PasswortsicherheitDie richtige Strategie

[08.04.2019] Deutsche Behörden erreichen laut einer Umfrage im Umgang mit Passwörtern gute Noten. Ein Passwort-Manager kann ihnen dabei helfen, beispielsweise schwache und mehrfach verwendete Passwörter oder niedrige Sicherheits- und Passwortqualitätswerte aufzudecken.
Deutsche Behörden erreichten in einem Passwort-Sicherheits-Report mit Abstand den höchsten Sicherheitswert.

Deutsche Behörden erreichten in einem Passwort-Sicherheits-Report mit Abstand den höchsten Sicherheitswert.

(Bildquelle: PR Image Factory / Fotolia.com)

Immer häufiger werden Behörden und Unternehmen Opfer von immer komplexer werdenden Cyber-Angriffen. Dabei fällt es den Organisationen schwer, effektive Sicherheitsrichtlinien umzusetzen. Schwache, mehrfach verwendete Passwörter stellen eine der häufigsten Sicherheitsbedrohungen dar und der laxe Umgang damit ist eine weit verbreitete schlechte Angewohnheit. Doch selbst wenn sie Passwort-Manager verwenden, haben Organisationen Schwierigkeiten oft zu quantifizieren, wie hoch ihr Risiko durch schlechte Passwortsicherheit ist. Ihnen fehlt der Einblick in das Verhalten ihrer Mitarbeiter. Und sie können nicht überprüfen, wo sie im Vergleich zu anderen Behörden oder vergleichbaren Organisationen stehen.
Einen fundierten Einblick gibt der aktuelle Globale Passwort-Sicherheits-Report des Unternehmens LogMeIn. Darin wurden die Passwortgewohnheiten der Mitarbeiter von 43.000 Unternehmen und Organisationen aller Größen und Sektoren analysiert, die den Passwort-Manager LastPass verwenden. Der Bericht zeigt nicht nur den Umgang mit Passwörtern auf, sondern bietet IT-Experten auch einen fundierten Vergleich, wie eine Organisation im Vergleich zu ähnlichen abschneidet und wie sich ihre Passwortsicherheit verbessern ließe. Der LastPass-Sicherheitswert ist ein Benchmark-Wert zwischen 0 und 100. Ermittelt wird er durch die Anzahl der mehrfach verwendeten Passwörter, die Anzahl der als nicht sicher eingestuften Seiten aufgrund von öffentlich bekanntgewordenen Datenschutzverletzungen, die Anzahl der schwachen Passwörter, die durchschnittliche Qualität jedes Passworts, die Qualität der freigegebenen Passwörter sowie den Multifaktor-Authentifizierungswert.

Sicherheitsstandards einhalten

Die Auswertung der LastPass-Daten belegt, dass die meisten Organisationen Passwortsicherheit mittelmäßig konsequent betreiben und das Passwortrisiko unabhängig von Größe, Branche und Standort ist. Je größer eine Organisation ist, desto niedriger ist aber ihr Sicherheitswert im Durchschnitt. Mehr Beschäftigte bedeuten mehr Passwörter und nicht genehmigte Apps und somit zusätzliche Gelegenheiten für Mitarbeiter, ein riskantes und gefährliches Passwortverhalten an den Tag zu legen. In größeren Unternehmen gestaltet es sich für die IT deshalb viel schwieriger, alle Beschäftigten dazu zu bringen, die Passwortsicherheitsstandards einzuhalten. In Organisationen mit kleinerem Mitarbeiterstamm ist es einfacher, sichere Passwörter und eine mehrstufige Authentifizierung für alle Mitarbeiter zu gewährleisten.
Ein gutes Beispiel für die Herausforderungen, die mit der Organisationsgröße wachsen, ist die gemeinsame Nutzung von Zugangsdaten. Im Durchschnitt teilt ein bestimmter Mitarbeiter etwa sechs Passwörter mit seinen Kollegen. Bereits in einem Unternehmen mit 100 Mitarbeitern sind die Auswirkungen dessen enorm. Die gemeinsame Nutzung von Passwörtern ist sowohl für Mitarbeiter als auch für IT-Administratoren frustrierend, da die Benutzer auf die Verwendung von schwachen, aber leicht einzuprägenden Passwörtern zurückgreifen, die potenzielle Einfallstore für Cyber-Angriffe darstellen. Da Teams immer verteilter und technologieabhängiger agieren, wird es für Unternehmen immer komplizierter, aber auch unerlässlich, gemeinsame Passwörter zu schützen, zu verfolgen und zu auditieren.


