Inhaltsverzeichnis
  1. Was macht ein sicheres Passwort aus?
  2. Das Wichtigste in Kürze
  3. Wie werden Passwörter kompromittiert?
  4. So erstellst du sichere Passwörter
  5. So bleiben Passwörter geheim
  6. Zusätzlicher Schutz zum sicheren Passwort

Was macht ein sicheres Passwort aus?

E-Mail-Konten, Online-Banking, Social Media Accounts, Website-Administration, Cloud... Nicht nur im Privatleben, sondern auch im Arbeitsalltag haben wir jede Menge Accounts, bei denen wir tagtäglich Passwörter eingeben.

Findet jemand das richtige Passwort heraus, hat er die Möglichkeit, Einkäufe oder Überweisungen in unserem Namen zu tätigen, Daten einzusehen und zu stehlen, Profile und veröffentlichte Beiträge zu ändern und viel mehr. Das kann im Unternehmensumfeld nicht nur schwerwiegende finanzielle Folgen haben, sondern auch deinen Unternehmensruf schädigen und einen Vertrauensverlust deiner Kunden bewirken. Dennoch gehen wir gern locker mit unseren Passwörtern um: Lieber einfach zu merken und schnell eingegeben als kompliziert und lang…

Wir zeigen dir, wieso sichere Passwörter in deinem Unternehmen so wichtig sind und vor allem, wie du eine solide Passwort-Strategie einführst.

Das Wichtigste in Kürze

  • Je länger das Passwort, desto sicherer: Mindestens 8 Stellen aus vier Zeichenarten (große und kleine Buchstaben, Zahlen, Sonderzeichen) oder 20-25 Stellen aus mindestens zwei Zeichenarten.
  • Jedes Nutzerkonto braucht ein einzigartiges Passwort.
  • Willkürliche Zeichenfolgen sind am sichersten. Klare Zahlenfolgen (1234…), Buchstabenfolgen (abcd…), Tastenfolgen (qwertz…), Wörter aus dem Wörterbuch und Wörter oder Zahlenfolgen, die mit dir zu tun haben (Geburtsdatum, Name) werden schnell geknackt.
  • Je sensibler der Zugang, desto wichtiger ist ein starkes Passwort und am besten auch eine zusätzliche Sicherheitsebene durch Zwei-Faktor-Authentifizierung.
  • Passwörter sollten, wenn überhaupt, nur verschlüsselt mit einem sicheren Passwortmanager gespeichert werden, nicht wahllos auf Geräten und Zetteln.

Wie werden Passwörter kompromittiert?

Um zu wissen, wie man sichere Passwörter erstellt, muss man zunächst verstehen, welche Bedrohungen es überhaupt gibt. Denn es gibt zahlreiche Wege, über die Angreifer ein unsicheres Passwort herausfinden und sich damit Zugang zu Firmendaten und -konten verschaffen können.

Datenlecks

Datenlecks oder Datenpannen sind Sicherheitsvorfälle, bei denen ungewollt Daten oder vertrauliche Informationen wie Passwörter, Sozialversicherungsnummern oder Kreditkarteninfos im Internet veröffentlicht werden. Grund dafür können zum Beispiel Sicherheitslücken im Netzwerk eines Unternehmens oder unachtsame Mitarbeiter sein, die Viren oder Trojanern durch das Öffnen verdächtiger Websites oder E-Mails Zugang zum Netzwerk verschaffen.

Seit Januar 2022 ist zum Beispiel ein großes Datenleck bei Twitter bekannt, und auch der Online-Händler Alibaba war 2021 durch einen Hackerangriff von einer Datenpanne betroffen.

Sobald ein Datenleck bei einem von ihren Mitarbeitern genutzten Dienst bekannt wird, sollte jeder sein Passwort ändern. Der Schaden fällt kleiner aus, wenn die Mitarbeiter für jedes Nutzerkonto ein anderes Passwort verwenden. So können Angreifer im Falle eines Datenlecks höchstens auf den einen Account zugreifen, nicht auf weitere.

Phishing

Phishing ist eine der bekanntesten Formen der Cyberangriffe und ist darauf ausgelegt, menschliche Verhaltensweisen auszunutzen. In der Regel wird das Opfer in einer realistischen E-Mail oder auf einer vertrauenswürdig wirkenden Fake-Website dazu gebracht, auf einen Link zu klicken, über den Malware heruntergeladen wird oder Anmeldedaten preiszugeben.

Es gibt viele offensichtliche Phishing-Mails, wie die typische “Verfolgen Sie jetzt Ihr Paket”-Nachricht, obwohl man nichts bestellt hat. Doch es gibt auch ausgeklügeltere Phishing-Taktiken, hinter denen meist ein Hacker steckt, der sich gezielt Zugriff zu einem Unternehmensnetzwerk verschaffen will. Es ist sogar möglich, dass der Angreifer sich in einen bestehenden E-Mail-Verlauf einklinkt und sich auf die aktuelle Unterhaltung bezieht. Solche Phishing-Versuche sind besonders gefährlich, da sie wie täuschend echte Mails wirken.

