Viele Nutzer sind der Meinung, dass ihre Passwörter sicher sind oder dass sie diese vernachlässigen können, weil die genutzten Systeme oder Anwendungen keine Rolle spielen. Natürlich weiss man inzwischen, dass Passwörter wie „1234“ oder „Passwort123“ nicht verwendet werden sollten. Doch es gibt noch viel mehr, das man berücksichtigen sollte.
Warum sind Passwörter überhaupt noch wichtig?
Oftmals denkt man, dass nur Passwörter von Administratoren oder Geschäftsleiter erstrebenswert sind. Das stimmt jedoch in der Praxis nicht so.
Stellen Sie sich vor, ein Angreifer kann sich mit Ihrem Benutzernamen und Passwort über VPN in Ihr Firmennetzwerk einloggen. Der Eindringling kann auf alle Ihre Dokumente, Mails, Notizen usw. zugreifen, somit kann er schon relativ viele Informationen über Sie, über Ihre Kunden und über das Unternehmen ergattern. Er kann dank der Verbindung zu Ihrem Firmennetzwerk dieses auskundschaften und sich je nach Sicherheitseinstellungen mehr Berechtigungen verschaffen und so mit der Zeit das gesamte Firmennetzwerk übernehmen. Der Zugang über einen Mitarbeitenden ist also immer auch das Einfallstor für das gesamte System.
Das heisst: Je besser das Passwort ist, desto schwerer wird es auch für die Angreifer, Zugriff auf sensible Daten zu erhalten. Passwortschutz ist somit auch immer Unternehmensschutz.
„Unsere Unternehmung hat Multifaktor Authentifizierung eingerichtet, das reicht!“
In vielen Fällen kann die Multi-Faktor-Authentifizierung vor Angriffen schützen, da die Angreifende Person auch bei bekanntem Passwort keinen Zugriff erhält, solange er die Push-Benachrichtigung bestätigt oder das Number Matching korrekt eingibt.
Allerdings gibt es immer mehr so genannte Man-in-the-Middle-Angriffe, bei denen das Opfer auf eine gefälschte Seite umgeleitet wird und dort die Möglichkeit hat, das Passwort und den zweiten Faktor einzugeben. Die Angreifenden sitzen sozusagen dazwischen und fangen die Session ab, so können sie sich problemlos als diese User anmelden, solange ihre Session-Cookies gültig sind.
Deshalb ist es nach wie vor wichtig, darauf zu achten, was angeklickt wird. Die Phishing Mails werden immer besser aufbereitet, sodass es sehr schwierig ist diese als Betrug zu erkennen. Dank KI enthalten Phishing Mails auch des Öfteren keine Schreibfehler mehr. Da hilft nur training der Mitarbeitenden.
„Wer soll denn schon mein Passwort erraten?“
Gerade bei der Passwortvergabe wählen viele Menschen ähnliche Muster. Gerne wird der Name in Kombination mit dem Geburtstag gewählt (z. B. ASchweizer1979) oder der Unternehmensname mit einer Zahl dahinter, inklusive eines Sonderzeichens (z. B. LeuchterAG07%). Wer in speziellen Bereichen wie Pharma, Chemie oder Medizin arbeitet, nutzt hierbei oft selten genutzte Fachbegriffe für die Passwörter.
Doch mittels Brute-Force-Attacken bei denen z. B. ganze Wörterbücher ausprobiert werden sowie Credential Stuffing (ausprobieren von geleakten Anmeldedaten), verschaffen sich Hacker schnell Zugang zum System.
Wichtig: Bei Cyber-Angriffen wird nicht nur ein Nutzername ausprobiert, sondern unzählige. Bei grossen Konzernen können das leicht 100.000 Benutzernamen sein. Wenn nur einer davon ein unsicheres Passwort nutzt, erhalten die Angreifer Zugang zum System!
„Mein Passwort heisst: 14R-ob3zzXX7%%=?Hu$$GO“
Selbst bei einem kryptischen Passwort, das nur aus Buchstaben, Zahlen und Sonderzeichen besteht, ergibt sich ein Problem: Kaum einer kann sich dieses Passwort merken! Und ein Passwort, das sich keiner merken kann, wird gerne irgendwo abgespeichert oder aufgeschrieben, was wiederum die Passwort-Sicherheit mindert.
System-Administratoren kennen das Problem, dass komplizierte Passwörter oft dazu führen, dass die Nutzer diese vergessen oder falsch eingeben. Dadurch ergibt sich für den Admin ein erhöhtes Arbeitsaufkommen, da dieser die Nutzer immer wieder freischalten muss. Aus diesem Grund tendieren auch Admins dazu, Passwort-Kombinationen im Unternehmen zu vergeben, z. B. „11Firma$$BMueller01“. Nach einer bestimmten Zeit fordern die Systeme den Nutzer dazu auf, das Passwort wieder zu ändern. Doch wer kann sich alle paar Wochen ein komplett neues Passwort merken? Aus diesem Grund schreiben die Nutzer die Passwörter gerne logisch fort. So wird aus „11Leuchter$$ASchweizer01“ bald „11Leuchter$$ASchweizer02“ und danach „11Leuchter$$ASchweizer03“.
