1 25 Table of Contents 27 52

DAS QUARTAL 1.2020

A uch in diesen Weihnachtsferien hatten Unternehmerwieder genugGrund–und hoffentlich Zeit – zum Nachdenken über IT- Sicherheit.WiesehrdieamFaktorMenschhängt, zeigten zwei „Tagesschau“-Berichte. Kurz vor Jahresendehießeszuerst, imInternet sei eine riesigeSammlunggestohlenerZugangsdaten aufgetaucht:773MillionenMail-Adressenund 21 Millionen unterschiedliche Passwörter. Wenig später kam dann die Meldung, Lieb- lingspasswort des Jahres sei die Zahlenreihe „123456“ gewesen. Es folgten „123456789“ und„1234567“sowieaufPlatzfünf„password“. Angesichts solcher Fantasielosigkeit scheint es konsequent, dass zumindest Router in Kalifornienseit Jahresbeginnmit individuellen Passwörternausgeliefertwerdenmüssen.Oder dieNutzer durch technischeVoreinstellungen gezwungen werden, ein starkes Passwort festzulegen, bevor das Gerät in Betrieb gehen kann. Bei Microsoft stehen allzu simple Zu- gangscodesbereitslängeraufeinerschwarzen Liste. Auch andere Softwarehersteller oder Dienstleister verpflichten die Kunden, sichere Ziffern-Buchstaben-Zeichen-Kombinationen zu wählen. Um Hackern das Handwerk zu erschweren, kommt oft auchdieEmpfehlung: Das Passwort regelmäßig ändern. Passwort regelmäßig ändern kann zur IT-Sicherheit gehören Tatsächlich nutzen Cyberkriminelle immer raffiniertere Methoden, um Netzwerke zu kapern oder Zugangsdaten abzugreifen. Und Passwortdiebstahl nimmt zu. Insofern scheint es folgerichtig, dass jemand sein Passwort regelmäßig ändern soll, um privat oder im Unternehmen die IT-Sicherheit zu erhöhen. Allerdings sind persönliche Pass- wörter – gerade bei Firmennetzwerken – ein zwar wichtiger Sicherheitsaspekt, aber nur einer vonmehreren. Daher sollten Firmenchefs das Thema IT-Sicherheit möglichst breit betrachten, vom Einsatz von Verschlüsselungs- technologie bis zum Abschluss von Cy- berversicherungen. Und es zudem tief im Bewusstsein der Mitarbeiter sowie organi- satorisch im Betrieb verankern. Das erfordert eine scho- nungslose Bedrohungsaufklärung und trans- parenten Umgang mit dem Thema. Aber ebenso ein durchdachtes Sicherheitskon- zept, das über Einführungsschulungen sowie kontinuierliche Trainings alle Beschäftigten erreicht. Sinnvoll sind außerdemregelmäßige Penetrationstests: So zeigen sich technische Sicherheitslücken, aber auch menschliche Schwachstellen etwa in Form leicht zu erra- tender Passwörter. Die Ergebnisse könnten dann bei der Entscheidung helfen, ob Mitar- beiter wirklich ihr Passwort regelmäßig ändern sollten. Übrigens auch imHome-Office. Passwort regelmäßig ändern kann Sicherheit auch gefährden Ohne umfassende Strategie sowie Aufklä- rung zur IT-Sicherheit dürfte es aber kaum helfen, dass die Beschäftigten ihr Passwort regelmäßig ändern. Es bringt wenig, wenn die neue Ziffern-Buchstaben-Zeichen-Kombina- tion dann für jeden sichtbar per Klebezettel am Bildschirm hängt. Oder wenig einfalls- reich aus Namen der Haustiere und Geburts- tagen naher Verwandter besteht. Aber gerade auf solche Daten greifen viele Beschäftigte zurück, die sich zum regelmäßigen Ändern eines Zugangscodes genötigt sehen: Sie fürchten, durch den schnellen Wechsel der Kombinationen irgendwann die gerade gül- tige Version schlicht zu vergessen, weil sie ja immer