12. Mai 2020

Pass­wort regel­mäßig ändern garan­tiert keine IT-Sicher­heit

Viele Firmen­chefs wollen, dass Mit­ar­bei­ter ihr Pass­wort re­gel­mä­ßig än­dern. Man könn­te aber auch ei­nen rich­tig star­ken Code wäh­len und den dann gut schüt­zen. Die­se und an­de­re Tipps soll­ten Un­ter­neh­mer als Teil der IT-Si­cher­heits­­s­tra­­te­gie re­gel­mä­ßig in Trai­nings weiter­geben.

Text: Frank Wiercks

uch in diesen Ferien hatten Unter­nehmer wieder genug Grund – und hoffent­lich Zeit – zum Nach­denken über IT-Sicher­heit. Wie sehr die am Faktor Mensch hängt, zeigten zwei „Tagesschau“-Berichte. Kurz vor Jahres­ende hieß es zuerst, im Internet sei eine riesige Samm­lung gestoh­lener Zugangs­daten aufge­taucht: 773 Millionen Mail-Adressen und 21 Millionen unter­schied­liche Pass­wörter. Wenig später kam dann die Meldung, Lieb­lings­pass­wort des Jahres sei die Zahlen­reihe „123456“ gewesen. Es folgten „123456789“ und „1234567“ sowie auf Platz fünf „pass­word“. Ange­sichts solcher Fanta­sie­lo­sig­keit scheint es konse­quent, dass zumin­dest Router in Kali­for­nien seit Jahres­be­ginn mit indi­vi­du­ellen Pass­wör­tern ausge­lie­fert werden müssen. Oder die Nutzer durch tech­ni­sche Vorein­stel­lungen gezwungen werden, ein starkes Pass­wort fest­zu­legen, bevor das Gerät in Betrieb gehen kann. Bei Micro­soft stehen allzu simple Zugangs­codes bereits länger auf einer schwarzen Liste. Auch andere Soft­ware­her­steller oder Dienst­leister verpflichten die Kunden, sichere Ziffern-Buch­staben-Zeichen-Kombi­na­tionen zu wählen. Um Hackern das Hand­werk zu erschweren, kommt oft auch die Empfeh­lung: Das Pass­wort regel­mäßig ändern.

Pass­wort regel­mäßig ändern kann zur IT-Si­cher­heit gehören

Tatsäch­lich nutzen Cyber­kri­mi­nelle immer raffi­nier­tere Methoden, um Netz­werke zu kapern oder Zugangs­daten abzu­greifen. Und Pass­wort­dieb­stahl nimmt zu. Inso­fern scheint es folge­richtig, dass jemand sein Pass­wort regel­mäßig ändern soll, um privat oder im Unter­nehmen die IT-Sicher­heit zu erhöhen. Aller­dings sind persön­liche Pass­wörter – gerade bei Firmen­netz­werken – ein zwar wich­tiger Sicher­heits­aspekt, aber nur einer von mehreren. Daher sollten Firmen­chefs das Thema IT-Sicher­heit möglichst breit betrachten, vom Einsatz von Verschlüs­se­lungs­tech­no­logie bis zum Abschluss von Cyber­ver­si­che­rungen. Und es zudem tief im Bewusst­sein der Mitar­beiter sowie orga­ni­sa­to­risch im Betrieb veran­kern. Das erfor­dert eine scho­nungs­lose Bedro­hungs­auf­klä­rung und trans­pa­renten Umgang mit dem Thema. Aber ebenso ein durch­dachtes Sicher­heits­kon­zept, das über Einfüh­rungs­schu­lungen sowie konti­nu­ier­liche Trai­nings alle Beschäf­tigten erreicht. Sinn­voll sind außerdem regel­mä­ßige Pene­tra­ti­ons­tests: So zeigen sich tech­ni­sche Sicher­heits­lü­cken, aber auch mensch­liche Schwach­stellen etwa in Form leicht zu erra­tender Pass­wörter. Die Ergeb­nisse könnten dann bei der Entschei­dung helfen, ob Mitar­beiter wirk­lich ihr Pass­wort regel­mäßig ändern sollten. Übri­gens auch im Home-Office.

