Sicherheitsrichtlinien für Passwörter

Im Zeitalter des Internets und seiner endlosen Möglichkeiten, gibt es eine Sache, die Du besonders im Blick behalten solltest: Die Sicherheit Deiner Passwörter. Aber warum genau sind sichere Passwörter so wichtig?

Wir haben eine Reihe an Artikeln für Euch Lesern erstellt, die Eurem Unternehmen unterschiedliche Fragen in Bezug auf die IT-Sicherheit stellen, wodurch Du Dich selbst und Dein IT-System prüfen kannst und wahrscheinlich auch solltest. Die Fragen wurden von dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erstellt. Das BSI ist eine nationale Cyber-Sicherheitsbehörde, die seit Herbst 2020 über eine spezielle Abteilung verfügt, die sich mit den Anliegen von KMUs befasst. Ihre Verantwortung besteht darin, bei Staat, Wirtschaft und Gesellschaft Prävention, Detektion und Reaktion im Bereich der Informationssicherheit zu gewährleisten.

Willkommen zur Episode 7: Hast Du eine Richtlinie für sichere Passwörter festgelegt?

Eine erhebliche Menge an Internetattacken wird ermöglicht, weil zu simple Passwörter oder die gleichen Passwörter für verschiedene Services genutzt werden. Angreifer können mittels verschiedener Methoden versuchen, Dein Passwort zu knacken – seien es Brute-Force-Angriffe, bei denen so viele Kombinationen wie möglich ausprobiert werden, oder Wörterbuchangriffe, bei denen häufig genutzte Passwörter wie „qwertz“ getestet werden.

Es gibt aber noch andere Angriffsmethoden wie Social Engineering, bei denen Angreifer persönliche Informationen nutzen, die sie aus sozialen Netzwerken gewonnen haben. Sollte Dein Passwort einmal bei einem Dienstleister aufgrund schlechter Datensicherheit abgegriffen worden sein und Du nutzt dasselbe Passwort bei einem anderen Dienstleister, dann hast Du es einem Angreifer leicht gemacht.

Dabei kann ein erfolgreicher Passwort-Angriff nicht nur auf einen bestimmten Dienst beschränkt bleiben, sondern sich auch innerhalb eines Unternehmens oder seiner Partner ausbreiten. Deine E-Mail-Adresse könnte zum Beispiel dafür genutzt werden, schädliche E-Mails an Deine Geschäftskontakte zu senden und sie zu schädigenden Aktionen zu verleiten – diese Methode ist als Phishing bekannt und eine der gängigsten Methoden, um an fremde Passwörter zu gelangen.

Episode 7: Aber was macht ein sicheres Passwort aus?

Einfach gesagt, ein sicheres Passwort sollte kreativ sein und sich gut merken lassen. Es gibt unterschiedliche Strategien, um ein sicheres Passwort zu erstellen: Du könntest zum Beispiel einen Satz nehmen und nur den ersten Buchstaben jedes Worts verwenden, bestimmte Buchstaben in Zahlen oder Sonderzeichen verwandeln, oder sogar einen ganzen Satz als Passwort verwenden. Eine andere Möglichkeit besteht darin, fünf bis sechs zufällige Wörter aus dem Wörterbuch auszuwählen und diese miteinander zu verknüpfen.

Grundsätzlich gilt: Je länger Dein Passwort, desto sicherer. Es sollte mindestens acht Zeichen lang sein und idealerweise Sonderzeichen und Zahlen enthalten. Bei Verschlüsselungsverfahren für WLAN, wie WPA2 oder WPA3, sollte das Passwort mindestens 20 Zeichen lang sein.

Allerdings sollten bestimmte Informationen nicht als Passwort genutzt werden – dazu gehören Namen von Familienmitgliedern, Haustieren, besten Freunden oder Stars, Geburtsdaten und ähnliches. Dein Passwort sollte nicht in Wörterbüchern vorkommen und nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern wie „asdfgh“ oder „1234abcd“ bestehen. Das einfache Anhängen von Zahlen oder das Ergänzen von Sonderzeichen an den Anfang oder das Ende eines simplen Passworts sind ebenfalls nicht empfehlenswert.

Wie sollte eine gute Passwortrichtlinie aussehen?

Jeder Dienst, der eine Authentifizierung erfordert, sollte mit einem anderen Passwort genutzt werden. Vor allem sollte niemals dasselbe Passwort für die private und die berufliche E-Mail-Adresse verwendet werden. Ein Passwort-Manager kann dabei helfen, starke Passwörter zu generieren und diese sicher aufzubewahren.

Zudem solltest Du immer die Zwei-Faktor-Authentifizierung (2FA) nutzen, wenn diese von einem Dienstleister angeboten wird. Bei dieser Methode wird neben dem Passwort noch ein weiterer Faktor zur Authentifizierung benötigt, wodurch es einem Angreifer deutlich erschwert wird, Zugang zu Deinen Daten zu erlangen.

Idealerweise sollte eine Multi-Faktor-Authentifizierung mit einem physischen Token implementiert werden, um den Zugang weiter zu sichern. Klein- und Mittelstandsunternehmen mit vielen zentralisierten Softwarelösungen können durch die Aktivierung von Single Sign-on die Authentifizierungsmechanismen vereinfachen und verstärken.

Um die Anwendung dieser Regeln zu überprüfen und zu kontrollieren, können KMU verschiedene Maßnahmen ergreifen, wie zum Beispiel die temporäre oder dauerhafte Sperrung von Konten nach mehreren fehlgeschlagenen Anmeldeversuchen, das Deaktivieren von anonymen Anmeldeoptionen („Gastkonten“), und das Einrichten einer soliden Passwortrichtlinie auf den Authentifizierungsservern.

Insgesamt ist es wichtig, sich stets der Risiken bewusst zu sein und entsprechende Maßnahmen zu ergreifen, um diese Risiken zu minimieren und die Sicherheit der eigenen Daten zu gewährleisten.