passkeys sind eine Alternative zum Passwort, die nicht gehackt werden kann. Beispiele für häufig verwendete Passkeys sind zum Beispiel Gesichtserkennung oder Fingerabdruck. Ein Hacker kann ein Passwort knacken, den Fingerabdruck bekommt er aber deutlich schwieriger.
Wenn Passwörter unverschlüsselt auf dem Gerät gespeichert sind, braucht nur jemand das entsperrte Gerät in die Finger zu bekommen, um Zugang zu allen Profilen und Daten zu haben. Um das zu verhindern, sollten an allen Firmen-PCs, -Notebooks und -Smartphones automatische Bildschirmsperren eingerichtet sein.
Alte Accounts sind besonders anfällig für Hackerangriffe. Die Passwörter entsprechen meist nicht den aktuellen Sicherheitsstandards, sodass sie höhere Gefahr laufen, entschlüsselt zu werden. Die Folge sind Spam, Phishing und Identitätsmissbrauch, der dem Ruf der Mitarbeiter oder der Firma schaden kann. Viele Anbieter löschen ungenutzte Accounts deshalb ohnehin nach einer festgelegten Zeit. Zu Sicherheit solltest du das aber auch selbst tun.