Fachartikel & News

Pass­wort regel­mä­ßig ändern garan­tiert keine IT-Sicher­heit

Viele Fir­men­chefs wol­len, dass Mit­ar­bei­ter ihr Pass­wort re­gel­mä­ßig än­dern. Man könn­te aber auch ei­nen rich­tig star­ken Code wäh­len und den dann gut schüt­zen. Die­se und an­de­re Tipps soll­ten Un­ter­neh­mer als Teil der IT-Si­cher­heits­­stra­­te­gie re­gel­mä­ßig in Trai­nings wei­ter­ge­ben.

Text: Frank Wiercks


Auch in die­sen Ferien hat­ten Unter­neh­mer wie­der genug Grund – und hof­fent­lich Zeit – zum Nach­den­ken über IT-Sicher­heit. Wie sehr die am Fak­tor Mensch hängt, zeig­ten zwei „Tagesschau“-Berichte. Kurz vor Jah­res­ende hieß es zuerst, im Inter­net sei eine rie­sige Samm­lung gestoh­le­ner Zugangs­da­ten auf­ge­taucht: 773 Mil­lio­nen Mail-Adres­sen und 21 Mil­lio­nen unter­schied­li­che Pass­wör­ter. Wenig spä­ter kam dann die Mel­dung, Lieb­lings­pass­wort des Jah­res sei die Zah­len­reihe „123456“ gewe­sen. Es folg­ten „123456789“ und „1234567“ sowie auf Platz fünf „pass­word“. Ange­sichts sol­cher Fan­ta­sie­lo­sig­keit scheint es kon­se­quent, dass zumin­dest Rou­ter in Kali­for­nien seit Jah­res­be­ginn mit indi­vi­du­el­len Pass­wör­tern aus­ge­lie­fert wer­den müs­sen. Oder die Nut­zer durch tech­ni­sche Vor­ein­stel­lun­gen gezwun­gen wer­den, ein star­kes Pass­wort fest­zu­le­gen, bevor das Gerät in Betrieb gehen kann. Bei Micro­soft ste­hen allzu simple Zugangs­codes bereits län­ger auf einer schwar­zen Liste. Auch andere Soft­ware­her­stel­ler oder Dienst­leis­ter ver­pflich­ten die Kun­den, sichere Zif­fern-Buch­sta­ben-Zei­chen-Kom­bi­na­tio­nen zu wäh­len. Um Hackern das Hand­werk zu erschwe­ren, kommt oft auch die Emp­feh­lung: Das Pass­wort regel­mä­ßig ändern.

Pass­wort regel­mä­ßig ändern kann zur IT-Si­cher­heit gehö­ren

Tat­säch­lich nut­zen Cyber­kri­mi­nelle immer raf­fi­nier­tere Metho­den, um Netz­werke zu kapern oder Zugangs­da­ten abzu­grei­fen. Und Pass­wort­dieb­stahl nimmt zu. Inso­fern scheint es fol­ge­rich­tig, dass jemand sein Pass­wort regel­mä­ßig ändern soll, um pri­vat oder im Unter­neh­men die IT-Sicher­heit zu erhö­hen. Aller­dings sind per­sön­li­che Pass­wör­ter – gerade bei Fir­men­netz­wer­ken – ein zwar wich­ti­ger Sicher­heits­as­pekt, aber nur einer von meh­re­ren. Daher soll­ten Fir­men­chefs das Thema IT-Sicher­heit mög­lichst breit betrach­ten, vom Ein­satz von Ver­schlüs­se­lungs­tech­no­lo­gie bis zum Abschluss von Cyber­ver­si­che­run­gen. Und es zudem tief im Bewusst­sein der Mit­ar­bei­ter sowie orga­ni­sa­to­risch im Betrieb ver­an­kern. Das erfor­dert eine scho­nungs­lose Bedro­hungs­auf­klä­rung und trans­pa­ren­ten Umgang mit dem Thema. Aber ebenso ein durch­dach­tes Sicher­heits­kon­zept, das über Ein­füh­rungs­schu­lun­gen sowie kon­ti­nu­ier­li­che Trai­nings alle Beschäf­tig­ten erreicht. Sinn­voll sind außer­dem regel­mä­ßige Pene­tra­ti­ons­tests: So zei­gen sich tech­ni­sche Sicher­heits­lü­cken, aber auch mensch­li­che Schwach­stel­len etwa in Form leicht zu erra­ten­der Pass­wör­ter. Die Ergeb­nisse könn­ten dann bei der Ent­schei­dung hel­fen, ob Mit­ar­bei­ter wirk­lich ihr Pass­wort regel­mä­ßig ändern soll­ten. Übri­gens auch im Home-Office.

