LastPass Studie bestätigt: Mitarbeiter benötigen weiterhin Aufklärung Bei Passwortnutzung
Ein Gastbeitrag von Gerald Beuchelt, CISO von LogMeIn / LastPass
Der Mensch bleibt auch 2020 das schwächste Glied in der Sicherheitsstrategie von Unternehmen. Vor allem sein laxer Umgang mit Passwörtern öffnet Hackern die Tür zu wichtigen Unternehmensdaten. Je mehr Passwörter genutzt und wiederverwendet werden, desto eher kommt es zu Datenverstößen. Betroffen sind laut einer aktuellen Studie von LastPass vor allem kleinere Unternehmen. Dabei lässt sich der Umgang mit Passwörtern schnell verbessern und damit die Datensicherheit erhöhen.
Passwörter gemeinsam zu nutzen oder wiederzuverwenden, ist in den meisten Unternehmen nach wie vor üblich. Im Durschnitt verwenden Mitarbeiter ein Passwort 13 Mal. Vor allem kleinere Unternehmen haben damit zu kämpfen. Das hat eine aktuelle Studie[1] des Passwortmanagers LastPass zum Gebrauch von Passwörtern am Arbeitsplatz ergeben. Es gibt auch signifikante Branchenunterschiede. In der Medien- und Werbebranche sind die meisten Passwörter im Umlauf mit durchschnittlich 97, in der öffentlichen Verwaltung sind es mit 54 die wenigsten.
Bedenkt man, dass Datenverstöße in der digitalen Welt an der Tagesordnung sind und sich nachweislich 80 Prozent der Datenschutzverletzungen auf schwache und mehrfach verwendete Passwörter zurückführen lassen, sollten Mitarbeiter immer wieder zu Passworthygiene informiert werden. Fünf einfache Tipps helfen, die Herausforderung „sicheres Passwortmanagement“ anzugehen.
Tipp 1: Je länger und komplexer, desto sicherer
Menschen haben Angst, Passwörter zu vergessen. Daher nutzen sie möglichst einfache und für sie nachvollziehbare Passwörter zum Schutz ihrer Accounts. Diese lassen sich jedoch von Hackern in kürzester Zeit entschlüsseln. Auch Sonderzeichen und Groß-/Kleinschreibung machen Passwörter nicht komplexer. Doch je länger und komplexer das Passwort ist, umso länger benötigt eine Hacker-Software zur Entschlüsselung. Eine zusätzliche Sicherheitsebene ergibt sich durch Verwendung einer Multi-Faktor-Authentifizierung (MFA) – beispielsweise mit FaceID. Wird das eigene Kennwort geknackt, müsste der Hacker diese Authentifizierungsanforderung zusätzlich umgehen. Nutzer sollten, soweit möglich, ihren Konten immer eine MFA hinzufügen.
Tipp 2: Für jedes Konto ein einzigartiges Passwort anlegen
Bedenkt man, dass Mitarbeiter im Durchschnitt etwa sechs Passwörter mit ihren Kollegen[2] teilen, erhöht sich die Gefahr von Datenlecks zusätzlich. Hinzu kommt, dass selten zwischen Passwörtern für private und berufliche Logins unterschieden und damit die Vorgehensweise der Hacker unterschätzt wird. Wird beispielsweise ein Konto des Nutzers gehackt, und die Spionagesoftware sucht nach weiteren Informationen, könnte der Angreifer auf die mitgenutzten Passwörter des Kollegen stoßen und dessen Konten ebenfalls infiltrieren und weitere Unternehmensinformationen abgreifen. Daher ist es unerlässlich, für jedes Konto ein einzigartiges Passwort zu generieren.
Tipp 3: Passwörter nur im Falle eines Hacks ändern
Hat der Nutzer ein sicheres, also langes und komplexes Passwort gewählt, braucht er seine Passwörter nicht mehr zu ändern. In vielen Unternehmen fordert die IT-Abteilung die Mitarbeiter zwar regelmäßig dazu auf, die Passwörter zu wechseln. Das führt aber eher zu weniger Sicherheit: Die Mitarbeiter ändern ihr altes Passwort nur geringfügig, um es sich weiter merken zu können. Selbst das Bundesamt für Sicherheit in der Informationstechnik (BSI) rückt aktuell von dem Tipp ab, Passwörter regelmäßig zu ändern. Wenn auf einem Account ein Eingriff festgestellt wurde, ist ein Wechsel allerdings dringend erforderlich.
Tipp 4: Nur Passwortmanager ermöglichen Erstellung und Verwaltung einzigartiger, langer und komplexer Passwörter
Die Einführung eines Passwortmanagers ist der erste Schritt zur Datensicherheit. Damit lassen sich einzigartige, lange und komplexe Passwörter für jedes einzelne Online-Konto erstellen und auf sichere Weise speichern. Auf Wunsch ersetzt er automatisch alle bisher genutzten Passwörter; jedes Konto bekommt also ein einzigartiges Passwort zugewiesen. Die genutzten Passwörter sind zentral gespeichert und verschlüsselt abgelegt – unzugänglich für unbefugten Zugriff. Sie können selbst vom Provider nicht eingesehen werden. So haben Nutzer ihre Passwörter nachhaltig im Griff und ihre Daten vor externem Zugriff geschützt. Über das integrierte Dashboard lassen sich alle Passwörter intelligent und einfach verwalten. In den virtuellen Tresor kommen die User nur mit einem Masterpasswort hinein, das der Nutzer einmalig erzeugt. Er muss sich also zukünftig nur noch ein Passwort anstatt 97 verschiedene merken. LastPass bietet mittlerweile sogar eine passwortlose Authentifizierung für Unternehmenskunden an.
Tipp 5: Aufklärung zu Cybersicherheit gehört zur Unternehmenskultur
Passwortmanager sind wichtig. Sie schützen aber nur so effizient, wie sie von den Mitarbeitern genutzt und den IT-Administratoren verwaltet werden. Die erfolgreiche Implementierung eines Passwortmanagers im Unternehmen bildet nur den Anfang. Für eine gleichbleibend starke Passwortsicherheit ist der begleitende Change-Prozess ausschlaggebend. Ein transparenter Umgang mit dem Thema Sicherheit im Unternehmen ist unerlässlich und fängt bei der frühzeitigen Aufklärung der Mitarbeiter an. Nur wenn sie die Vorteile der Nutzung eines Passwortmanagers für sich erkennen, machen sie auch mit. Mit regelmäßigen Trainings zu Sicherheitsrichtlinien und aktuellen Bedrohungen lässt sich ihr Sicherheitsbewusstsein weiter festigen. Reporting-Tools, die der Passwortmanager bereitstellt, helfen den IT-Administratoren, die Fortschritte in Sachen Passwortsicherheit zu dokumentieren. So lassen sich Sicherheitslücken wie schwache oder wiederverwendete Passwörter, niedrige Sicherheits- und Passwortqualitätswerte oder inaktive Konten aufspüren und beheben.
[1] Bereits zum dritten Mal hat der Business-Passwortmanager LastPass seinen Globalen Passwort Sicherheitsreport veröffentlicht. Er zeigt den aktuellen Stand der Passwortnutzung am Arbeitsplatz bei mehr als 47.000 Unternehmen – darunter auch aus der Medien- und Werbebranche.
[2] Ergebnis des Dritten jährlichen globalen Passwortsicherheits Report 2019