wieder aufs Neue sicher und da- her komplex sein muss. Aus diesem Grund raten Experten zunehmend davon ab, dass man imBeruf wie imPrivaten sein Passwort regelmäßig ändern soll: Beim Kompromiss aus Passwort oft aktualisieren, neue Kom- bination ausdenken und keinen früheren Code verwenden bleibt rasch die Sicherheit auf der Strecke. Gewählt wird nämlich häufig eine weniger komplexe Variante, weil sie sich einfach besser merken lässt. Nach einem Datendiebstahl ist das Passwort ändern Pflicht Natürlich ist es nach einem Datendiebstahl unvermeidbar, das Passwort für den ge- hackten Account zu ändern. Und zu prüfen, ob sich aus dem erbeuteten Passwort auch Zugangscodes für andere Accounts des Op- fers ableiten lassen könnten. Dies ist etwa dann der Fall, wenn eine Mail-Adresse als Benutzername für den gehackten Account sowie auch weitere Onlinedienste gilt. Dann ist einer von zwei Faktoren – der Benutzerna- me – schon bekannt, und der Hacker muss nur noch beimPasswort ausprobieren. Dabei erleichtert die Verwendung einer identischen oder leicht variierten Ziffern-Buchstaben- Zeichen-Kombination den Cyberangriff. Ob Identitätsdaten erbeutet wurden, lässt sich etwa per HPI Identity Leak Checker des Has- so-Plattner-Instituts in Potsdamprüfen. Ge- nerell gilt: Ebenso wichtig, vermutlich sogar noch wichtiger als ein Passwort regelmäßig zu ändern, ist dessen gute Auswahl. Je si- cherer, also komplexer ein Passwort ist, desto seltener muss es gewechselt werden, falls es nicht leichtsinnig weitergegeben wird. Oder doch bei einer Attacke in falsche Hände gerät. Diese sechs Tipps für ein starkes Passwort beachten Tipps für ein starkes Passwort gibt das Bundesamt für Sicherheit in der Informati- onstechnik (BSI). ● Mindestens acht Zeichen verwenden. Sind Offline-Attacken ohne permanente Netzverbindung über längere Zeit möglich, sollten es mindestens 20 Zeichen sein. ● Alle verfügbaren Zeichen nutzen. Meistens sind Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen verwendbar. Umlaute gilt es zu vermeiden – sie erschweren den Zugriff aus Ländern, wo sich diese Zeichen nicht eingegeben lassen. ● Persönliches vermeiden. Das gilt etwa für die Namen von Familienmitgliedern, Haustieren oder beliebten Künstlern. Auch Geburtsdaten verbieten sich. ● Bekanntes ignorieren. Ungeeignet sind Begriffe, die im Wörterbuch stehen. Und gängige Tastaturmuster wie „asdfgh“ oder „1234abcd“. ● Kein simples Modifizieren. Wer eine Ziffer an ein Wort hängt oder ein Sonderzeichen an den Anfang stellt, stoppt Hacker nicht. ● Eselsbrücke bauen. Mit einer Hilfsstra- tegie sind der Kreativität keine Grenzen gesetzt. Man kann sich etwa einen gan- zen Satz als Passwort bauen, bei dem die Wörter durch Sonderzeichen verbunden sind. Beispiel: „Die?Sonne!scheint/“. Passwort regelmäßig ändern garantiert keine IT-Sicherheit Viele Firmenchefs wollen, dass Mitarbeiter ihr Passwort regelmäßig ändern. Man könnte aber auch einen richtig starken Code wählen und den dann gut schützen. Diese und andere Tipps sollten Unternehmer als Teil der IT-Sicherheitsstrategie regelmäßig in Trainings weitergeben. Text: Frank Wiercks DAS QUARTAL 1.20 26 Themen im Fokus Quelle: www.trialog-unternehmerblog.de Herausgeber: DATEV eG, Nürnberg

RkJQdWJsaXNoZXIy MzgzNDE=