Würden Sie wildfremden Menschen den Schlüssel zu Ihrer Eingangstür anvertrauen? Ganz sicher nicht. Das Problem: Indem Sie einen der 3 in diesem Beitrag beschriebenen Fehler begehen, tun Sie praktisch das Gleiche umgelegt auf das Internet und öffnen Hackern Tür und Tor.
In diesem Blogbeitrag erfahren Sie, worauf Sie bei der Passwortverwaltung in Ihrem Unternehmen achten müssen und wie Sie sich bestmöglich schützen können.
Hier ein kurzer Überblick des Artikels:
- Was versteht man unter Passwortverwaltung?
- Welche 3 Fehler müssen Sie vermeiden?
- Mit welchen Maßnahmen schützen Sie Ihre Firma bestmöglich?
- Wie prüfen Sie, ob ein Passwort gehackt wurde?
Dieser Beitrag wurde am 27. November 2021 aktualisiert.
Was ist Passwortverwaltung in Unternehmen?
Passwortverwaltung umfasst alle Schritte in einem Unternehmen, die mit der Erstellung oder Aufbewahrung von Passwörtern in Verbindung stehen.
Das Ziel von Passwortverwaltung muss es sein, dass …
- … alle in der Firma verwendeten Passwörter sicher sind
- … alle berechtigten Mitarbeiter auf die Passwörter zugreifen bzw. sich in die entsprechenden Accounts einloggen können.
- … keine unberechtigten Personen (z.B. Hacker) Zugriff auf die Passwörter erhalten können.
Wie die folgenden 3 häufigen Fehler zeigen, wird die Erreichung dieser Ziele jedoch in der Praxis häufig leichtfertig gefähdet.
Diese 3 Fehler müssen Sie bei der Passwortverwaltung vermeiden
Die “haarsträubendsten” Fehler, die Unternehmer in der IT begehen und die ich in meinem Alltag als EDV-Betreuer beinahe wöchentlich sehe, betreffen (fast) alle den Umgang mit Passwörtern. Die 3 meiner Meinung nach schwerwiegendsten Fehler habe ich Ihnen hier zusammengefasst:
Fehler 1: Erstelltes Passwort ist unsicher
Wussten Sie: Ein fünfstelliges Passwort ohne Zahl, Sonderzeichen, oder Großbuchstaben (also z.B. katze) kann in weniger als 2 Minuten geknackt werden. Dafür muss man kein Profi-Hacker sein, sondern Apps, die jeder um 17 € im Internet kaufen kann, reichen dafür aus.
Daher sollten Sie folgende 4 Fehler bei der Passworterstellung unbedingt vermeiden:
- Echte Wörter oder Namen verwenden
- Jahreszahlen verwenden
- Einfache Zahlenkombinationen, wie z.B. 12345, verwenden
- Passwort wird nie geändert
Fehler 2: Passwörter werden ungeschützt gespeichert bzw. aufbewahrt
Sie haben Probleme, sich all Ihre Passwörter zu merken? Sie legen deshalb Passwortlisten in Word bzw. Excel an oder haben ausgedruckte Passwortlisten herumliegen?
Dadurch begehen Sie einen folgenschweren Fehler. Denn für Hacker und Einbrecher ist es ein Leichtes, solche Listen zu erbeuten und deshalb sind solche Aufbewahrungsmethoden sehr unsicher.
Fehler 3: Gleiches Passwort für mehrere Accounts
Damit Sie sich all Ihre Passwörter leicht merken können, haben Sie sich ein einziges für alle Accounts zurechtgelegt?
ACHTUNG: Besonders in Kombination mit den ersten beiden Punkten hat dieser Fehler verheerende Auswirkungen.
Wenn das Passwort geknackt wird, haben Hacker freien Zugriff auf all Ihre Accounts und Plattformen. So können die Cyberkriminellen unbehelligt Schaden anrichten.
Zum Beispiel könnte Ihre Webseite morgen gelöscht oder sensible Kundendaten gestohlen werden.
Solche Datenlecks können hohe finanzielle Schäden verursachen und haben bereits einige Unternehmer in den Konkurs geschickt. Zudem wurde die Reputation des Unternehmens stark beschädigt.
Mit diesen 3 Maßnahmen schützen Sie Ihre Passwörter bestmöglich
Obwohl einhundertprozentiger Schutz nie erreicht werden kann, senken Sie Ihr Risiko eines geknackten Passworts mit den folgenden 3 Maßnahmen um mehr als 90 %.
Das beste: Um meine Vorschläge umzusetzen, müssen Sie nicht Tausende Euro investieren oder ein IT-Profi sein. Alle 3 Punkte lassen sich für wenig Geld und auch ohne EDV-Ausbildung umsetzen.
Maßnahme 1: Setzen Sie auf 2 Faktor Authentifizierung
Um wichtige Accounts noch effektiver zu schützen, bietet sich eine sogenannte 2 Faktor Authentifizierung an.
Bei dieser besonders sicheren Verschlüsselungsart gibt es neben dem Passwort noch eine zweite Verschlüsselungsform wie zum Beispiel Gesichtserkennung, Fingerprint oder einen Code, der nur kurze Zeit gültig ist und per SMS verschickt wird.
Diese Verschlüsselungsform lässt sich bei vielen bestehenden Accounts auch nachträglich aktivieren. Obwohl diese zweistufige Anmeldung häufig als “lästig” empfunden wird, sollten Sie sie dennoch verwenden.