Pass­wort regel­mäßig än­dern kann Si­cher­heit auch gefährden

Ohne umfas­sende Stra­tegie sowie Aufklä­rung zur IT-Sicher­heit dürfte es aber kaum helfen, dass die Beschäf­tigten ihr Pass­wort regel­mäßig ändern. Es bringt wenig, wenn die neue Ziffern-Buch­staben-Zeichen-Kombi­na­tion dann für jeden sichtbar per Klebe­zettel am Bild­schirm hängt. Oder wenig einfalls­reich aus Namen der Haus­tiere und Geburts­tagen naher Verwandter besteht. Aber gerade auf solche Daten greifen viele Beschäf­tigte zurück, die sich zum regel­mä­ßigen Ändern eines Zugangs­codes genö­tigt sehen: Sie fürchten, durch den schnellen Wechsel der Kombi­na­tionen irgend­wann die gerade gültige Version schlicht zu vergessen, weil sie ja immer wieder aufs Neue sicher und daher komplex sein muss. Aus diesem Grund raten Experten zuneh­mend davon ab, dass man im Beruf wie im Privaten sein Pass­wort regel­mäßig ändern soll: Beim Kompro­miss aus Pass­wort oft aktua­li­sieren, neue Kombi­na­tion ausdenken und keinen früheren Code verwenden bleibt rasch die Sicher­heit auf der Strecke. Gewählt wird nämlich häufig eine weniger komplexe Vari­ante, weil sie sich einfach besser merken lässt.

Nach einem Da­ten­dieb­stahl ist das Pass­wort ändern Pflicht

Natür­lich ist es nach einem Daten­dieb­stahl unver­meidbar, das Pass­wort für den gehackten Account zu ändern. Und zu prüfen, ob sich aus dem erbeu­teten Pass­wort auch Zugangs­codes für andere Accounts des Opfers ableiten lassen könnten. Dies ist etwa dann der Fall, wenn eine Mail-Adresse als Benut­zer­name für den gehackten Account sowie auch weitere Online­dienste gilt. Dann ist einer von zwei Faktoren – der Benut­zer­name – schon bekannt, und der Hacker muss nur noch beim Pass­wort auspro­bieren. Dabei erleich­tert die Verwen­dung einer iden­ti­schen oder leicht vari­ierten Ziffern-Buch­staben-Zeichen-Kombi­na­tion den Cyber­an­griff. Ob Iden­ti­täts­daten erbeutet wurden, lässt sich etwa per HPI Iden­tity Leak Checker des Hasso-Plattner-Insti­tuts in Potsdam prüfen. Gene­rell gilt: Ebenso wichtig, vermut­lich sogar noch wich­tiger als ein Pass­wort regel­mäßig zu ändern, ist dessen gute Auswahl. Je sicherer, also komplexer ein Pass­wort ist, desto seltener muss es gewech­selt werden, falls es nicht leicht­sinnig weiter­ge­geben wird. Oder doch bei einer Attacke in falsche Hände gerät.

Diese sechs Tipps für ein star­kes Pass­wort beachten

Tipps für ein starkes Pass­wort gibt das Bundesamt für Sicher­heit in der Infor­ma­ti­ons­technik (BSI).

• Mindes­tens acht Zeichen verwenden. Sind Offline-Atta­cken ohne perma­nente Netz­ver­bin­dung über längere Zeit möglich, sollten es mindes­tens 20 Zeichen sein.

• Alle verfüg­baren Zeichen nutzen. Meis­tens sind Groß- und Klein­buch­staben, Ziffern und Sonder­zei­chen verwendbar. Umlaute gilt es zu vermeiden – sie erschweren den Zugriff aus Ländern, wo sich diese Zeichen nicht einge­geben lassen.

• Persön­li­ches vermeiden. Das gilt etwa für die Namen von Fami­li­en­mit­glie­dern, Haus­tieren oder beliebten Künst­lern. Auch Geburts­daten verbieten sich.

• Bekanntes igno­rieren. Unge­eignet sind Begriffe, die im Wörter­buch stehen. Und gängige Tasta­tur­muster wie „asdfgh“ oder „1234abcd“.

• Kein simples Modi­fi­zieren. Wer eine Ziffer an ein Wort hängt oder ein Sonder­zei­chen an den Anfang stellt, stoppt Hacker nicht.

• Esels­brücke bauen. Mit einer Hilfs­stra­tegie sind der Krea­ti­vität keine Grenzen gesetzt. Man kann sich etwa einen ganzen Satz als Pass­wort bauen, bei dem die Wörter durch Sonder­zei­chen verbunden sind. Beispiel: „Die?Sonne!scheint/“.

Bei Fragen spre­chen Sie uns gerne an.

Quelle: www.trialog-unternehmerblog.de, Heraus­geber: DATEV eG, Nürn­berg