Passwortrichtlinie: Ihr Weg zu besserem Datenschutz
In einer Passwortrichtlinie geht es nicht vorrangig ums Festlegen von Passwörtern. Vielmehr gilt es, ganzheitliche Ansätze zu realisieren. Dabei sind auch Dinge zu berücksichtigen wie das Übermitteln sowie das Speichern von Passwörtern. Mit einer sinnvollen Passwortrichtlinie erhöht Ihre Organisation den Datenschutz.
Warum jedes Unternehmen eine Passwortrichtlinie benötigt
Es ist lange her, dass ausschließlich Großkonzerne Opfer von Cyberkriminellen wurden. Heute haben sie es auf alle und jeden abgesehen, denn nahezu jedes Unternehmen geht mit Daten um. Und Daten sind das Gold unserer Zeit! Das macht eine Passwortrichtlinie umso wichtiger. Die Methoden, mit denen Angreifer Passwörter zu erbeuten versuchen, um an gespeicherte Daten zu gelangen, sind perfide. Einige davon stellen wir Ihnen im Folgenden vor:
- Brute Force: Mithilfe von Brute Force-Attacken versuchen Cyberkriminelle, Passwörter zu erraten. Dabei kombinieren sie Buchstaben, Satzzeichen, Zahlen und Sonderzeichen – und sie kommen häufig zum Erfolg.
- Dictionary Attack: Bei einer solchen Attacke arbeiten die Angreifer mit Datenbanken, in denen oft verwendete Passwörter enthalten sind. Auch ist es möglich, Begriffe aus einem Wörterbuch auszuprobieren. Bedeutet für Sie: Verzichten Sie auf simple Wörter als Kennwort, denn daraus ergibt sich keine genügende Passwortsicherheit.
- Sniffing: Cyberkriminelle überwachen beim Sniffing den Datenverkehr – einschließlich der Eingabe von Benutzernamen und Passwörtern. Möglich ist die Überwachung beispielsweise durch den Einsatz von Schadsoftware auf dem System. Auch lassen sich Netzwerkverbindungen außerhalb der eigenen IT-Infrastruktur überwachen.
- Social Engineering: Hierbei handelt es sich um eine besonders perfide Masche, denn die Passwörter müssen nicht erraten werden, sie werden direkt erfragt. So geben sich Angreifer als Kollegen aus der IT aus und erfragen zu angeblichen Testzwecken Passwörter. Es gehört eine hohe Mitarbeitersensibilisierung dazu, nicht auf diese Masche hereinzufallen. Die Opfer handeln meist in gutem Glauben und geben sämtliche Zugangsdaten preis.
Was ein sicheres Passwort auszeichnet
In Ihrer Passwortrichtlinie ist es sinnvoll, festzuhalten, wie ein sicheres Passwort überhaupt aussieht. Es gibt Passwort-Generatoren, die alle Punkte zur sicheren Auswahl eines Passworts beachten. Mit den folgenden Tipps kommen Sie zum sicheren Passwort:
Passwortlänge
Geben Sie in Ihrer Passwortrichtlinie vor, dass ausschließlich alphanumerische Zeichen verwendet werden, so sollte das Passwort eine Mindestlänge von acht Zeichen haben. 12 Zeichen sind noch besser. Stehen für Ihr Passwort ausschließlich Ziffern zur Verfügung, muss es mindestens sechs Zeichen lang sein. Zudem sollte das Authentisierungssystem den Zugang nach einer bestimmten Anzahl von Fehlversuchen sperren.
Sonderzeichen
Da ein Passwort nicht leicht zu erraten sein soll, verzichten Sie bitte auf Namen, Geburtsdaten, Kfz-Kennzeichen und ähnliches. Idealerweise gibt Ihre Passwortrichtlinie vor, dass das Passwort aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen besteht. Verwenden Sie mindestens zwei dieser Zeichenarten.
Regelmäßige Passwort-Änderungen
Es ist wichtig, dass jeder Benutzer im Betrieb sein Passwort jederzeit ändern kann. Und das sollte auch geschehen: Spätestens alle 90 Tage muss das Passwort gewechselt werden. Außerdem ist ein Passwortwechsel durchzuführen, wenn das Passwort in unbefugte Hände geraten ist – oder auch nur der Verdacht besteht. Benutzen Sie alte Passwörter nach dem Passwortwechsel bitte nicht mehr.
Irrtümer bei der Vergabe von Passwörtern
Zu den wohl größten Irrtümern bei der Vergabe von Passwörtern gehört es, dass Passwörter beim Wechseln einfach variiert werden. Da wird aus dem Passwort „PE567rd“ einfach „567PErd“. Häufig sind die Passwortanforderungen in Betrieben einfach zu lasch. Man möchte maximal acht Zeichen – idealerweise ohne Sonderzeichen. Vorteil ist natürlich, dass man sich ein solches Passwort gut merken kann. Doch wem hilft das Ganze, wenn dem Passwort somit auch Cyberkriminelle schnell auf die Spur kommen?
Gute Passwörter sind lang. Sie bestehen aus mehreren Wörtern und verschiedenen Zeichen wie Zahlen oder Sonderzeichen. Zu viele Sonderzeichen sind jedoch auch nicht sinnvoll. Ein weiterer Mythos bei der Vergabe von Passwörtern. Denn Passwörter mit vielen Sonderzeichen sind mithilfe der oben bereits erwähnten Brute Force-Attacke schnell herausgefunden.
Welche Bereiche in einer Passwortrichtlinie abgedeckt werden
Wie eingangs erwähnt, geht es in der Passwortrichtlinie nicht ausschließlich ums Festlegen von Passwörtern. Es gilt, weitere Bereiche für einen ganzheitlichen Ansatz zu berücksichtigen:
- Verpflichtung zum Verwenden von Passwörtern: Verpflichten Sie in Ihrer Passwortrichtlinie dazu, jedes Gerät, mit dem ein Zugriff auf personenbezogene Daten möglich ist, mittels Passwort abzusichern.
- Anforderungen an Passwörter: Auch die Anforderungen an die Passwortsicherheit im Unternehmen muss in die Passwortrichtlinie. Unter Berücksichtung dieser Richtlinie legt jeder Anwender sein Passwort fest. Verdeutlichen Sie Ihr Ziel, dass sichere Passwörter verwendet werden. Sie sollen nicht zu erraten sein. Sie haben außerdem die Möglichkeit, den regelmäßigen Passwortwechsel festzuhalten.
- Passwort-Übermittlung: Alle diese Sicherheitsvorkehrungen sind nichtig, wenn die Daten unverschlüsselt durch fremde Netzwerke laufen. Halten Sie in der Passwortrichtlinie die Sicherheitsbestimmungen für Netzwerke sowie Verbindungen fest.
- Passwort-Speicherung: Ähnliches gilt für das Speichern von Passwörtern: Passwörter werden idealerweise verschlüsselt und an einem sicheren Ort aufbewahrt.
In Ihrer Passwortrichtlinie kann darüber hinaus die vorgeschriebene Passwortänderungen ihren Platz finden. Sie können zudem zulässige Passwort-Manager auflisten. Leiten Sie Ihre Mitarbeiter an, beim Verlassen ihres Arbeitsplatzes den Bildschirm zu sperren. So wird der Passwortschutz aktiv und es gibt eine Kontrolle über den Zugriff. Schließen Sie hier auch Mobilgeräte wie Smartphones oder Tablets mit ein.
One Reply to “Passwortrichtlinie: Ihr Weg zu besserem Datenschutz”