Denn selbst wenn ein Hacker eines Ihrer Passwörter erbeutet, kann er sich nicht anmelden und keinen Schaden anrichten.
Maßnahme 2: Speichern Sie Ihre Kennwörter mithilfe eines Passwort-Managers
Ein Passwortmanager ist ein Software-Tool, das Ihnen beim sicheren Erstellen und Aufbewahren von Passwörtern hilft.
Für die Erstellung von entsprechenden Passwörtern ist meistens ein sogenannter Passwortgenerator inkludiert. Dieser Generator erstellt nach dem Zufallsprinzip Buchstaben- und Zahlenkombinationen, welche die in Maßnahme 3 aufgelisteten Kriterien erfüllen.
Die bereits erwähnte 2 Faktor Authentifizierung ist bei einigen gängigen Passwortmanagern (z.B. True Key) ebenfalls dabei. Ein Punkt auf den Sie achten müssen ist, dass die Passwörter beim Abspeichern durch den Passwortmanager verschlüsselt werden.
Ein Passwortmanager garantiert so bestmögliche Datensicherheit für Ihr Unternehmen und die unter Fehler 2 erwähnten, unsicheren Excel-Listen haben endgültig ausgedient.
Ein weiterer Vorteil: Sie können Passwörter für bestimmte Accounts einfach an Ihre Mitarbeiter freigeben, ohne ihnen das Passwort verraten oder gar ungesichert per E-Mail schicken zu müssen.
Maßnahme 3: Erstellen Sie nur Passwörter, die diese 5 Kriterien erfüllen
Um ein sicheres Passwort zu erstellen, sollten Sie folgende Kriterien beachten:
- Mindestens 8 bis 10 Zeichen
- Mindestens 1 Sonderzeichen (Bindestrich, Unterstrich, etc.)
- Mindestens 1 Zahl
- Mindestens 1 Großbuchstabe
- Verwenden Sie für jeden Account ein eigenes Passwort
Um dies an einem Beispiel zu veranschaulichen: Das Passwort afR2_7HCE erfüllt die oben angesprochenen Kriterien. Niemand kann es aufgrund Ihres Namens oder Ihrer Vorlieben erraten. Wird es zudem nur für einen Account verwendet, minimieren Sie Ihren Schaden, falls das Passwort doch einmal gehackt werden sollte.
So prüfen Sie, ob Ihre Passwörter schon gehackt wurden
Auch wenn Sie aktuell noch keine Daten vermissen oder eine E-Mail von einem Erpresser bekommen haben, können Sie dennoch bereits Opfer eines Hackerangriffs geworden sein.
Überprüfen können Sie dies zum Beispiel über folgende Seite: https://haveibeenpwned.com/.
Sie geben einfach Ihre Mailadresse ein und der Webservice durchsucht in einer eigenen Spamliste mit 7 Millionen Daten, ob Ihre Mailadresse darin aufscheint.
Erhalten Sie die Benachrichtigung: Oh no – pwned! Dann wurden Sie bereits gehackt.
Nun müssen Sie rasch handeln:
Ändern Sie Ihr Passwort auf allen Seiten, wo Sie einen Zugang haben. Achten Sie darauf immer jeweils eine individuelle E-Mail-Passwort-Kombination zu verwenden.
Da die Benachrichtigungen bei dieser Seite jedoch nur in Englisch verfügbar sind, möchten wir auch noch auf diese Seite verweisen: https://www.experte.de/email-check. Auf dieser Seite werden bei der Überprüfung Ihrer E-Mailadresse die gleichen 7 Millionen Datensätze untersucht. Jedoch sind hier die Ergebnisse auf Deutsch verfügbar.
Fazit: Passwortverwaltung wird zu oft auf die leichte Schulter genommen
In meinem Alltag als EDV-Betreuer begegne ich fast wöchentlich Unternehmern, die einen der drei in diesem Beitrag beschriebenen Fehler begehen. Glücklicherweise bleiben viele dieser Unvorsichtigkeiten folgenlos.
In einigen Fällen können diese Fehler allerdings schwerwiegende und existenzbedrohende Folgen haben: Hacker können beispielsweise in Ihr Netzwerk eindringen, wichtige Daten stehlen und Sie dann zu einer “Lösegeldzahlung” zwingen.
Bis zur Zahlung steht Ihr Unternehmen wahrscheinlich still und Sie verlieren Zehntausende Euro an entgangenen Einnahmen.
Aus diesem Grund muss das Thema “Passwörter” deshalb in jedem IT-Sicherheitskonzept detailliert geplant werden.
Wenn Sie noch weitere Fragen zum Thema Passworterstellung und Verwaltung haben, oder weitere wichtige Punkte hinzufügen wollen, nehmen Sie bitte Kontakt zu uns auf.
Sollten Sie zudem Beratung bei der Wahl eines Passwortmanagers benötigen, stehen wir Ihnen gerne als Ansprechpartner zur Verfügung. Rufen Sie dafür einfach unter +43 1 361 95 00 an oder schreiben Sie uns eine E-Mail an richard.schranz@rysit.at.
Wir von der RYSIT Consulting GmbH verstehen das Sicherheitsthema immer als essentiellen Bestandteil unserer EDV Betreuung. Daher hoffen wir, dass wir Ihnen mit diesem Beitrag geeignete Schutzmechanismen gegen diese Bedrohung nahebringen konnten.
Foto: ©pathdoc – fotolia.com