Deshalb ist es unerlässlich, die Mitarbeiter durch Schulungen und Phishing-Simulationen zu simulieren, sodass sie keinen Link öffnen, ohne vorher die Absenderadresse zu überprüfen.

Brute-Force-Angriff

Brute-Force-Angriffe sind der Grund, weshalb Passwörter wie “1234” und “Hallo” nicht empfohlen werden. Denn bei einem Brute-Force-Angriff verwenden Hacker die Trial-and-Error-Methode: Mit einem entsprechenden Programm testen sie in Sekundenschnelle tausende von Zeichenkombinationen, bis sie das richtige Passwort gefunden haben.

Für eine vierstellige PIN gibt es 10.000 mögliche Kombinationen. Das wirkt wie eine große Menge, doch ein moderner Prozessor kann alle Kombinationen in einem Sekundenbruchteil prüfen.

Die empfohlene Passwortlänge liegt deshalb bei mindestens 8 Zeichen. Werden nur Groß- und Kleinbuchstaben verwendet, gibt es 52^8 oder 53.459.728.531.456 mögliche Kombinationen. Selbst diese riesige Menge kann von einem leistungsstarken Prozessor innerhalb von sieben Stunden durchgetestet werden. Hat das Passwort nur 8 Stellen, sollten deshalb möglichst komplexe Zeichenkombinationen mit Sonderzeichen, Groß- und Kleinbuchstaben und Zahlen gewählt werden.

Wörterbuchangriff

Manchmal probieren Angreifer existierende Wörter aus dem Wörterbuch oder Wörter mit verschiedenen Zeichenkombinationen aus, da viele Nutzer bekannte Begriffe als Passwort verwenden, um es sich leichter zu merken.

Umgekehrter Brute-Force-Angriff

Beim umgekehrten Brute Force Angriff wird nicht versucht, ein einzelnes Konto zu hacken. Stattdessen probieren Angreifer triviale Passwörter wie “12345678” oder “qwertz” auf Tausenden von Accounts aus.

Credential Stuffing

Haben Angreifer durch Phishing oder ein Datenleck Passwörter erlangt, können sie diese auch für viele weitere Accounts ausprobieren. Schließlich verwenden viele Nutzer aus Bequemlichkeit überall dasselbe Passwort. Diese Methode nennt man Credential Stuffing.

Laut einem Verizon Data Breach Report von 2021 haben 23% der befragten Unternehmen bereits eine Form eines Brute-Force-Angriffs erfahren. Es handelt sich also keinesfalls um eine seltene Bedrohung - Sichere Passwörter gehören zu den wichtigsten Grundlagen deiner Cybersicherheitsstrategie.

So erstellst du sichere Passwörter

Wenn man weiß, wie einfach Hacker an Passwörter gelangen können, ist die Wichtigkeit eines komplexen Passworts klar. Wir empfehlen, deine Mitarbeiter speziell zum Thema Passwortsicherheit zu schulen, damit jeder einzelne weiß, worauf es beim Erstellen und Speichern der Zugangsdaten ankommt.

Sicheres Passwort: Do’s

  • Je länger das Passwort ist, desto sicherer ist es. 8 Zeichen sind mindestens empfohlen, dann sollte das Passwort aber komplex sein und aus verschiedenen Klein- und Großbuchstaben, Zahlen und Sonderzeichen bestehen. Ist das Passwort zwischen 20 und 25 Zeichen lang, genügen zwei Zeichenarten - Mehr sind natürlich sicherer.
  • Unterschiedliche Passwörter für unterschiedliche Portale. Findet ein Hacker ein Passwort heraus, kann er so zumindest nicht noch auf weitere Konten zugreifen.
  • Regelmäßiges Ändern der Passwörter. Ursprünglich wurde vom BSI empfohlen, Passwörter regelmäßig zu ändern. Da es aber schwierig ist, sich die neuen komplizierten Passwörter immer wieder zu merken, haben viele Nutzer durch diese Vorschrift auf einfachere Passwörter zurückgegriffen, was die Sicherheit eher geschwächt hat. Aus diesem Grund wird die regelmäßige Änderung vom BSI nicht mehr empfohlen, ist aber weiterhin eine zuverlässige Sicherheitsmaßnahme, wenn die Mitarbeiter jedes Mal ein sicheres, langes und komplexes Passwort wählen.

Sicheres Passwort: Don’ts

  • Wörter, die im Wörterbuch zu finden sind.
  • Wörter- oder Zahlenkombinationen, die mit dir in Zusammenhang stehen (Namen, Geburtsdaten, Telefonnummern).
  • einfache Zahlenfolgen (12345…), einfache Buchstabenfolgen (abcdefg…) oder eine Reihe benachbarter Tastaturtasten (qwertz…).

So bleiben Passwörter geheim

Das sicherste Passwort nützt wenig, wenn es gut sichtbar auf einem Klebezettel am PC steht, in einer geordneten Passwortliste im Kalender oder in einer ungeschützten Datei am Computer oder Smartphone zu finden ist.

