IT-Sicherheit im Stresstest: Passwortsicherheit
Im Dezember 2017 hat das Hasso-Plattner-Institut die in Deutschland am häufigsten verwendeten Passwörter veröffentlicht. Spitzenreiter ist „123456“, gefolgt von „123456789“, „1234“ und „12345“. Auch „hallo“, „passwort“, „111111“ und „hallo123“ befinden sich unter den Top 10. Überraschend? Nein, nicht wirklich. Denn solchermaßen schlechte Passwörter sind seit Jahrzehnten die Achillesferse der IT-Sicherheit: Schon ein einziges von ihnen kann alle Ihre Anstrengungen zur Absicherung Ihrer Unternehmens-IT zunichte machen – und das in weniger als 4 Sekunden!
IT-Sicherheit ist immer eine Zeitfrage
IT-Systeme sind immer angreifbar. Es kommt in erster Linie darauf an, die Hürde für eine erfolgreiche Attacke so hoch zu setzen, dass sich der Aufwand für den Angreifer nicht lohnt. Eine erste Verteidigungslinie für Ihre IT-Sicherheit stellen starke Passwörter dar. Das Unternehmen RSA Labs hat jedoch in einem IT-Sicherheitsversuch gezeigt, dass letztlich kein Passwort vor einem Brute-Force-Angriff sicher ist. Allerdings bestimmt die Passwortlänge entscheidend, wann sich die Tür öffnet. Das Unternehmen hatte einen Wettbewerb ausgeschrieben, bei dem nach einem bestimmten Schlüssel gesucht werden muss, um eine "geheime" Nachricht lesen zu können. Insgesamt gab es hierfür 4.722.366.482.869.645.213.696 mögliche Kombinationen. Rein rechnerisch schafften die besten seinerzeit verfügbaren PCs bei einem Passwort aus sieben Kleinbuchstaben diese Aufgabe in unter 4 Sekunden. Nimmt man einen weiteren Buchstaben hinzu, verlängerte sich diese Zeit bereits um das 26-fache. Und bei einem Passwort aus 13 Groß- und Kleinbuchstaben sowie Ziffern kann es (ebenfalls rein rechnerisch) bis zu 3.000 Jahre dauern, bevor Sie sich ernsthaft Sorgen um Ihre IT-Sicherheit machen müssen.
Komplexe Passwörter schützen
Zugegeben, diese Rechnung ist alles andere als akkurat, denn ein Angriff könnte schon beim ersten Versuch durch Zufall das richtige Passwort „erraten“. Auch ist die Rechenpower heutiger Bot-Netze um ein Vielfaches höher als der angenommene PC vor ein paar Jahren. Doch das Prinzip bleibt gleich – die Komplexität eines Passworts ist ein wichtiger Hebel für eine nachhaltige IT-Sicherheit. An mangelndem Verständnis der IT- und IT-Sicherheitsteams liegt es jedoch nicht, dass es um die Passwortsicherheit in Unternehmen bis heute nicht zum Besten steht. Viele von ihnen pflegen umfangreiche Policies zur IT-Sicherheit, kümmern sich firmenweit um die Verwaltung von Zugriffsrechten und ihrer Endgeräte. Allerdings sind diese Aufgaben in den letzten Jahren nicht eben kleiner geworden. Neben gemanagten Systemen müssen Sie sich mit einer wachsenden Zahl von ungemanagten Geräten Ihrer Nutzer beschäftigen. IT-Sicherheit im Stresstest!
IT-Sicherheit vs. Cloud-Services
Gleiches gilt auch für Cloud-Anwendungen – viele Fachabteilungen greifen eigenständig auf Cloud-Dienste zurück, ohne die Spezialisten für die IT-Sicherheit darüber zu informieren. Das Marktforschungsunternehmen Ovum hat jüngst dazu eine Studie veröffentlicht: 73 Prozent der europäischen IT-Führungskräfte keine Kontrolle über alle Cloud-basierten Anwendungen haben, die von ihren Mitarbeitern genutzt werden. Und mehr als die Hälfte der befragten IT-Führungskräfte verlässt sich darauf, dass die Mitarbeiter ihr eigenes Passwortverhalten eigenständig überwachen. Die Verwaltung von Cloud-Passwörtern geschieht zudem in 40 Prozent aller Unternehmen noch über manuell gepflegte Listen.
Passwortsicherheit und Compliance
Dass sich Ihre Teams für die IT-Sicherheit heute verstärkt um die Passwortverwaltung kümmern sollten, hat mittlerweile auch rechtliche Gründe: Spätestens indem der Gesetzgeber den Schutz persönlicher Daten im Rahmen der DSGVO in den Fokus der IT-Sicherheit gehoben hat, ist ein Blick auf die Passwortsicherheit angebracht. Trotz aller Unsicherheit über die konkrete Auslegung der DSVGO: Sie sollten einen formalen Passwort-Prozess entwickeln, so dass Anmeldeinformationen organisationsübergreifend stark sind. Zudem sollten Sie ein System installieren, das Passwörter regelmäßig überprüft.