Pass­wort regel­mäßig än­dern kann Si­cher­heit auch gefähr­den

Ohne umfas­sende Stra­te­gie sowie Auf­klä­rung zur IT-Sicher­heit dürfte es aber kaum hel­fen, dass die Beschäf­tig­ten ihr Pass­wort regel­mä­ßig ändern. Es bringt wenig, wenn die neue Zif­fern-Buch­sta­ben-Zei­chen-Kom­bi­na­tion dann für jeden sicht­bar per Kle­be­zet­tel am Bild­schirm hängt. Oder wenig ein­falls­reich aus Namen der Haus­tiere und Geburts­ta­gen naher Ver­wand­ter besteht. Aber gerade auf sol­che Daten grei­fen viele Beschäf­tigte zurück, die sich zum regel­mä­ßi­gen Ändern eines Zugangs­codes genö­tigt sehen: Sie fürch­ten, durch den schnel­len Wech­sel der Kom­bi­na­tio­nen irgend­wann die gerade gül­tige Ver­sion schlicht zu ver­ges­sen, weil sie ja immer wie­der aufs Neue sicher und daher kom­plex sein muss. Aus die­sem Grund raten Exper­ten zuneh­mend davon ab, dass man im Beruf wie im Pri­va­ten sein Pass­wort regel­mä­ßig ändern soll: Beim Kom­pro­miss aus Pass­wort oft aktua­li­sie­ren, neue Kom­bi­na­tion aus­den­ken und kei­nen frü­he­ren Code ver­wen­den bleibt rasch die Sicher­heit auf der Stre­cke. Gewählt wird näm­lich häu­fig eine weni­ger kom­plexe Vari­ante, weil sie sich ein­fach bes­ser mer­ken lässt.

Nach einem Da­ten­dieb­stahl ist das Pass­wort ändern Pflicht

Natür­lich ist es nach einem Daten­dieb­stahl unver­meid­bar, das Pass­wort für den gehack­ten Account zu ändern. Und zu prü­fen, ob sich aus dem erbeu­te­ten Pass­wort auch Zugangs­codes für andere Accounts des Opfers ablei­ten las­sen könn­ten. Dies ist etwa dann der Fall, wenn eine Mail-Adresse als Benut­zer­name für den gehack­ten Account sowie auch wei­tere Online­dienste gilt. Dann ist einer von zwei Fak­to­ren – der Benut­zer­name – schon bekannt, und der Hacker muss nur noch beim Pass­wort aus­pro­bie­ren. Dabei erleich­tert die Ver­wen­dung einer iden­ti­schen oder leicht vari­ier­ten Zif­fern-Buch­sta­ben-Zei­chen-Kom­bi­na­tion den Cyber­an­griff. Ob Iden­ti­täts­da­ten erbeu­tet wur­den, lässt sich etwa per HPI Iden­tity Leak Che­cker des Hasso-Platt­ner-Insti­tuts in Pots­dam prü­fen. Gene­rell gilt: Ebenso wich­tig, ver­mut­lich sogar noch wich­ti­ger als ein Pass­wort regel­mä­ßig zu ändern, ist des­sen gute Aus­wahl. Je siche­rer, also kom­ple­xer ein Pass­wort ist, desto sel­te­ner muss es gewech­selt wer­den, falls es nicht leicht­sin­nig wei­ter­ge­ge­ben wird. Oder doch bei einer Atta­cke in fal­sche Hände gerät.

Diese sechs Tipps für ein star­kes Pass­wort beach­ten

Tipps für ein star­kes Pass­wort gibt das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI).

• Min­des­tens acht Zei­chen ver­wen­den. Sind Off­line-Atta­cken ohne per­ma­nente Netz­ver­bin­dung über län­gere Zeit mög­lich, soll­ten es min­des­tens 20 Zei­chen sein.

• Alle ver­füg­ba­ren Zei­chen nut­zen. Meis­tens sind Groß- und Klein­buch­sta­ben, Zif­fern und Son­der­zei­chen ver­wend­bar. Umlaute gilt es zu ver­mei­den – sie erschwe­ren den Zugriff aus Län­dern, wo sich diese Zei­chen nicht ein­ge­ge­ben las­sen.

• Per­sön­li­ches ver­mei­den. Das gilt etwa für die Namen von Fami­li­en­mit­glie­dern, Haus­tie­ren oder belieb­ten Künst­lern. Auch Geburts­da­ten ver­bie­ten sich.

• Bekann­tes igno­rie­ren. Unge­eig­net sind Begriffe, die im Wör­ter­buch ste­hen. Und gän­gige Tas­ta­tur­mus­ter wie „asdfgh“ oder „1234abcd“.

• Kein simp­les Modi­fi­zie­ren. Wer eine Zif­fer an ein Wort hängt oder ein Son­der­zei­chen an den Anfang stellt, stoppt Hacker nicht.

• Esels­brü­cke bauen. Mit einer Hilfs­stra­te­gie sind der Krea­ti­vi­tät keine Gren­zen gesetzt. Man kann sich etwa einen gan­zen Satz als Pass­wort bauen, bei dem die Wör­ter durch Son­der­zei­chen ver­bun­den sind. Bei­spiel: „Die?Sonne!scheint/“.


Bei Fra­gen spre­chen Sie uns gerne an.


Quelle: www​.tria​log​-unter​neh​mer​blog​.de, Her­aus­ge­ber: DATEV eG, Nürn­berg

This is a unique website which will require a more modern browser to work! Please upgrade today!