Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gab 2020 die Empfehlung heraus, dass Unternehmen ihre Mitarbeiter nicht mehr dazu anhalten sollten, ihre Passwörter regelmäßig (zumindest nach 90 Tagen) zu wechseln. Die dahinterstehende Absicht: Privat- und Firmen-User sehen sich einer stetig zunehmenden Anzahl von Logins gegenüber, bei denen sie parallel angemeldet sind.
Der daraus resultierende Passwort-Stress (“Password Fatigue”) führt zur Erstellung von simplen Zugangs-Codes, die nicht mehr den aktuellen Sicherheitsrichtlinien entsprechen. Dies soll verhindert werden. Aber was ist von diesem Ansatz tatsächlich zu halten?
Am 01. Februar 2021 ist es wieder soweit – der „Ändere-dein-Passwort-Tag“ steht vor der Türe – heutzutage begleitet von einem Aufschrei, diesen doch bitte abzuschaffen, da er nichts bringe. Eignet sich in diesem Zusammenhang die Initiative des BSI, den Einsatz vergleichbar simpler Passwort-Schöpfungen wie „123456“ zukünftig auf breiter Front zu verhindern? Unserer Erfahrung nach nicht – ganz im Gegenteil. Das BSI rät zwar dazu, dass die zu verwendenden Passwörter mindestens 8 Zeichen lang sein sollten – je kürzer, desto komplexer. Wenn die Einhaltung dieser Vorgabe aber nicht überwacht werden kann, greift dieser Tipp komplett ins Leere. Der Passwort-Stress, dem sich die Mitarbeiter in den Unternehmen ausgesetzt fühlen, nimmt durch den Wegfall der Forderung nach regelmäßiger Erneuerung zwar gefühlt ein wenig ab, die eigentliche Ursache wird aber nicht bekämpft.
Die Mitarbeiter in puncto Passwort nicht alleine lassen
Nicht wenige Verantwortungsträger im Bereich IT-Sicherheit sind der Meinung, dass die Erstellung, Verteilung und Überprüfung restriktiver Vorgaben bereits ausreicht, um die Mitarbeiter bei der Erstellung sicherer Passwörter umfassend zu unterstützen. Tatsächlich erleichtern sehr konkrete Vorgaben sogar die “Arbeit” von Hackern, da diese bestimmte Kombinationen dann schon von vornherein ausschließen können. Weiterhin sorgt selbst bei eher weniger komplexen Zeichenfolgen eine regelmäßige Änderung dafür, dass nach einer unentdeckten Kompromittierung nicht auf unabsehbare Zeit “die Tür weit offen steht”. Nach wie vor stellt der “menschliche Faktor” also das Hauptrisiko im Bereich der Cybersicherheit dar. Unserer Erfahrung nach lässt sich dieses Gefahrenpotential dauerhaft und zuverlässig nur über eine zweigleisige Strategie ausräumen.
Unternehmensweit Security Awareness schaffen
Um sichere Passwörter einzusetzen und diese auch wirksam vor Fremdzugriff zu schützen, muss bei allen Mitarbeitern ein entsprechendes Risikobewusstsein aufgebaut und erhalten werden. Hier geht es nicht um “Panikmache”, sondern um die nüchterne Vermittlung der Grundsätze der IT-Sicherheit – und der aktuellen Vorgehensweisen der Hacker. Wissen die Mitarbeiter prinzipiell, wie Cyber-Kriminelle an Passwörter kommen und Zugang zu unternehmensinternen Systemen erhalten, können sie ihr Verhalten im Berufsalltag entsprechend anpassen.
Diese regelmäßigen “Know-how-Updates” sollten auf jeden Fall auch folgende Regeln zur sicheren Passwort-Erstellung beinhalten:
-
Je komplexer, desto besser: Groß-, Kleinbuchstaben verwenden, auch nicht an Sonderzeichen und Ziffern sparen
-
Ein Account – ein individuelles Passwort, keine Mehrfachnutzung
-
Passwörter nirgendwo notieren oder digital speichern (Excel, Browser, etc.) – außer in einem zentralen Password Manager
-
Regelmäßig ändern – immer nach Zwischen- oder Verdachtsfällen
-
Keine Wörter, Tastatur- oder Zeichen-Abfolgen nutzen (123, qwertz)
-
Geburtsdaten, Namen der Kinder, Haustiere, Autokennzeichen, etc. sind ebenfalls tabu
Technische und prozessuale Unterstützung geben
Das nächste Level der IT-Sicherheit erreicht man hingegen, wenn man die Mitarbeiter komplett von der Verantwortung befreit, selbst für die Erstellung und Änderung effektiver Passwörter sorgen zu müssen. Das “passwortfreie” Unternehmen ist längst keine Zukunftsvision mehr, sondern lässt sich mit der Hilfe von Passwort-Management-Systemen bereits heute realisieren. Der Begriff “passwortfrei” täuscht ein wenig – es werden immer noch Passwörter eingesetzt, diese werden aber zentral kreiert, gespeichert, automatisiert gewechselt und verwaltet. Den Mitarbeitern wird die Passwort-Last von den Schultern genommen: Sie können sich wieder voll und ganz auf ihre Kernaufgaben konzentrieren. Das Passwort erfreut sich also noch bester Gesundheit – nur eben in anderer Form!