PasswortsicherheitDie richtige Strategie

[08.04.2019] Deutsche Behörden erreichen laut einer Umfrage im Umgang mit Passwörtern gute Noten. Ein Passwort-Manager kann ihnen dabei helfen, beispielsweise schwache und mehrfach verwendete Passwörter oder niedrige Sicherheits- und Passwortqualitätswerte aufzudecken.
Deutsche Behörden erreichten in einem Passwort-Sicherheits-Report mit Abstand den höchsten Sicherheitswert.

Deutsche Behörden erreichten in einem Passwort-Sicherheits-Report mit Abstand den höchsten Sicherheitswert.

(Bildquelle: PR Image Factory / Fotolia.com)

Immer häufiger werden Behörden und Unternehmen Opfer von immer komplexer werdenden Cyber-Angriffen. Dabei fällt es den Organisationen schwer, effektive Sicherheitsrichtlinien umzusetzen. Schwache, mehrfach verwendete Passwörter stellen eine der häufigsten Sicherheitsbedrohungen dar und der laxe Umgang damit ist eine weit verbreitete schlechte Angewohnheit. Doch selbst wenn sie Passwort-Manager verwenden, haben Organisationen Schwierigkeiten oft zu quantifizieren, wie hoch ihr Risiko durch schlechte Passwortsicherheit ist. Ihnen fehlt der Einblick in das Verhalten ihrer Mitarbeiter. Und sie können nicht überprüfen, wo sie im Vergleich zu anderen Behörden oder vergleichbaren Organisationen stehen.
Einen fundierten Einblick gibt der aktuelle Globale Passwort-Sicherheits-Report des Unternehmens LogMeIn. Darin wurden die Passwortgewohnheiten der Mitarbeiter von 43.000 Unternehmen und Organisationen aller Größen und Sektoren analysiert, die den Passwort-Manager LastPass verwenden. Der Bericht zeigt nicht nur den Umgang mit Passwörtern auf, sondern bietet IT-Experten auch einen fundierten Vergleich, wie eine Organisation im Vergleich zu ähnlichen abschneidet und wie sich ihre Passwortsicherheit verbessern ließe. Der LastPass-Sicherheitswert ist ein Benchmark-Wert zwischen 0 und 100. Ermittelt wird er durch die Anzahl der mehrfach verwendeten Passwörter, die Anzahl der als nicht sicher eingestuften Seiten aufgrund von öffentlich bekanntgewordenen Datenschutzverletzungen, die Anzahl der schwachen Passwörter, die durchschnittliche Qualität jedes Passworts, die Qualität der freigegebenen Passwörter sowie den Multifaktor-Authentifizierungswert.

Sicherheitsstandards einhalten

Die Auswertung der LastPass-Daten belegt, dass die meisten Organisationen Passwortsicherheit mittelmäßig konsequent betreiben und das Passwortrisiko unabhängig von Größe, Branche und Standort ist. Je größer eine Organisation ist, desto niedriger ist aber ihr Sicherheitswert im Durchschnitt. Mehr Beschäftigte bedeuten mehr Passwörter und nicht genehmigte Apps und somit zusätzliche Gelegenheiten für Mitarbeiter, ein riskantes und gefährliches Passwortverhalten an den Tag zu legen. In größeren Unternehmen gestaltet es sich für die IT deshalb viel schwieriger, alle Beschäftigten dazu zu bringen, die Passwortsicherheitsstandards einzuhalten. In Organisationen mit kleinerem Mitarbeiterstamm ist es einfacher, sichere Passwörter und eine mehrstufige Authentifizierung für alle Mitarbeiter zu gewährleisten.
Ein gutes Beispiel für die Herausforderungen, die mit der Organisationsgröße wachsen, ist die gemeinsame Nutzung von Zugangsdaten. Im Durchschnitt teilt ein bestimmter Mitarbeiter etwa sechs Passwörter mit seinen Kollegen. Bereits in einem Unternehmen mit 100 Mitarbeitern sind die Auswirkungen dessen enorm. Die gemeinsame Nutzung von Passwörtern ist sowohl für Mitarbeiter als auch für IT-Administratoren frustrierend, da die Benutzer auf die Verwendung von schwachen, aber leicht einzuprägenden Passwörtern zurückgreifen, die potenzielle Einfallstore für Cyber-Angriffe darstellen. Da Teams immer verteilter und technologieabhängiger agieren, wird es für Unternehmen immer komplizierter, aber auch unerlässlich, gemeinsame Passwörter zu schützen, zu verfolgen und zu auditieren.