Höchste Werte für deutsche Behörden

Die gute Nachricht für deutsche Behörden: Sie erreichten im Passwort-Sicherheits-Report mit Abstand den höchsten Sicherheitswert 86. Auch für Europa ist der Sicherheitswert der deutschen Behörden ein Ausrufezeichen, liegt doch der Durchschnittswert bei europäischen Behörden bei 43. Zum Vergleich: Weit abgeschlagen ist in Deutschland die Banken- und Finanzbranche mit 38 Zählern. Grundsätzlich liegen die Sicherheitswerte aller befragten deutschen Organisationen über dem weltweiten Durchschnitt. Defizite zeigen sich nur in der Multifaktor-Authentifizierung: Gerade einmal drei Prozent nutzen diese Möglichkeit, Konten zu sichern. Dabei ist und bleibt diese die optimale Vorgehensweise gegen Kontozugriffe von außen. Hierbei sind die USA Vorreiter: 65 Prozent aller Unternehmen, die mit Multifaktor-Authentifizierung arbeiten, sind dort ansässig.
IT-Sicherheit zu verbessern, ist eine kontinuierliche Aufgabe – effizienteres Passwort-Management dagegen lässt sich unabhängig von Größe, Branche und Standort vergleichsweise einfach umsetzen. Bereits ein Jahr nach der Implementierung eines Passwort-Managers, so die Analyse, können die meisten Organisationen ihren Sicherheitswert um durchschnittlich fast 15 Punkte verbessern. Außerdem werden die Produktivität, die Markenwahrnehmung und die Mitarbeiterzufriedenheit erhöht. Da immer mehr Unternehmen und auch Behörden BYOD-Richtlinien (Bring Your Own Device) umsetzen und Netzwerke für zuvor nicht genehmigte Geräte und Anwendungen öffnen, müssen IT-Führungskräfte ihre Einstellung zur Passwortsicherheit ändern. Transparenz ist der Schlüssel: Man kann Sicherheit nicht messen, wenn man kein System hat, das Einblicke in potenzielle Risikobereiche gewährt.

Leistungen des Passwort-Managers

Mit dem Log-in eines jeden Mitarbeiters bröckelt die Datensicherheit. Ein Passwort-Manager ist hierbei nicht nur ein sicheres Tor, das Hacker-Angriffe abhält, er hilft Behörden auch, die Wirksamkeit mittel- und langfristig zu beurteilen und zu kontrollieren. Ein Passwort-Manager sollte zufällige Passwörter generieren, rollenbasierte Berechtigungen auf Passwörter anwenden und Kontrolle über gemeinsam genutzte Zugangsdaten bieten. Zusätzliche Sicherheit erwirkt er durch die Multifaktor-Authentifizierung oder das Außerkraftsetzen von Zugangsdaten, wenn Mitarbeiter beispielsweise die Behörde verlassen.
Passwort-Management bedeutet Change Management. Um sie mit ins Boot zu holen, sollten Organisationen alle Mitarbeiter über Richtlinien und Best Practices informieren, den Passwort-Manager in das Sicherheitsschulungsprogramm integrieren und sicherstellen, dass alle neuen Mitarbeiter entsprechend geschult werden. Ferner sollte das Tool nebst Erläuterungen zu dessen Verwendung bereitgestellt und ein Kontakt genannt werden, an den sich die Nutzer bei Fragen wenden können. Der Fortschritt lässt sich mithilfe von Reporting-Tools überwachen. Diese decken potenzielle Sicherheitslücken wie schwache und mehrfach verwendete Passwörter, niedrige Sicherheits- und Passwortqualitätswerte oder inaktive Konten auf.