Sich viele verschiedene komplizierte Passwörter zu merken ist nahezu unmöglich. Deshalb ist es so wichtig, dass deine Mitarbeiter wissen, wie sie ihre Passwörter sicher speichern oder notieren. Dazu kann eine Schulung extrem hilfreich sein.

Nur einen Teil des Passworts notieren

Wenn sich jemand ein Passwort notieren muss, hat es sich bewährt, als Erinnerungshilfe nur einen Teil des Passworts zu notieren und den Rest im Kopf zu behalten. Selbst wenn jemand die Passwortliste findet, kann er ohne den fehlenden Teil nichts damit anfangen.

Nicht alle Passwörter auf dem Gerät speichern

Ob im Browser, im E-Mailprogramm oder auf irgendwelchen Plattformen: “An mich erinnern” und “Passwort speichern” kann man fast überall anklicken. Schon muss man auf dem Gerät nicht mehr den komplizierten Code eingeben und kann sich in Sekundenschnelle einloggen. Doch deine Mitarbeiter sollten ihre Passwörter nur auf dem Gerät speichern, wenn diese verschlüsselt aufgezeichnet werden und nur durch ein Masterpasswort oder einen Passkey (wie den Fingerabdruck beim iPhone) entschlüsselt werden können. Ansonsten kann jeder, der Zugang zum Gerät hat, auf sämtliche Profile zugreifen.

Sicherer Passwortmanager

Eine sichere Methode, um viele komplizierte Passwörter zu speichern, sind Passwortmanager. Es gibt einige zuverlässige und sichere Anbieter, die die Passwörter verschlüsselt hinterlegen und sie bei Eingabe eines Masterpassworts oder mithilfe eines Passkeys (z.B. Fingerabdruck) automatisch ausfüllen.

Viele Betriebssysteme verfügen über eigene Passwortmanagementlösungen. Wir beraten dich gern zu den sichersten Möglichkeiten, mit denen deine Mitarbeiter ihre Passwörter speichern und verwalten können.

Passwörter nicht per E-Mail oder SMS verschicken

Fast jeder hat schonmal ganz bequem die Nachricht
Benutzername: Firma3000
Passwort: 12345

erhalten oder verschickt. Das stellt ein großes Sicherheitsrisiko dar, sollte ein Unbefugter Zugang zu dem E-Mail- oder SMS-Verlauf bekommen. Verschlüsselte Kommunikationskanäle sind deshalb extrem wichtig. Noch sicherer ist natürlich die mündliche Übermittlung sensibler Anmeldedaten.

Wenn es anders nicht geht, kann dem Mitarbeiter ein vorläufiges Passwort ausgestellt und per E-Mail geschickt werden, das dieser dann umgehend ändert, sobald er sich angemeldet hat.

Zusätzlicher Schutz zum sicheren Passwort

Ein sicheres Passwort ist nicht die einzige Möglichkeit, Konten, Profile und Daten zu schützen. Gerade besonders sensible Zugänge wie zum Beispiel zum Online-Banking sollten sogar über das Passwort hinaus geschützt werden. Diese Möglichkeiten gibt es:

Zwei-Faktor-Authentifizierung

Zwei-Faktor-Authentifizierung ist mittlerweile der Standard für sichere Log-ins. Cloud-Anbieter, Banken und Zahlungsdienstleister sowie zahlreiche Plattformen verwenden die Methode längst. Dabei muss zusätzlich zum Passwort ein einmaliger Code, der an ein anderes Gerät, E-Mail-Konto oder eine Telefonnummer gesendet wird, eingegeben werden. So können Angreifer selbst dann nicht auf das Profil zugreifen, wenn sie das Passwort kennen.

Passkeys

Passkeys sind eine Alternative zum Passwort, die nicht gehackt werden kann. Beispiele für häufig verwendete Passkeys sind zum Beispiel Gesichtserkennung oder Fingerabdruck. Ein Hacker kann ein Passwort knacken, den Fingerabdruck bekommt er aber deutlich schwieriger.

Automatische Bildschirmsperre

Wenn Passwörter unverschlüsselt auf dem Gerät gespeichert sind, braucht nur jemand das entsperrte Gerät in die Finger zu bekommen, um Zugang zu allen Profilen und Daten zu haben. Um das zu verhindern, sollten an allen Firmen-PCs, -Notebooks und -Smartphones automatische Bildschirmsperren eingerichtet sein.

Ungenutzte Accounts löschen

Alte Accounts sind besonders anfällig für Hackerangriffe. Die Passwörter entsprechen meist nicht den aktuellen Sicherheitsstandards, sodass sie höhere Gefahr laufen, entschlüsselt zu werden. Die Folge sind Spam, Phishing und Identitätsmissbrauch, der dem Ruf der Mitarbeiter oder der Firma schaden kann. Viele Anbieter löschen ungenutzte Accounts deshalb ohnehin nach einer festgelegten Zeit. Zu Sicherheit solltest du das aber auch selbst tun.