1 23 Table of Contents 25 52

DAS QUARTAL 2.2019

Werden Account-Daten erbeutet, müssen Sie zwingend Ihr Passwort ändern Millionen gestohlener E-Mail-Adressen, Log-in-Daten und Passwörter werden im Internet gehandelt. Wer betroffen ist, muss unbedingt sein Passwort ändern. Als weniger sinnvoll gilt die regelmäßige Änderung. Viele Nutzer ersetzen ohne Not starke Kombinationen durch schwache und notieren sie, um sie nicht zu vergessen. Text: FRANK WIERCKS M it schöner Regelmäßigkeit erschrecken MeldungenübermassenhaftenDaten- diebstahl dieÖffentlichkeit:Mitte2017 fanden sich fast 500Millionen E-Mail-Adressen und PasswörterfürverschiedeneOnline-Angebote imNetz. Ende 2018 entwendetenHacker bei einer US-Hotelkette die Daten von rund 500 Millionen Gästen, darunter E-Mail-Adresse, Passnummer undGeburtsdatum. ImJanuar tauchten rund 800 Millionen gestohlene Log-in-Informationen in Form von E-Mail- Adressen und Passwörtern im Internet auf – darunter 21 Millionen im Klartext lesbare Passwörter. Besonders diese Kombination ist gefährlich: Wer eine verifizierte E-Mail- Adresse sowie das dazugehörige Passwort erbeutet, kann bei verschiedenen Diensten ausprobieren, ob er damit Zugang zu einem möglicherweiseexistierendenAccount erhält. Darum sollte jeder für seine bestehenden E-Mail-Adressen – die oft als Zugang zu Online-Accounts dienen – überprüfen, ob jemand Identitätsdatenausspioniert hat. Das geht ganz leicht im Internet, etwa mithilfe des HPI Identity Leak Checker vomHasso- Plattner-Institut. Gilt die E-Mail-Adresse dort als kompromittiert, gibt es nur eins: Passwort ändern. Nach einem Datendiebstahl ist Passwort- ändern Pflicht Unternehmer sollten das Thema nicht als reine Privatsache abtun: Erstens sind auch Online-Dienste betroffen, die Fir- menkunden nutzen. Zweitens geben vie- le Mitarbeiter bei Online-Accounts ihre Firmen-E-Mail-Adresse an, sei es für be- rufliche oder private Aktivitäten. Nach Da- tenpannen dürften also E-Mail-Adressen des Unternehmens inklusive Passwort im Netz kursieren. Solche Informationen lie- fern Cyberkriminellen schon Ansatzpunk- te für Attacken auf die Firmen-IT. Oder für Erpressungsversuche beziehungsweise Manipulationsversuche bei Mitarbeitern in Form von Social Engineering. Jeder Un- ternehmer sollte seine Beschäftigten auf- fordern, ihre Firmen- wie auch ihre privaten E-Mail-Adressen zu checken. Und wenn sie erbeutet wurden: Passwort ändern. Auch das gehört zu den vielen Maßnahmen, mit denen sich die IT-Sicherheit im Unterneh- men erhöhen lässt – wenn man sich kon- sequent daran hält. Private Nutzung der Firmen-E-Mail-Ad- resse untersagen Am besten wäre es aber, das Risiko einer kompromittierten Firmen-E-Mail-Adresse über eine Betriebsvereinbarung zu reduzie- ren. Ein Unternehmer kann den Mitarbeitern durchaus untersagen, während der Arbeits- zeit zu surfen oder die Firmen-Adresse für private Accounts zu nutzen. Das ist schon wegen des Datenschutzes wichtig: Fällt ein Mitarbeiter aus, der seinen Firmen-Account privat nutzt, gelten Fernmeldegeheimnis und Datenschutz für die Inhalte – auf den gesamten Account darf niemand so ein- fach zugreifen. Vielen Chefs geht es aller- dings derzeit noch eher um das Verbot von exzessivem Computerspielen. Am besten lassen Unternehmer so eine Betriebs- vereinbarung vom Anwalt aufsetzen. Der formuliert eine rechtssichere Anlage zum Arbeitsvertrag, die arbeitsrechtliche Vorga- ben und betriebliche Interessen in Einklang bringt. Sie sollte auch Vorgaben zu „Bring Your Own Device“ (BYOD) enthalten, dem Einsatz privater Mobilgeräte für berufliche Zwecke im Firmennetzwerk. Keine Vorschrift zur regelmäßigen Pass- wortänderung machen Eine Vorschrift, dass Mitarbeiter regelmä- ßig das Passwort ändern müssen, emp- fiehlt sich nicht. Experten raten, starke Passwörter nur zu ändern, falls sie öffent- lich geworden sein könnten. Das sei besser, als regelmäßig neue Ziffern-Buchstaben- Sonderzeichen-Kombinationen zu suchen. Die erzwungene Aktualisierung führe oft zu unsicheren Passwörtern, weil man sich starke Kombinationen nicht immer wieder neu merken kann. Oder – auch keine Alter- native – das Passwort wird aufgeschrieben und an den Bildschirm geklebt. Tipps für ein gutes Passwort liefert das Bundesamt für DAS QUARTAL 2.19 24 THEMEN IM FOKUS

RkJQdWJsaXNoZXIy MzgzNDE=