Cyber Security: 8 Regeln für den sicheren Umgang mit Login-Daten

Keys and Golden Keyring with the Word Code over Black Wooden Table with Blur Effect. Toned Image..jpeg

Obwohl es heute hinreichend bekannt sein sollte, dass Passwörter hohen Sicherheitsansprüchen genügen müssen, wählen Nutzer immer noch einfach zu erratende Zeichenfolgen und gefährden so die Cyber Security des Unternehmens.  Das Hasso-Plattner-Institut in Potsdam hat im Rahmen einer Studie eine Rangliste der weltweit meistgenutzten Passwörter erstellt.

Login-Daten mit hohem Sicherheitsrisiko

Zur Analyse der Login-Daten wurden 1 Milliarde Nutzerkonten überprüft, die aus 31 Datenlecks stammen. Unter den gehackten deutschen Top-10 finden sich einfach zu erratende Kombinationen, wie «123456» (meistgenutzt), «hallo», «passwort», «hallo123» oder Zeichenkombinationen wie «qwertz» gemäss der Tastenreihenfolge auf der Computertastatur. Bei diesen einfach vorhersehbaren Passwörtern, ist es für Cyberkriminelle ein leichtes Spiel in ein Computersystem einzudringen.

Was für die Wahl eines sicheren Passworts wichtig ist, gilt auch für Nutzernamen. Oft verwendete Bezeichnungen, wie «administrator», «userid», «user1» oder «demo», sind Angreifern bestens bekannt und stellen daher ebenfalls ein Sicherheitsrisiko dar.

Wirkungsvolle Login-Daten

Die Zugriffsdaten sind dann wirkungsvoll, wenn sie den Zugang für Unbefugte tatsächlich verhindern. Um dies zu erzielen, müssen sie von den Mitarbeitenden so angelegt und aufbewahrt werden, dass sie ausschliesslich dem autorisierten Nutzer selbst den Zugang zu den entsprechenden Daten oder IT-Umgebungen ermöglichen. Mit folgenden 8 Regeln erhöhen Sie die Sicherheitsstufe von Passwort und Nutzernamen und damit die Cyber Security im Unternehmen:

  1. Sichere Passwortlänge wählen
    Sichere Passwörter haben eine Länge von mehr als 12 Zeichen (ideal sind mindestens 20).

  2. Keine persönlichen Informationen anwenden
    Persönliche Angaben sind für professionelle Angreifer einfach zu ermitteln. Login-Daten sollen daher keine persönlichen Informationen wie Geburtsdaten, Namen von Familienmitgliedern, Haustieren oder Sportarten enthalten.

  3. Lange Passwörter wählen (Fantasiesätze)
    Als sichere Passwörter gelten ganze Sätze mit mehreren Wörtern, die Ausdruck eines Fantasiebilds des Nutzers sind und gleichzeitig keine Beziehung zu seinem Umfeld haben. Etwa «Drei Elefanten tanzen im Schnee». Nach neuesten Erkenntnissen soll darauf verzichtet werden, den Einsatz von Sonderzeichen (*, &, !, $ usw.) im Passwort zu empfehlen, denn dies führte dazu, dass Nutzer die Sonderzeichen als Platzhalter für Buchstaben einsetzten. In der Folge verwendeten sie einfach zu erratende Wörter und statteten diese mit ein zwei Sonderzeichen aus, in der falschen Meinung auf diese Weise eine hohe Sicherheitsstufe zu erzielen.

  4. Verschiedene Passwörter verwenden
    Für verschiedene Zugänge sind unterschiedliche Passwörter zu wählen. Kein Passwort mehrfach verwenden.

  5. Passwörter nur in Ausnahmefällen ändern lassen
    Wenn Nutzer aufgefordert werden, das Passwort zu erneuern, neigen sie gemäss neuesten Erkenntnissen dazu, unsichere Passwörter zu wählen, die sie sich leicht merken können und einfach zu erraten oder zu errechnen sind. Von einem zwingenden regelmässigen Wechsel des Passworts nach einer gewissen Zeitspanne wird daher gemäss neuesten Empfehlungen abgeraten. Ausnahme von dieser Regel ist ein erkannter Missbrauch des Passworts durch Unbefugte – in diesem Fall ist das Passwort umgehend durch ein neues ersetzen zu lassen.

  6. Passwort Manager nutzen
    Damit sich Mitarbeitende nur ein einziges Passwort merken müssen, empfiehlt sich der Einsatz eines Passwort Managers wie Pleasant Password Server.

  7. Eigenen Nutzernamen überprüfen
    Wenn als Nutzername aufgrund der gewählten IT-Plattform die eigene E-Mail-Adresse verwendet werden muss, sollte deren Sicherheit überprüft werden. Mit dem HPI Identity Leak Checker des Hasso-Plattner-Instituts lässt sich ermitteln, ob die eigene E‑Mailadresse in Verbindung mit anderen persönlichen Daten (z.B. Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und missbraucht werden könnte.

  8. Login-Benachrichtigung aktivieren
    Die Login-Benachrichtigung informiert via SMS oder E-Mail, wenn sich jemand mit dem eigenen Nutzernamen Zugriff verschafft.

Eine noch höhere Sicherheitsstufe wird erreicht, wenn eine Zwei-Faktor-Authentifizierung (2FA) aktiviert ist. Diese kombiniert die Login-Daten mit einem zusätzlichen Passcode, der sich bei jedem Login ändert und zur erhöhten Sicherheit via SMS auf das eigene Mobiltelefon übermittelt wird.

Die konsequente Umsetzung dieser Regeln ist massgebend, um die eine hohe Cyber Sicherheit  im Unternehmen zu gewährleisten. Regelmässige Schulungsveranstaltungen dienen dazu, die Mitarbeitenden darauf zu sensibilisieren und klare Handlungsanweisungen zu vermitteln. Um die  technischen Voraussetzungen bereitzustellen lohnt es sich, einen Managed IT Services Anbieter mit entsprechender Expertise beizuziehen.

Weiterführende Links zur Cyber Security.

 

 

Personal als IT-Risikofaktor - erhöhte IT-Sicherheit und Cybersecurity durch risikobewusstes Verhalten der Mitarbeitenden | care4IT | Managed IT Services | Zürich

Titelbild: Shutterstock 

Themen: IT-Sicherheit
Autor: Philipp Hollerer | 22. Februar 2018 | 10:32



Besuchen Sie mich auf:

IT-Blog für KMU abonnieren und auf dem neuesten Stand bleiben