Sie sind hier: Home » Markt » Hinweise & Tipps

Passwort-Management ist unverzichtbar


Effiziente Verwaltung von Passwörtern in Unternehmen minimiert Sicherheitsrisiken - Zu viele komplexe Passwörter und nachlässiger Umfang mit Log-in-Daten
Biometrische Authentifizierungsverfahren können Passwörter nicht ersetzen

(29.08.14) - Passwörter und Verschlüsselung spielen eine zentrale Rolle, wenn es um den Schutz vertraulicher Informationen geht, und das seit langem. Bereits 400 vor Christus setzten Offiziere des griechischen Stadtstaates Sparta so genannte Skytale ein, um Nachrichten zu verschlüsseln. Das waren Holzstäbe, um die ein Band aus Pergament oder Leder gewickelt wurde. Darauf schrieben die Spartaner längs des Stabes die Botschaft, nahmen das Band ab und übergaben es einem Boten. Nur wenn der Empfänger den Streifen um einen Holzstab mit denselben Maßen wickelte, konnte er die Nachricht lesen.

Das Problem: Jeder muss sich zig Passwörter merken.
Dennoch gerät das Passwort immer wieder unter Beschuss. So führen Kritiker an, dass es unmöglich sei, sich Dutzende komplizierter Passwörter zu merken und sie auf sichere Weise aufzubewahren. Das IT- und Online-Zeitalter hat es nun einmal mit sich gebracht, dass jeder Nutzer etliche Accounts und damit Passwörter besitzt – privat und beruflich. Deshalb häufen sich Fälle, in denen Cyber-Kriminelle Passwörter oder ganze "digitale Identitäten" stehlen und anschließend Geschäftsdaten "absaugen" oder Bankkonten plündern.

Zu den Konkurrenten des Passwortes zählen biometrische Verfahren, etwa das Scannen von Fingerabdrücken und der Iris des Auges oder das Erfassen der Gesichtsphysiognomie. Ein weiterer Ansatz ist die Multi-Faktor-Authentifizierung. Sie kombiniert mehrere Verfahren wie den Einsatz eines Tokens und eines Passworts. Neue Techniken setzen auf Smart Watches.

Allerdings haben auch solche Ansätze Schwächen. So überlisteten Forscher ein System für die Gesichtserkennung mithilfe von Handy-Fotos von registrierten Usern. Außerdem verursachen neue Technologien oft höhere Kosten, weil sie spezielle Hard- und Software erfordern und aufwändig in IT-Umgebungen integriert werden müssen.

Nicht Passwörter sind das Problem, sondern deren Management
Bei der "Revolte" gegen Passwörter wird zudem eines übersehen: Nicht die Passwörter sind das Problem, sondern ein unzureichendes Passwort-Management. Weil sich die wenigsten User komplexe Codes merken können, greifen sie zu fragwürdigen Hilfsmitteln. Sie nutzen für mehrere Accounts dieselben Passwörter oder verwenden Begriffe, die leicht zu erraten sind, etwa ihren Namen.

Eine weitere Unart ist, dass Nutzer Log-in-Daten oft in ungeschützten Text-Dateien auf Rechnern oder Mobilgeräten speichern, oder sie schreiben sie auf Haftzettel und kleben diese an den Monitor. In Unternehmen tauschen Mitarbeiter zudem häufig Passwörter aus, für den Fall, dass man auf den Account eines Kollegen zugreifen muss, wenn der in Urlaub ist.

Selbst IT-Abteilungen geben oft kein gutes Beispiel ab. Sie speichern Passwörter mitunter in ungeschützten Excel-Tabellen. Teilweise kommen sogar "physische" Speichermedien wie gedruckte Listen zum Einsatz. Hinzu kommt, dass IT-Abteilungen oft Hunderte von Account-Daten von Nutzern mit privilegierten Zugriffsrechten verwalten müssen. Das sind beispielsweise User, die auf Verzeichnisse mit sensiblen Daten zugreifen dürfen. Deren Zugriffsdaten werden meist in einer "Shared"-Umgebung verwaltet, zu der mehrere Administratoren Zugang haben.

Lesen Sie zum Thema "Security-Management auch: IT SecCity.de (www.itseccity.de)

Es fehlt ein wirkungsvolles Passwort-Management
In der Praxis fehlt es oft an Verfahren, mit denen sich der Zugriff auf solche Account-Daten und Passwörter kontrollieren lässt. In Verbindung mit anderen Unarten, etwa dem Austausch von Passwörtern, stellen diese Praktiken ein Sicherheitsrisiko dar. Denn Cyber-Kriminelle verfügen über probate Angriffstechniken, um sich Passwörter von "normalen" Mitarbeitern und solchen mit erweiterten Zugriffsrechten wie IT-Administratoren zu verschaffen. Dazu gehören Spam- und Phishing-E-Mails, Keylogger, die Tastatureingaben erfassen, und Remote-Access-Trojaner (RAT).

Wurde das Passwort eines Mitarbeiters ausgespäht, kann der Angreifer verwertbare Informationen wie Kundendaten und Entwicklungsunterlagen abgreifen oder Sabotage-Aktionen durchführen. Es sind jedoch beileibe nicht nur "böse" externe Hacker, die eine Gefahr darstellen. Unterschätzt werden oft illegale oder fahrlässige Aktivitäten eigener Mitarbeiter.

Tipps: Richtiger Umfang mit Passwörtern
Doch was tun? Hilfreich ist in jedem Fall der Einsatz von Passwort-Management-Lösungen. Zudem ist eine effektive interne Kontrolle unverzichtbar: Nur diejenigen Mitarbeiter, die entsprechende Daten und Anwendungen für ihre Tätigkeit benötigen, dürfen darauf zugreifen. Ein Ansatz nach dem Motto "Jeder darf alles" ist ein Sicherheitsrisiko. Zudem sollten Sicherheits- und Management-Tools eingesetzt werden, die transparent machen, wer wann auf welche Ressourcen zugegriffen hat.

Empfehlenswert ist außerdem, die Weitergabe und gemeinsame Nutzung von Passwörtern und Log-in-Daten detailliert zu regeln. Ergänzend dazu sind Maßnahmen anzuraten, die eigentlich Bestandteile jedes Passwort-Managements sein sollten, etwa der Einsatz starker Passwörter und deren regelmäßiger Wechsel. Das mag für User nervig sein, ist aber aus Sicherheitsgründen dringend geboten.

Am wichtigsten ist jedoch, die gebotene Vorsicht walten zu lassen. Ein Großteil der Datenlecks und Sicherheitsprobleme in Unternehmen ist auf einen zu laxen Umgang mit Sicherheitsregeln und eine mangelnde Kontrolle zurückzuführen. Oft werden Passwörter dafür verantwortlich gemacht. In Wirklichkeit ist es jedoch ein fehlendes oder unzureichendes Passwort-Management. (ManageEngine: ra)

ManageEngine: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Invests

  • Ethik für KI-Technologien ein Muss

    Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Bausteine für ein erfolgreiches ESG-Reporting

    Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.

  • Chaos bei der Umsetzung von NIS-2 droht

    Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.

  • Die Uhr für DORA-Compliance tickt

    Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

Zur zivilrechtlichen Haftung des Steuerberaters Datendiebstahl: Sieben Praxis-Tipps gegen Betrug

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen