Passwort-Management ist unverzichtbar
Effiziente Verwaltung von Passwörtern in Unternehmen minimiert Sicherheitsrisiken - Zu viele komplexe Passwörter und nachlässiger Umfang mit Log-in-Daten
Biometrische Authentifizierungsverfahren können Passwörter nicht ersetzen
(29.08.14) - Passwörter und Verschlüsselung spielen eine zentrale Rolle, wenn es um den Schutz vertraulicher Informationen geht, und das seit langem. Bereits 400 vor Christus setzten Offiziere des griechischen Stadtstaates Sparta so genannte Skytale ein, um Nachrichten zu verschlüsseln. Das waren Holzstäbe, um die ein Band aus Pergament oder Leder gewickelt wurde. Darauf schrieben die Spartaner längs des Stabes die Botschaft, nahmen das Band ab und übergaben es einem Boten. Nur wenn der Empfänger den Streifen um einen Holzstab mit denselben Maßen wickelte, konnte er die Nachricht lesen.
Das Problem: Jeder muss sich zig Passwörter merken.
Dennoch gerät das Passwort immer wieder unter Beschuss. So führen Kritiker an, dass es unmöglich sei, sich Dutzende komplizierter Passwörter zu merken und sie auf sichere Weise aufzubewahren. Das IT- und Online-Zeitalter hat es nun einmal mit sich gebracht, dass jeder Nutzer etliche Accounts und damit Passwörter besitzt – privat und beruflich. Deshalb häufen sich Fälle, in denen Cyber-Kriminelle Passwörter oder ganze "digitale Identitäten" stehlen und anschließend Geschäftsdaten "absaugen" oder Bankkonten plündern.
Zu den Konkurrenten des Passwortes zählen biometrische Verfahren, etwa das Scannen von Fingerabdrücken und der Iris des Auges oder das Erfassen der Gesichtsphysiognomie. Ein weiterer Ansatz ist die Multi-Faktor-Authentifizierung. Sie kombiniert mehrere Verfahren wie den Einsatz eines Tokens und eines Passworts. Neue Techniken setzen auf Smart Watches.
Allerdings haben auch solche Ansätze Schwächen. So überlisteten Forscher ein System für die Gesichtserkennung mithilfe von Handy-Fotos von registrierten Usern. Außerdem verursachen neue Technologien oft höhere Kosten, weil sie spezielle Hard- und Software erfordern und aufwändig in IT-Umgebungen integriert werden müssen.
Nicht Passwörter sind das Problem, sondern deren Management
Bei der "Revolte" gegen Passwörter wird zudem eines übersehen: Nicht die Passwörter sind das Problem, sondern ein unzureichendes Passwort-Management. Weil sich die wenigsten User komplexe Codes merken können, greifen sie zu fragwürdigen Hilfsmitteln. Sie nutzen für mehrere Accounts dieselben Passwörter oder verwenden Begriffe, die leicht zu erraten sind, etwa ihren Namen.
Eine weitere Unart ist, dass Nutzer Log-in-Daten oft in ungeschützten Text-Dateien auf Rechnern oder Mobilgeräten speichern, oder sie schreiben sie auf Haftzettel und kleben diese an den Monitor. In Unternehmen tauschen Mitarbeiter zudem häufig Passwörter aus, für den Fall, dass man auf den Account eines Kollegen zugreifen muss, wenn der in Urlaub ist.
Selbst IT-Abteilungen geben oft kein gutes Beispiel ab. Sie speichern Passwörter mitunter in ungeschützten Excel-Tabellen. Teilweise kommen sogar "physische" Speichermedien wie gedruckte Listen zum Einsatz. Hinzu kommt, dass IT-Abteilungen oft Hunderte von Account-Daten von Nutzern mit privilegierten Zugriffsrechten verwalten müssen. Das sind beispielsweise User, die auf Verzeichnisse mit sensiblen Daten zugreifen dürfen. Deren Zugriffsdaten werden meist in einer "Shared"-Umgebung verwaltet, zu der mehrere Administratoren Zugang haben.
Lesen Sie zum Thema "Security-Management auch: IT SecCity.de (www.itseccity.de)
Es fehlt ein wirkungsvolles Passwort-Management
In der Praxis fehlt es oft an Verfahren, mit denen sich der Zugriff auf solche Account-Daten und Passwörter kontrollieren lässt. In Verbindung mit anderen Unarten, etwa dem Austausch von Passwörtern, stellen diese Praktiken ein Sicherheitsrisiko dar. Denn Cyber-Kriminelle verfügen über probate Angriffstechniken, um sich Passwörter von "normalen" Mitarbeitern und solchen mit erweiterten Zugriffsrechten wie IT-Administratoren zu verschaffen. Dazu gehören Spam- und Phishing-E-Mails, Keylogger, die Tastatureingaben erfassen, und Remote-Access-Trojaner (RAT).
Wurde das Passwort eines Mitarbeiters ausgespäht, kann der Angreifer verwertbare Informationen wie Kundendaten und Entwicklungsunterlagen abgreifen oder Sabotage-Aktionen durchführen. Es sind jedoch beileibe nicht nur "böse" externe Hacker, die eine Gefahr darstellen. Unterschätzt werden oft illegale oder fahrlässige Aktivitäten eigener Mitarbeiter.
Tipps: Richtiger Umfang mit Passwörtern
Doch was tun? Hilfreich ist in jedem Fall der Einsatz von Passwort-Management-Lösungen. Zudem ist eine effektive interne Kontrolle unverzichtbar: Nur diejenigen Mitarbeiter, die entsprechende Daten und Anwendungen für ihre Tätigkeit benötigen, dürfen darauf zugreifen. Ein Ansatz nach dem Motto "Jeder darf alles" ist ein Sicherheitsrisiko. Zudem sollten Sicherheits- und Management-Tools eingesetzt werden, die transparent machen, wer wann auf welche Ressourcen zugegriffen hat.
Empfehlenswert ist außerdem, die Weitergabe und gemeinsame Nutzung von Passwörtern und Log-in-Daten detailliert zu regeln. Ergänzend dazu sind Maßnahmen anzuraten, die eigentlich Bestandteile jedes Passwort-Managements sein sollten, etwa der Einsatz starker Passwörter und deren regelmäßiger Wechsel. Das mag für User nervig sein, ist aber aus Sicherheitsgründen dringend geboten.
Am wichtigsten ist jedoch, die gebotene Vorsicht walten zu lassen. Ein Großteil der Datenlecks und Sicherheitsprobleme in Unternehmen ist auf einen zu laxen Umgang mit Sicherheitsregeln und eine mangelnde Kontrolle zurückzuführen. Oft werden Passwörter dafür verantwortlich gemacht. In Wirklichkeit ist es jedoch ein fehlendes oder unzureichendes Passwort-Management. (ManageEngine: ra)
ManageEngine: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>