Gerald Beuchelt ist Chief Information Security Officer (CISO) beim Unternehmen LogMeIn.




Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit
Symbolbild

Sachsen-Anhalt: Cyber-Sicherheitsstrategie vorgestellt

[08.07.2026] Sachsen-Anhalt kommt der Umsetzung der NIS2-Richtlinie einen Schritt näher. Die neue Cyber-Sicherheitsstrategie beschreibt, wie das Land verbindliche Vorgaben für Netz- und Informationssicherheit umsetzen und seine digitale Widerstandsfähigkeit stärken will. mehr...

Der designierte BfDI Moritz Hennemann im Porträt vor Bücherregal mit Gesetzestexten.

Datenschutz: Amt des BfDI neu besetzt

[01.07.2026] Ab Oktober übernimmt Moritz Hennemann das Amt des BfDI. Der Freiburger Rechtswissenschaftler mit Schwerpunkt Informationsrecht folgt auf Louisa Specht-Riemenschneider, die ihren Rückzug aus gesundheitlichen Gründen bereits im März angekündigt hatte. mehr...

Gruppenfoto vor weißer Wand im Sommerlicht

Baden-Württemberg: Sicherheitsarchitektur im Fokus

[30.06.2026] Wie kann die Cyber-Sicherheit in Baden-Württemberg nachhaltig gestärkt werden? Diese Frage stand im Mittelpunkt des Antrittsbesuchs von CDO Ronja Kemmer bei der Cybersicherheitsagentur Baden-Württemberg. mehr...

Cartoon: Ein Hacker, der an einem Computer vertrauliche Daten und persönliche Informationen stiehlt.

Brandenburg: Zugangsdaten-Klau erkennen

[26.06.2026] Entwendete Log-in-Daten gehören zu den wichtigen Einfallstoren für Cyber-Angriffe. Ist bekannt, dass dienstliche E-Mail-Adressen oder Passwörter in Datenlecks vorkommen, können Behörden Accounts sichern und Folgeschäden eingrenzen. Brandenburg führt nun ein Tool ein, das prüft, ob Zugangsdaten kompromittiert sind. mehr...

Blick vom Spreeufer auf das Reichstagsgebäude.

Bundestag: Mehr Befugnisse fürs BSI

[25.06.2026] Am Freitag wird der „Entwurf eines Gesetzes zur Stärkung der Cyber-Sicherheit“ erstmals in den Bundestag eingebracht. Unter anderem soll das BSI zusätzliche Möglichkeiten erhalten, die Resilienz der Informationstechnik der Bundesverwaltung im Cyber-Raum zu erhöhen und die Erkenntnislage zu verbessern. mehr...

Bild in kühlen Blautönen: junger Mann in Büroumgebung, nachdenkliche Pose, überlagert mit IT-Icons

CSBW: Neues Handbuch für IT-Notfälle

[25.06.2026] Für Verwaltungen bestehen jederzeit Risiken für Sicherheitsvorfälle und Datenschutzverletzungen – mit möglichen schweren Folgen. Die Cybersicherheitsagentur Baden-Württemberg unterstützt Land und Kommunen mit neuen Angeboten, ein belastbares Informationssicherheits-Managementsystem aufzubauen. mehr...

Schleswig-Holstein: Engere Zusammenarbeit mit dem BSI

[17.06.2026] Schleswig-Holstein und das BSI wollen bei der Cyber-Sicherheit enger zusammenarbeiten. Die neue Vereinbarung soll die Abwehr digitaler Angriffe auf Land und Kommunen stärken und fügt sich in ein größeres Maßnahmenpaket des Landes ein. mehr...

Angeschnittenes Bild eines Mannes in weißem Arztkittel, der an einem Tisch in einem hellen Büro auf seinem Laptop tippt.

