Passwörter – unterschätzter Sicherheitsfaktor mit großer Wirkung

Es ist schon zum Schmunzeln: Im Februar gibt es den Murmeltier- und den Eisbärtag. Ebenso kann man den Tag des Radios und der Minzschokolade begehen. Unter der Vielzahl an jährlichen Welt- und Gedenktagen finden sich aber auch solche, die einen ernsthaften Hintergrund haben. Der „Ändere dein Passwort-Tag“ am 1. Februar jeden Jahres gehört dazu.

Mit dem Einsatz von Passwörtern steht und fällt der Schutz von IT-Systemen vor kriminellen Hacker-Angriffen. Nach Analysen des Passwortmanagers NordPass können 73 Prozent der am meisten verwendeten Passwörter in weniger als einer Sekunde geknackt werden. Beliebte Beispiele sind das millionenfach verwendete Passwort „123456“ genauso wie die Zeichenfolgen „111111“ und „123123“. Wer meint, solche einfachen Passwörter werden nur im privaten Umfeld verwendet, der irrt. Der Geschäftsalltag beweist allzu häufig das Gegenteil.

IT-Spezialist verwendete einfaches Passwort und wurde gehackt

Ein prominentes Beispiel lieferte SolarWinds. Das US-Unternehmen wurde nach Angaben der Nachrichtenagentur Reuters 2019 gehackt. Den Tätern soll es gelungen sein, eine Malware in einer Software zu verstecken, die von tausenden Kunden eingesetzt wurde, darunter auch amerikanische Regierungsbehörden. Das Bemerkenswerte: Der IT-Spezialist soll seinen Update-Server mit dem Passwort „solarwinds123“ versehen, Warnungen vor den damit verbundenen Sicherheitsrisiken aber in den Wind geschlagen haben. Damit Passwörter einen ausreichenden Schutz bieten, müssen nur folgende drei Grundregeln beachtet werden:

1. Das Passwort sollte mindestens aus neun, besser aus zwölf oder 16 Zeichen bestehen, möglichst in Kombination mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen.
2. Das Passwort sollte keine persönlichen Begriffe beinhalten, da sie durch das Auslesen von Social-Media-Kanälen identifiziert werden können.
3. Das Passwort sollte einzigartig sein und selbst in ähnlicher Schreibweise nicht auf anderen Plattformen eingesetzt werden.

Wie es der Aktionstag bereits proklamiert, empfiehlt es sich zudem, Passwörter regelmäßig zu ändern. Postwendend sollte dies geschehen, wenn das eigene Passwort und/oder die E-Mailadresse von Dritten verwendet wurde oder in der Vergangenheit von einer Datenpanne betroffen war. Das lässt sich durch sogenannte Leak Checks einfach prüfen. Die US-Site „haveibeenpwned.com“ und der „HPI Identify Leak Checker“ vom deutschen Hasso-Plattner-Institut greifen hierfür auf Datenbanken zu, die über Milliarden Datensätze verfügen.

Zwei-Faktor-Authentisierung wird bei vermehrtem Homeoffice immer wichtiger

Gerade in diesen Zeiten sollte zusätzlich auf eine Zwei-Faktor-Authentisierung gesetzt werden. Denn die Zahl der Fernzugriffe nimmt durch das verstärkte Arbeiten im Homeoffice überproportional zu. Nicht wenige Cyber-Angriffe sind darauf zurückzuführen, dass die Täter nach erfolgreicher einfacher Authentisierung verschlüsselte Verbindungen nutzten und so IT-Netzwerke unerkannt mit Malware infiltrieren konnten. Daher verwundert es nicht, dass Versicherer Cyber-Deckungsschutz inzwischen fast nur noch bereitstellen, sofern eine Zwei-Faktor-Authentisierung genutzt wird. Nutzer müssen sich dann mittels zwei verschiedener Kennungswege (z.B. Passwort + temporärer Zahlencode über ein externes Gerät) identifizieren, um Zugriff aufs jeweilige IT-System zu erhalten.

Solche Fragen der Zugriffsrechte und -kontrolle auf IT-Netzwerke werden auch im Rahmen von Cyber Quotient Evaluation, kurz CyQu, überprüft. Mit dieser webbasierten Risikoanalyse unterstützt Aon Unternehmen bei der Evaluierung ihrer betrieblichen Cyber-Risiken.

Noch ein Tipp: Passwortmanager erleichtern das Handling der oftmals größeren Zahl an Passwörtern. Mit ihnen lassen sich die Passwörter nicht nur sicher verwahren. Je nach Anbieter überprüfen die Tools auch, ob die Ziffer-Buchstaben-Kombinationen bereits von Dritten verwendet wurden und schlagen neue starke Passwörter vor.