Deshalb gilt die Grundregel: Alles, was bei einem Passwort einer Regel oder Logik unterliegt, ist nicht sicher!
So geht Passwort-Sicherheit:
- Keine Namen, Begriffe oder Zahlen nutzen, die mit Ihnen irgendwie in Verbindung gebracht werden können.
- Keine Namen, Tiernamen, Geburtsdaten, Telefonnummer oder Ähnliches verwenden.
- Keine logische Zahlen- oder alphabetische Buchstabenfolge: z. B. bei der regelmässig vom System geforderten Aktualisierung des Passwortes einfach die hinteren Zahlen fortschreiben, also 01, 02, 03 usw.
- Niemals das gleiche Passwort für mehrere Systeme oder Anwendungen. Besonders nicht private und geschäftliche mixen.
- Wählen Sie ein Passwort, das eine Kombination aus Zahlen, Gross- und Kleinbuchstaben und Sonderzeichen ist, z. B. „17Mue11Er%!22basti&&“ – das Sie sich aber auch merken können.
- Richten Sie die 2-Faktor-Authentifizierung ein, z. B. Benutzername mit Passwort + anschliessendem Code per Authenticator App.
- Vertrauen Sie niemandem – vor allem bei ungewöhnlichen Anfragen per E-Mail oder Telefon!
- Bitte keine Passwörter aufschreiben und an den Monitor kleben.
- Nicht in einem Dokument auf dem gleichen Computer speichern (ausser wenn Sie ein Passwort Manager nutzen)
- Mindestens 12 Zeichen mit Buchstaben (grosse und kleine), Zahlen und Sonderzeichen.
- Niemals Passwörter teilen oder weitergeben.
- Nicht im Smartphone unter den Telefonkontakten speichern.
- Keine unbekannten Apps nutzen, um alle Passwörter scheinbar „sicher“ zu speichern.
- Keine Passwörter per E-Mail oder SMS versenden.
- Vorsicht vor Spam und Phishing, das Sie auffordert, Ihr Passwort einzugeben, um dieses zu aktualisieren!
Passwort merken leicht gemacht
Mithilfe eines Merksatzes oder einer Eselsbrücke kann ein sicheres Passwort erstellt werden.
IT Sicherheit ist eine coole Sache!
IT$icheris1c00leSache!
1 starkes Passwort gleicht einem sicher verschlossenen Tresor!
1stPa=eisiveTr!
In diesem Passwort werden damit alle wichtigen Passwortregeln berücksichtigt. Sie können auch Ihren eigenen Merksatz bilden und diesen dann als Passwort ableiten, z. B.
Wow! Meine Oma kochte immer gerne 2-mal am Tag Kartoffelsuppe!
W!MOmkoig2maTK!
Bilden Sie am besten einen Merksatz, an den Sie sich gut erinnern können.
Für jedes System ein eigenes Passwort
Nun stellt sich die Frage, wie Sie für jedes System ein eigenes Passwort definieren können. Auch da können Sie sich ein System zusammenstellen, welches nicht direkt zu erkennen ist, jedoch leicht zum Merken. So könnten Sie zum Beispiel immer vom Systemnamen den vordersten und hintersten Buchstaben im Passwort einfügen, am Beispiel von oben würde es dann folgende Passwörter ergeben:
Für Zalando:
ZIT$icheris1c00leSache!o
Für Digitec:
DIT$icheris1c00leSache!c
Das folgt zwar auch einer Logik, ist jedoch nach wie vor besser als überall das gleiche Passwort zu haben. Am besten eignet sich daher ein Passwortmanager, um Ihre Passwörter zu speichern. Wichtig ist, dass Sie auf bekannte Anbieter (1Passwort, Password Depot, KeePass etc.) setzen und die Software immer direkt vom Hersteller herunterladen. Wenn Sie mehr über Passwortmanager erfahren möchten, können Sie sich den Passwortvergleich des SRF Kassensturz anschauen.
IT-Sicherheit kann man trainieren
Wir kennen viele Tricks und die Methoden, wie Hacker bei ihren Angriffen vorgehen. Aus diesem Grund bieten wir auch das Leuchter Cyber Security Awareness Training für Unternehmen an. Hier erfahren Ihre Mitarbeitenden alles Wichtige rund um IT-Sicherheit und wie sie sich und das Unternehmen am besten schützen können. Dank der gezielten Sensibilisierung und Schulung von Mitarbeitenden kann die Sicherheitslücke „Mensch“ geschlossen werden.
Das Leuchter Security Awareness Training ist eine wichtige und logische Ergänzung Ihrer Security-Strategie. Darüber hinaus sorgen Sie für mehr Sicherheit und geben Ihren Beschäftigten mehr Selbstvertrauen im täglichen Business.