Hier noch ein paar Passworttipps für Ihre IT-Sicherheit:
- Setzen Sie bei der Wahl Ihres Passworts auf Kreativität – egal, ob sie die jeweils ersten Buchstaben der Wörter eines Satzes verwenden oder einzelne Satzteile mit Sonderzeichen ergänzen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) rät. Auch die Studie des Hasso-Plattner-Instituts gibt Tipps zur Festlegung eines neuen Passworts: Es sollte mehr als 15 Zeichen haben, je länger desto besser. Außerdem sollte es alle Zeichenklassen – also Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen – beinhalten und nicht im Wörterbuch stehen.
- Vermeiden Sie es, eine Ziffer als letztes Zeichen eines Passworts zu setzen. Eine Ziffer am Ende bringt Ihnen kein Plus in punkto IT-Sicherheit.
- Für verschiedene Dienste sollten stets individuelle Passwörter verwendet werden, vor der Verwendung gleicher oder ähnlicher Passwörter bei verschiedenen Diensten wird gewarnt. Denn: Kommen Cyberkriminelle in den Besitz dieses Passworts, können sie relativ einfach Zugang zu anderen Anwendungen erhalten. Daher müssen Nutzer insbesondere für private und berufliche Dienste sehr unterschiedliche Passwörter einsetzen.
- Viele Mitarbeiter registrieren sich für Websites wie LinkedIn und Dropbox mit E-Mail-Adressen ihres Unternehmens. Ihre IT-Sicherheitsteams verlieren dadurch allerdings die Kontrolle über die Passwort-Governance auf diesen Seiten und ein Angreifer bekommt damit frei Haus den Link zwischen Anmeldung und Ihrem Unternehmensnetzwerk.
- Zum Sichern kritischer Daten ist die Verwendung von Passwortmanagern hilfreich. Wo immer möglich, sollte zudem eine Zwei-Faktor-Authentifizierung genutzt werden, also neben Kennwort und Passwort noch eine weitere Identifizierungsfunktion wie Fingerabdruck, Chipkarte oder Gesichtserkennung. Dann haben es Cyberkriminelle zumindest nicht mehr ganz so leicht wie bisher.
Denke Sie auch an die Schulung Ihrer Mitarbeiter. Behalten Sie die folgenden drei Schritte im Auge, wenn Sie ihnen ein umsichtiges Passwortmanagement näherbringen wollen:
- Erinnern Sie Ihre Mitarbeiter an die Passwortsicherheit
Menschen vergessen selbst wichtige Dinge. Daher sollten Sie Ihren Mitarbeitern regelmäßig Tipps, Tricks und Best Practices zur Passwortsicherheit geben. Nutzen Sie aktuelle Sicherheitsvorfälle, um eine „Sonderausgabe“ Ihrer Schulungen zu initiieren. Achten Sie darauf, Links zu Ressourcen aus glaubwürdigen Quellen außerhalb Ihres Teams und Unternehmens einzufügen.
- Belohnen Sie gute IT-Sicherheitsansätze
Positive Anreize wirken bei der Ausbildung meist besser als negative. Belohnen Sie daher Mitarbeiter, die gut Passwörter einsetzen oder bei Prüfungen besonders gut abgeschnitten haben. Dies kann auch in Form echter Gewinnspiele mit Preisen erfolgen. Nutzen Sie dazu kurze Quizfragen, Tests zur IT-Sicherheit, die Teilnahme an Umfragen oder die Erkennung schlechter Passwörter.
- Unterstützen Sie Ihre Mitarbeiter
Überzeugen Sie Ihre Kollegen, dass sie in Sachen IT-Sicherheit alle in einem Boot sitzen. So sollten sie sich auch gegenseitig helfen und unterstützen, damit neue oder weniger IT-affine Mitarbeiter nicht auf die Attacken von Cyber-Kriminellen hereinfallen. Dabei müssen vom Geschäftsführer bis zum Praktikanten alle eingeschlossen werden. Denn ein Vorfall kann ausreichen, um das gesamte Unternehmen zu beeinträchtigen, wie das aktuelle Beispiel Equifax zeigt.
Ivanti hilft Ihnen dabei, dass Ihre Mitarbeiter keine einfachen, häufig genutzten Passwörter nutzen. Die Lösungen von Ivanti unterstützen die Kontrolle von Anwendungen, Geräten und Zugriffsrechten, während sie den Zugang zu den benötigten Daten und Anwendungen sicherstellen. Zudem bieten Sie Schutz vor Malware erleichtern die Wiederherstellung von Dateien und erweitern das Geräte-Management.