Sachsen-Anhalt/Schleswig-Holstein: Resilienz und Effizienz für den ÖGD

[10.06.2026] Sachsen-Anhalt und Schleswig-Holstein haben eine Kooperationsvereinbarung geschlossen, um die IT-Sicherheit im Öffentlichen Gesundheitsdienst (ÖGD) zu stärken. Die Länder entwickeln gemeinsam E-Learning-Angebote, die digitale Kompetenzen der Mitarbeitenden verbessern und Einrichtungen widerstandsfähiger gegen Cyber-Risiken machen sollen. mehr...

Symbolbild

Schleswig-Holstein: Maßnahmenpaket für Cyber-Sicherheit

[28.05.2026] Schleswig-Holstein baut die Cyber-Sicherheit für Land und Kommunen aus. Zum Schutzschirm gehören unter anderem ein erweitertes Schwachstellenmanagement, mobile IT für Krisenlagen und Vor-Ort-Supportteams. Digitale souveräne Arbeitsplätze und IT-Infrastruktur sichern Behörden weiter ab. mehr...

HPI: Konferenz zur Cyber-Sicherheit

[21.05.2026] Das Hasso-Plattner-Institut richtet im Juni erneut die Potsdamer Konferenz für Nationale CyberSicherheit aus. Im Mittelpunkt stehen hybride Bedrohungen, KI und der Schutz Kritischer Infrastrukturen in einer angespannten geopolitischen Lage. mehr...

2 Personen halten Vertrag_Koop_Meck-Pomm_BSI

Cyber-Sicherheit: BSI und Mecklenburg-Vorpommern kooperieren

[19.05.2026] Im Bereich der Cyber-Sicherheit arbeiten das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Land Mecklenburg-Vorpommern künftig enger zusammen. Eine entsprechende Vereinbarung wurde auf der Digitalministerkonferenz unterzeichnet. mehr...

BSI-Präsidentin Claudia Plattner steht in einem blauen Sakko in Berlin vor dem Bundestagsgebäude.

BSI: Zur Zukunft der Cyber-Sicherheit

[13.05.2026] Mit Blick auf hybride Bedrohungen, Cyber Conflict und digitale Souveränität zieht BSI-Chefin Claudia Plattner eine programmatische Zwischenbilanz. Cyber-Sicherheit wird zur Schnittstelle von Sicherheits- und Digitalpolitik. Im Fokus der Arbeit stehen automatisierte Angriffe, zivile Cyber Defense und digitale Souveränität. mehr...

BSI-Präsidentin Claudia Plattner steht in einem blauen Sakko an einem Rednerpult, hinter ihr wird eine blaue Grafik auf einer Leinwand angezeigt. Vor ihr sitzt das Publikum auf Stühlen in einem Saal mit hohen Decken.

NIS2-Richtlinie: Umsetzung in der Bundesverwaltung startet

[11.05.2026] Mit dem nun angelaufenen Programm CyberGovSecure soll die EU‑NIS2‑Richtlinie in der Bundesverwaltung umgesetzt werden. Um deren Cyber-Resilienz zu stärken, sind klare Verantwortlichkeiten, eine zentrale Finanzierung und konkret umsetzbare Maßnahmen vorgesehen. mehr...

Eine Hand, die ein Mobiltelefon hält, auf dem Screen sind symbolisch Nachrichten eines Messengerdienstes zu sehen.

Messenger: Wire Bund sicher bis VS-NfD

[07.05.2026] Das BSI hat Wire Bund für die Verarbeitung von Daten bis zur Geheimhaltungsstufe VS-NfD zugelassen. Der Ende-zu-Ende-verschlüsselte Messenger kann damit in Bundesbehörden für entsprechend eingestufte Kommunikation eingesetzt werden. mehr...

BSI/Brandenburg: Engere Abstimmung bei Cyber-Abwehr

[04.05.2026] BSI und Brandenburg haben eine engere Zusammenarbeit in der Cyber-Sicherheit vereinbart. Die Kooperation soll zehn Handlungsfelder umfassen, darunter operative Unterstützung und Sensibilisierung. Ziel ist es, die Reaktionsfähigkeit auf Cyber-Bedrohungen zu stärken. mehr...