Cyber Security: 8 Regeln für den sicheren Umgang mit Login-Daten

Keys and Golden Keyring with the Word Code over Black Wooden Table with Blur Effect. Toned Image..jpeg

Obwohl es heute hinreichend bekannt sein sollte, dass Passwörter hohen Sicherheitsansprüchen genügen müssen, wählen Nutzer immer noch einfach zu erratende Zeichenfolgen und gefährden so die Cyber Security des Unternehmens.  Das Hasso-Plattner-Institut in Potsdam hat im Rahmen einer Studie eine Rangliste der weltweit meistgenutzten Passwörter erstellt.

Login-Daten mit hohem Sicherheitsrisiko

Zur Analyse der Login-Daten wurden 1 Milliarde Nutzerkonten überprüft, die aus 31 Datenlecks stammen. Unter den gehackten deutschen Top-10 finden sich einfach zu erratende Kombinationen, wie «123456» (meistgenutzt), «hallo», «passwort», «hallo123» oder Zeichenkombinationen wie «qwertz» gemäss der Tastenreihenfolge auf der Computertastatur. Bei diesen einfach vorhersehbaren Passwörtern, ist es für Cyberkriminelle ein leichtes Spiel in ein Computersystem einzudringen.

Was für die Wahl eines sicheren Passworts wichtig ist, gilt auch für Nutzernamen. Oft verwendete Bezeichnungen, wie «administrator», «userid», «user1» oder «demo», sind Angreifern bestens bekannt und stellen daher ebenfalls ein Sicherheitsrisiko dar.

Wirkungsvolle Login-Daten

Die Zugriffsdaten sind dann wirkungsvoll, wenn sie den Zugang für Unbefugte tatsächlich verhindern. Um dies zu erzielen, müssen sie von den Mitarbeitenden so angelegt und aufbewahrt werden, dass sie ausschliesslich dem autorisierten Nutzer selbst den Zugang zu den entsprechenden Daten oder IT-Umgebungen ermöglichen. Mit folgenden 8 Regeln erhöhen Sie die Sicherheitsstufe von Passwort und Nutzernamen und damit die Cyber Security im Unternehmen:

  1. Sichere Passwortlänge wählen
    Sichere Passwörter haben eine Länge von mehr als 12 Zeichen.

  2. Komplizierte Passwörter wählen
    Sichere Passwörter bestehen aus einer Kombination von Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen (*, %, &, $, @ etc.).

  3. Keine persönlichen Informationen anwenden
    Persönliche Angaben sind für professionelle Angreifer einfach zu ermitteln. Login-Daten sollen daher keine persönlichen Informationen wie Geburtsdaten, Namen von Familienmitgliedern, Haustieren oder Sportarten enthalten.

  4. Verschiedene Passwörter verwenden
    Für verschiedene Zugänge sind unterschiedliche Passwörter zu wählen. Kein Passwort mehrfach verwenden.

  5. Passwörter ändern
    Die Passwörter mindestens alle 3 Monate ändern, um allfällig erfolgte unbemerkte Zugriffe zu blockieren.

  6. Passwort Manager nutzen
    Damit sich Mitarbeitende nur ein einziges Passwort merken müssen, empfiehlt sich der Einsatz eines Passwort Managers wie Pleasant Password Server.

  7. Eigenen Nutzernamen überprüfen
    Wenn als Nutzername aufgrund der gewählten IT-Plattform die eigene E-Mail-Adresse verwendet werden muss, sollte deren Sicherheit überprüft werden. Mit dem HPI Identity Leak Checker des Hasso-Plattner-Instituts lässt sich ermitteln, ob die eigene E‑Mailadresse in Verbindung mit anderen persönlichen Daten (z.B. Telefonnummer, Geburtsdatum oder Adresse) im Internet offengelegt wurde und missbraucht werden könnte.

  8. Login-Benachrichtigung aktivieren
    Die Login-Benachrichtigung informiert via SMS oder E-Mail, wenn sich jemand mit dem eigenen Nutzernamen Zugriff verschafft.

Eine noch höhere Sicherheitsstufe wird erreicht, wenn eine Zwei-Faktor-Authentifizierung (2FA) aktiviert ist. Diese kombiniert die Login-Daten mit einem zusätzlichen Passcode, der sich bei jedem Login ändert und zur erhöhten Sicherheit via SMS auf das eigene Mobiltelefon übermittelt wird.

Die konsequente Umsetzung dieser Regeln ist massgebend, um die eine hohe Cyber Sicherheit  im Unternehmen zu gewährleisten. Regelmässige Schulungsveranstaltungen dienen dazu, die Mitarbeitenden darauf zu sensibilisieren und klare Handlungsanweisungen zu vermitteln. Um die  technischen Voraussetzungen bereitzustellen lohnt es sich, einen Managed IT Services Anbieter mit entsprechender Expertise beizuziehen.

Weiterführende Links zur Cyber Security.

 

 

Personal als IT-Risikofaktor - erhöhte IT-Sicherheit und Cybersecurity durch risikobewusstes Verhalten der Mitarbeitenden | care4IT | Managed IT Services | Zürich

Titelbild: Shutterstock 

Themen: IT-Sicherheit
Autor: Philipp Hollerer | 22. Februar 2018 | 13:25



Besuchen Sie mich auf:

IT-Blog für KMU abonnieren und auf dem neuesten Stand bleiben