Technologie

Passwort regelmäßig ändern ga­ran­tiert kei­ne IT-Sicherheit

Viele Firmenchefs wollen, dass Mit­ar­bei­ter ihr Pass­wort re­gel­mä­ßig än­dern. Man könn­te aber auch ei­nen rich­tig star­ken Code wäh­len und den dann gut schüt­zen. Die­se und an­de­re Tipps soll­ten Un­ter­neh­mer als Teil der IT-Si­cher­heits­stra­te­gie re­gel­mä­ßig in Trainings weitergeben.

Teilen auf

LinkedIn Xing Whatsapp

Auch in diesen Weihnachtsferien hatten Unternehmer wieder genug Grund – und hoffentlich Zeit – zum Nachdenken über IT-Sicherheit. Wie sehr die am Faktor Mensch hängt, zeigten zwei „Tagesschau“-Berichte. Kurz vor Jahresende hieß es zuerst, im Internet sei eine riesige Sammlung gestohlener Zugangsdaten aufgetaucht: 773 Millionen Mail-Adressen und 21 Millionen unterschiedliche Passwörter. Wenig später kam dann die Meldung, Lieblingspasswort des Jahres sei die Zahlenreihe „123456“ gewesen. Es folgten „123456789“ und „1234567“ sowie auf Platz fünf „password“. Angesichts solcher Phantasielosigkeit scheint es konsequent, dass zumindest Router in Kalifornien seit Jahresbeginn mit individuellen Passwörtern ausgeliefert werden müssen. Oder die Nutzer durch technische Voreinstellungen gezwungen werden, ein starkes Passwort festzulegen, bevor das Gerät in Betrieb gehen kann. Bei Microsoft stehen allzu simple Zugangscodes bereits länger auf einer schwarzen Liste. Auch andere Softwarehersteller oder Dienstleister verpflichten die Kunden, sichere Ziffern-Buchstaben-Zeichen-Kombinationen zu wählen. Um Hackern das Handwerk zu erschweren, kommt oft auch die Empfehlung: Das Passwort regelmäßig ändern.

Passwort regelmäßig ändern kann zur IT-Si­cher­heit gehören

Tatsächlich nutzen Cyberkriminelle immer raffiniertere Methoden, um Netzwerke zu kapern oder Zugangsdaten abzugreifen. Und Passwortdiebstahl nimmt zu. Insofern scheint es folgerichtig, dass jemand sein Passwort regelmäßig ändern soll, um privat oder im Unternehmen die IT-Sicherheit zu erhöhen. Allerdings sind persönliche Passwörter – gerade bei Firmennetzwerken – ein zwar wichtiger Sicherheitsaspekt, aber nur einer von mehreren. Daher sollten Firmenchefs das Thema IT-Sicherheit möglichst breit betrachten, vom Einsatz von Verschlüsselungstechnologie bis zum Abschluss von Cyberversicherungen. Und es zudem tief im Bewusstsein der Mitarbeiter sowie organisatorisch im Betrieb verankern. Das erfordert eine schonungslose Bedrohungsaufklärung und transparenten Umgang mit dem Thema. Aber ebenso ein durchdachtes Sicherheitskonzept, das über Einführungsschulungen sowie kontinuierliche Trainings alle Beschäftigten erreicht. Sinnvoll sind außerdem regelmäßige Penetrationstests: So zeigen sich technische Sicherheitslücken, aber auch menschliche Schwachstellen etwa in Form leicht zu erratender Passwörter. Die Ergebnisse könnten dann bei der Entscheidung helfen, ob Mitarbeiter wirklich ihr Passwort regelmäßig ändern sollten. Übrigens auch im Home-Office.

Passwort regel­mäßig än­dern kann Si­cher­heit auch gefährden

Ohne umfassende Strategie sowie Aufklärung zur IT-Sicherheit dürfte es aber kaum helfen, dass die Beschäftigten ihr Passwort regelmäßig ändern. Es bringt wenig, wenn die neue Ziffern-Buchstaben-Zeichen-Kombination dann für jeden sichtbar per Klebezettel am Bildschirm hängt. Oder wenig einfallsreich aus Namen der Haustiere und Geburtstagen naher Verwandter besteht. Aber gerade auf solche Daten greifen viele Beschäftigte zurück, die sich zum regelmäßigen Ändern eines Zugangscodes genötigt sehen: Sie fürchten, durch den schnellen Wechsel der Kombinationen irgendwann die gerade gültige Version schlicht zu vergessen, weil sie ja immer wieder aufs Neue sicher und daher komplex sein muss. Aus diesem Grund raten Experten zunehmend davon ab, dass man im Beruf wie im Privaten sein Passwort regelmäßig ändern soll: Beim Kompromiss aus Passwort oft aktualisieren, neue Kombination ausdenken und keinen früheren Code verwenden bleibt rasch die Sicherheit auf der Strecke. Gewählt wird nämlich häufig eine weniger komplexe Variante, weil sie sich einfach besser merken lässt.

