Immer mehr Unternehmen bieten die Möglichkeit, im Homeoffice zu arbeiten und immer mehr Menschen nehmen ihren Arbeitsplatz mit nach Hause. Für viele Mitarbeiter ist das eine neue und spannende Form der Arbeit inklusive eines veränderten Gefühls für Work-Life-Balance. Allerdings wandern damit auch die Risiken, die bereits in einer Büroumgebung bestanden, mit nach Hause und verstärken sich dort vielleicht zusätzlich.
Wer beispielsweise mit seinen Zugangsdaten und Passwörtern im Büro auf eine Zettelwirtschaft setzt, wird dies vermutlich auch im Homeoffice tun – wobei zuhause vermutlich noch mehr Unbefugte einen freien Blick auf die Zugangsdaten und Passwörter haben. Dies ist nur eins von vielen Beispielen, weshalb das Thema Sicherheit für Zugangsdaten in Unternehmen neu gedacht werden sollte und weshalb die besten Methoden der Passworthygiene ratsam sind.
Denn Mitarbeiter, die sich nicht mit Passworthygiene auskennen oder diese zugunsten der Bequemlichkeit ignorieren, können ein ernsthaftes Risiko für sich selbst und ihr Unternehmen darstellen. Laut dem Verizon Data Breach Investigations Report aus dem Jahr 2022 ist bei 82 Prozent der Datenschutzverletzungen ein menschliches Element beteiligt. Menschen spielen bei Datenschutzverletzungen und anderen Sicherheitsvorfällen eine große Rolle, etwa wenn sie Opfer von gestohlenen Zugangsdaten, Phishing, Missbrauch oder einfach menschlichem Versagen werden.
Was ist Passworthygiene?
Bei der Passworthygiene geht es um die Einhaltung von Praktiken für sichere Passwörter und dafür braucht es sinnvolle Regeln und Tools. Denn was für den einen bereits gut und sicher erscheint, ist für den anderen noch gefährliche Schlamperei. Es geht darum, Cyberangriffe, Vireninfektionen, Social Engineering, Kontoübernahmen und vieles mehr effektiv zu verhindern.
Angreifer erraten nicht nur die Passwörter der Benutzer, sondern verwenden auch immer raffiniertere Methoden, um sensible Daten zu stehlen. Zu den Methoden gehören beispielsweise Brute Force, Social Engineering, Malware und vieles mehr. Passworthygiene ist also die erste und damit wichtigste Sicherheitsstufe, die Angreifer davon abhält, an Passwörter zu gelangen. Passwortmanager wie von Keeper helfen bei der Einhaltung einer guten Passworthygiene. Von der Passwortverwaltung bis hin zur Überwachung des Dark Web bietet Keeper eine Suite von Cybersecurity-Funktionen, um die Sicherheitslage von einzelnen Mitarbeitern sowie von ganten Teams zu stärken.
Fünf Empfehlungen für eine gute Passworthygiene
Mit nur wenigen Schritten und dem Einsatz geeigneter Tools, lassen sich die Risiken mit Zugangsdaten und Passwörtern zu einem großen Teil reduzieren. Mit diesen fünf Tipps verbesserten Unternehmen die Sicherheit maßgeblich:
1. Umsetzen einer Zero-Trust-Kultur
Zero-Trust geht davon aus, dass jeder Benutzer oder jedes Gerät gefährdet sein könnte. Jede Person und jedes Gerät müssen überprüft werden, bevor der Zugang zu einem Netzwerk gewährt wird. Unternehmen können mit einem Zero-Trust-Sicherheitsmodell verhindern, dass Cyberangreifer Zugang zum Netzwerk erhalten.
Eine Zero-Trust-Architektur verhindert zudem die gefährliche seitliche Bewegung der Cyberkriminellen durch eine wirksame Netzwerksegmentierung. Selbst wenn ein Cyberangreifer sich über einen nicht autorisierten Zugangspunkt Zugang verschaffen würde, würde die kontinuierliche Überprüfung, die das Zero-Trust-Modell erfordert, den Angreifer daran hindern, sich seitlich durch das Netzwerk zu bewegen.
2. Gute Cyber-Hygiene-Praktiken etablieren
Richtlinien, um die Sicherheitsregeln und -praktiken am Arbeitsplatz zu standardisieren, sind wichtig. Jeder Mitarbeiter sollte daher mit aktueller Software und Tools wie z. B. einem Passwortmanager ausgestattet sein. Passwortmanager bieten diverse Vorteile, die bei der Passwort-Hygiene helfen. Dazu gehört die Passwortgenerierung – eine Funktion, die automatisch sichere Passwörter erstellt. Ebenso wichtig ist die Multi-Faktor-Authentifizierung (MFA) – eine Authentifizierungsmethode, bei der Benutzer mindestens zwei Arten der Identifizierung vorweisen müssen, bevor sie Zugang zum Konto erhalten. Bequem macht es ein sicheres Autofill – eine Funktion, die automatisch und vor allem sicher die Anmeldedaten eines Benutzers auf Websites und in Apps eingibt.
Allerdings sollten den Mitarbeitern neben technischen Hilfen auch einige Regeln bekannt sein, um das Risiko nicht versehentlich zu erhöhen: Dazu gehört, Passwörter nicht wiederzuverwenden. Das mehrmalige Verwenden von Passwörtern macht es Cyberangreifern leicht, mit nur einem Satz von Anmeldedaten auf mehrere Konten zuzugreifen. Des Weiteren gehören keine persönlichen Informationen in Passwörter. Passwörter dürfen in keinem Zusammenhang mit dem Nutzer, dem Team oder der Organisation stehen. Cyberangreifer erraten Passwörter oft anhand persönlicher Informationen wie Namen, Geburtstage und anderer bekannter Daten. Die sichersten Passwörter enthalten zufällige Zeichenfolgen aus Groß- und Kleinbuchstaben, Ziffern und Symbolen.
3. Verwenden eines Remote Desktop Managers
Wenn die Arbeit mit nach Hause genommen wird, kann es schnell unübersichtlich werden, wenn die Grenzen zwischen dem Privatleben und dem Arbeitsleben nicht von Anfang richtig festgelegt werden. Mit einem Remote-Desktop-Manager können Mitarbeiter von jedem beliebigen Ort aus auf ihre Arbeitsdesktops zugreifen. Eine agentenlose Option wie Keeper Connection Manager bietet eine Sitzungsaufzeichnung, die gemeinsame Nutzung von Mehrbenutzersitzungen, die Verwaltung von privilegierten Sitzungen und vieles mehr.
4. Multi-Faktor-Authentifizierung (MFA)
Die Multi-Faktor-Authentifizierung (MFA) kann laut Microsoft 99,9 Prozent der passwortbezogenen Cyberangriffe auf Konten verhindern. Mitarbeiter sollten also MFA für alle Konten aktivieren, die es unterstützen. Nach der Anmeldung bei einem Konto verlangt MFA von den Benutzern die Angabe eines zusätzlichen Authentifizierungsfaktors. Der Vorteil: wenn Bedrohungsakteure über funktionierende Anmeldedaten verfügen, können sie diese ohne diesen zusätzlichen Authentifizierungsfaktor nicht verwenden.
5. Schulung zur Verhinderung von Phishing-Betrug
Mitarbeiter sind die erste Verteidigungslinie, um das Unternehmen zu schützen. Es ist also sinnvoll, das Team zu schulen, um zu verhindern, dass sie von Cyberangreifern getäuscht werden. Social-Engineering-Angriffe nehmen weiter zu. Laut dem Bericht Phishing Activity Trends der Anti-Phishing Working Group gab es beispielsweise im März 2022 mit 1.025.968 Phishing-Angriffen einen Anstieg um 15 Prozent gegenüber dem vierten Quartal 2021.
Es lohnt sich also auf Anzeichen von Phishing-Attacken, wie etwa Tippfehler, verdächtige E-Mail-Adressen, ungewöhnliche Anfragen oder eine seltsame Dringlichkeit, zu achten.