Höchste Werte für deutsche Behörden

Die gute Nachricht für deutsche Behörden: Sie erreichten im Passwort-Sicherheits-Report mit Abstand den höchsten Sicherheitswert 86. Auch für Europa ist der Sicherheitswert der deutschen Behörden ein Ausrufezeichen, liegt doch der Durchschnittswert bei europäischen Behörden bei 43. Zum Vergleich: Weit abgeschlagen ist in Deutschland die Banken- und Finanzbranche mit 38 Zählern. Grundsätzlich liegen die Sicherheitswerte aller befragten deutschen Organisationen über dem weltweiten Durchschnitt. Defizite zeigen sich nur in der Multifaktor-Authentifizierung: Gerade einmal drei Prozent nutzen diese Möglichkeit, Konten zu sichern. Dabei ist und bleibt diese die optimale Vorgehensweise gegen Kontozugriffe von außen. Hierbei sind die USA Vorreiter: 65 Prozent aller Unternehmen, die mit Multifaktor-Authentifizierung arbeiten, sind dort ansässig.
IT-Sicherheit zu verbessern, ist eine kontinuierliche Aufgabe – effizienteres Passwort-Management dagegen lässt sich unabhängig von Größe, Branche und Standort vergleichsweise einfach umsetzen. Bereits ein Jahr nach der Implementierung eines Passwort-Managers, so die Analyse, können die meisten Organisationen ihren Sicherheitswert um durchschnittlich fast 15 Punkte verbessern. Außerdem werden die Produktivität, die Markenwahrnehmung und die Mitarbeiterzufriedenheit erhöht. Da immer mehr Unternehmen und auch Behörden BYOD-Richtlinien (Bring Your Own Device) umsetzen und Netzwerke für zuvor nicht genehmigte Geräte und Anwendungen öffnen, müssen IT-Führungskräfte ihre Einstellung zur Passwortsicherheit ändern. Transparenz ist der Schlüssel: Man kann Sicherheit nicht messen, wenn man kein System hat, das Einblicke in potenzielle Risikobereiche gewährt.

Leistungen des Passwort-Managers

Mit dem Log-in eines jeden Mitarbeiters bröckelt die Datensicherheit. Ein Passwort-Manager ist hierbei nicht nur ein sicheres Tor, das Hacker-Angriffe abhält, er hilft Behörden auch, die Wirksamkeit mittel- und langfristig zu beurteilen und zu kontrollieren. Ein Passwort-Manager sollte zufällige Passwörter generieren, rollenbasierte Berechtigungen auf Passwörter anwenden und Kontrolle über gemeinsam genutzte Zugangsdaten bieten. Zusätzliche Sicherheit erwirkt er durch die Multifaktor-Authentifizierung oder das Außerkraftsetzen von Zugangsdaten, wenn Mitarbeiter beispielsweise die Behörde verlassen.
Passwort-Management bedeutet Change Management. Um sie mit ins Boot zu holen, sollten Organisationen alle Mitarbeiter über Richtlinien und Best Practices informieren, den Passwort-Manager in das Sicherheitsschulungsprogramm integrieren und sicherstellen, dass alle neuen Mitarbeiter entsprechend geschult werden. Ferner sollte das Tool nebst Erläuterungen zu dessen Verwendung bereitgestellt und ein Kontakt genannt werden, an den sich die Nutzer bei Fragen wenden können. Der Fortschritt lässt sich mithilfe von Reporting-Tools überwachen. Diese decken potenzielle Sicherheitslücken wie schwache und mehrfach verwendete Passwörter, niedrige Sicherheits- und Passwortqualitätswerte oder inaktive Konten auf.

Gerald Beuchelt ist Chief Information Security Officer (CISO) beim Unternehmen LogMeIn.




Weitere Meldungen und Beiträge aus dem Bereich: IT-Sicherheit
Zwei Herren in dunklen Jackets und hellen Oberhemden sitzen an einem Tisch und unterschreiben Dokumente, im Hintergrund aufwändige Holzvertäfelung.

BfDI/ICO: Gestärkte Zusammenarbeit

[18.06.2024] Auch wenn das Vereinigte Königreich kein EU-Mitglied mehr ist, bleiben gute Beziehungen der jeweiligen Datenschutzbeauftragten wichtig. Dies betonte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, anlässlich eines Treffens mit seinem britischen Amtskollegen. Die Behörden wollen künftig stärker kooperieren. mehr...

Das Bild zeigt Tabea Breternitz, die das Public-Sector-Team von Trend Micro verstärkt.

Trend Micro: Verstärkung für Public-Sector-Team

[17.06.2024] Trend Micro, Anbieter von IT-Sicherheitslösungen, erweitert sein Team für die Betreuung von Bundesbehörden in Deutschland, Österreich und der Schweiz. Mit Tabea Breternitz gewinnt das Unternehmen eine erfahrene Expertin für den öffentlichen Sektor. mehr...

Das Bild zeigt Thomas Popp, CIO des Freistaats Sachsen.

Sachsen: NIS2-Richtlinie umgesetzt

[17.06.2024] Der Sächsische Landtag hat ein neues Gesetz verabschiedet, das die Anforderungen der europäischen Cyber-Sicherheitsrichtlinie NIS2 umsetzt. Behörden müssen nun erweiterte Maßnahmen zur Informationssicherheit einhalten und einen umfassenden Schutz gewährleisten. mehr...