Nach einem Da­ten­dieb­stahl ist das Passwort ändern Pflicht

Natürlich ist es nach einem Datendiebstahl unvermeidbar, das Passwort für den gehackten Account zu ändern. Und zu prüfen, ob sich aus dem erbeuteten Passwort auch Zugangscodes für andere Accounts des Opfers ableiten lassen könnten. Dies ist etwa dann der Fall, wenn eine Mail-Adresse als Benutzername für den gehackten Account sowie auch weitere Onlinedienste gilt. Dann ist einer von zwei Faktoren – der Benutzername – schon bekannt, und der Hacker muss nur noch beim Passwort ausprobieren. Dabei erleichtert die Verwendung einer identischen oder leicht variierten Ziffern-Buchstaben-Zeichen-Kombination den Cyberangriff. Ob Identitätsdaten erbeutet wurden, lässt sich etwa per HPI Identity Leak Checker des Hasso-Plattner-Instituts in Potsdam prüfen. Generell gilt: Ebenso wichtig, vermutlich sogar noch wichtiger als ein Passwort regelmäßig zu ändern, ist dessen gute Auswahl. Je sicherer, also komplexer ein Passwort ist, desto seltener muss es gewechselt werden, falls es nicht leichtsinnig weitergegeben wird. Oder doch bei einer Attacke in falsche Hände gerät.

Diese sechs Tipps für ein star­kes Pass­wort beachten

Tipps für ein starkes Passwort gibt das Bundesamt für Sicherheit in der Informationstechnik (BSI).
Mindestens acht Zeichen verwenden. Sind Offline-Attacken ohne permanente Netzverbindung über längere Zeit möglich, sollten es mindestens 20 Zeichen sein.
Alle verfügbaren Zeichen nutzen. Meistens sind Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen verwendbar. Umlaute gilt es zu vermeiden – sie erschweren den Zugriff aus Ländern, wo sich diese Zeichen nicht eingegeben lassen.
Persönliches vermeiden. Das gilt etwa für die Namen von Familienmitgliedern, Haustieren oder beliebten Künstlern. Auch Geburtsdaten verbieten sich.
Bekanntes ignorieren. Ungeeignet sind Begriffe, die im Wörterbuch stehen. Und gängige Tastaturmuster wie „asdfgh“ oder „1234abcd“.
Kein simples Modifizieren. Wer eine Ziffer an ein Wort hängt oder ein Sonderzeichen an den Anfang stellt, stoppt Hacker nicht.
Eselsbrücke bauen. Mit einer Hilfsstrategie sind der Kreativität keine Grenzen gesetzt. Man kann sich etwa einen ganzen Satz als Passwort bauen, bei dem die Wörter durch Sonderzeichen verbunden sind. Beispiel: „Die?Sonne!scheint/“.

EMPFEHLUNG VON DATEV

DATEV-System-Partner

Jeder DATEV-System-Partner hat mindestens einen Spezialisten für IT-Sicherheitstechnologie. Dieser zeichnet sich durch ein DATEV-Zertifikat aus und hat fundierte Kenntnisse zu den Grundlagen des Datenschutzes sowie auch zu internen Sicherheitslösungen, zu Datensicherung, Verschlüsselung und Signatur.
System-Partner-Suche

Hat Ihnen der Beitrag gefallen?

Frank Wiercks

ist Mitglied der Redaktion von TRIALOG, dem Unternehmermagazin für Mittelständler, Selbständige und Freiberufler. Außerdem arbeitet er für verschiedene Wirtschafts- und Managementmagazine. Zuvor war er unter anderem Chefredakteur von handwerk magazin und Markt und Mittelstand.

  • Schwerpunktthemen
  • Trialog-Newsletter

    Sie möchten künftig keine wichtigen Tipps für Ihr Unternehmen verpassen?
    Mit dem kostenlosen Newsletter halten wir Sie auf dem Laufenden.

  • Experten-Suche

    Kein einfaches Thema!
    Am besten hilft ein steuerlicher Berater! Sie haben noch keinen? Dann können Sie auf DATEV SmartExperts nach den passenden Experten suchen.

    Ich suche








  • Auf Facebook mitdiskutieren

    Sie möchten das Thema vertiefen?
    Dann werden Sie gerne Fan und beteiligen sich an der Diskussion auf unserer Facebook-Fanpage

    Jetzt TRIALOG-Fanpage besuchen

  • DATEV im Web
    YouTube LinkedIn