Türschild mit dem Lükex-Logo

LÜKEX 23: Krisen-Management-Übung ausgewertet

[11.06.2024] Im vergangenen Herbst fand die landesweite Krisen-Management-Übung LÜKEX statt, bei der vor allem die Kommunikation der Beteiligten sowie das Zusammenspiel von Krisen-Management und IT-Notfall-Management erprobt wurde. Nun liegen erste Auswertungen dazu vor. mehr...

Cover des Datenschutzberichts Niedersachsen 2023

Niedersachsen: Datenschutzbericht vorgestellt

[10.06.2024] Der Landesbeauftragte für den Datenschutz Niedersachsen hat seinen aktuellen Tätigkeitsbericht vorgelegt. Dieser enthält neben den üblichen Zahlen zu Meldungen und Verstößen auch konkrete Empfehlungen zur Umsetzung von Datenschutzmaßnahmen. Diese richten sich an Landtag, Regierung und Unternehmen. mehr...

Das Bild zeigt Innenminister Thomas Strobl bei der Übergabe der Ernennungsurkunde als Präsidentin der Cyber-Sicherheitsagentur an Nicole Matthöfer.

Baden-Württemberg: Neue Leiterin der Cyber-Sicherheitsagentur

[03.06.2024] Nicole Matthöfer heißt die neue Leiterin der Cyber-Sicherheitsagentur Baden-Württemberg (CSBW). Innenminister Thomas Strobl überreichte ihr die Ernennungsurkunde und betonte die Wichtigkeit des Themas Cyber-Sicherheit. mehr...

Screenshot eines pixeligen Bildschirms. Zu sehen ist auf dunklem Grund die hellblaue Schrift "Security", eine Mauszeigerhand zeigt darauf.

Mecklenburg-Vorpommern: Angriff auf Internet-Seiten des Landes

[30.05.2024] Den IT-Sicherheitsspezialisten des Landes Mecklenburg-Vorpommern gelang es, einen Angriff auf Internet-Seiten verschiedener Ministerien und der Landespolizei abzuwehren. Dabei handelte es sich nicht um die erste DDoS-Attacke auf Landes-Web-Seiten. mehr...

SEP: Schutz vor Datenverlust

[16.05.2024] Die Back-up- und Recovery-Software SEP sesam sichert geschäftskritische Daten und erfüllt Compliance-Anforderungen. Mit speziellen Lösungen für Behörden bietet SEP ein umfassendes, plattformunabhängiges und DSGVO-konformes Back-up-System. mehr...

Das Bild zeigt das innere eines Cockpits, zu sehen ist auch das Electronic Knee Board.

Bundeswehr: Electronic Knee Boards für Piloten

[15.05.2024] Die Luftwaffe ersetzt herkömmliche Pilotenhandbücher durch Electronic Knee Boards, die vertrauliche Daten mit der sicheren Container-Lösung SecurePIM von Materna Virtual Solution schützen. mehr...

Das Bild zeigt Ministerialdirektor Elmar Steinbacher, Leitende Oberstaatsanwältin Tomke Beddies und Ministerin der Justiz und für Migration Marion Gentges

Baden-Württemberg: Chefin für Cybercrime-Zentrum

[14.05.2024] Die baden-württembergische Justizministerin Marion Gentges hat Ministerialrätin Tomke Beddies zur Leiterin des neuen Cybercrime-Zentrums Baden-Württemberg ernannt. mehr...

Das Bild zeigt das Titelblatt des Bundeslagebilds Cyber-Kriminalität 2023.

Cyber-Kriminalität: Bedrohungslage bleibt hoch

[14.05.2024] Die Bundesregierung und die Sicherheitsbehörden präsentieren das Bundeslagebild Cybercrime für das Jahr 2023. Die Zahlen zeigen einen besorgniserregenden Anstieg der Internet-Kriminalität in Deutschland. mehr...

Das Bild zeigt Bundesinnenministerin Nancy Faeser.

Cyber-Sicherheit: Umsetzung der NIS2-Richtlinie

[08.05.2024] Bundesinnenministerin Nancy Faeser hat einen neuen Gesetzentwurf vorgelegt, mit dem das deutsche IT-Sicherheitsrecht umfassend modernisiert werden soll. Das Gesetz, das auf der EU-Richtlinie NIS2 basiert, sieht strengere Sicherheitsanforderungen und Meldepflichten für ein breiteres Spektrum von Unternehmen vor. mehr...

Porträt von Dagmar Hartge

Brandenburg: Tätigkeitsbericht zum Datenschutz

[08.05.2024] Der Tätigkeitsbericht der brandenburgischen Landesbeauftragten für den Datenschutz und für das Recht auf Akteneinsicht liegt vor. Zu den Schwerpunktthemen gehören unter anderem Künstliche Intelligenz, die datenschutzrechtliche Bewertung von Facebook-Fanpages sowie die Aufarbeitung des Cyber-Angriffs auf die Stadt Potsdam im Dezember 2022. mehr...

Symbolbild: hochgereckte Roboterhand vor dunkelblauem Hintergrund, auf dem eine Konstellation verbundener leuchtender Punkte erkennbar ist.

BSI: KI verändert Cyber-Bedrohungen

[03.05.2024] Künstliche Intelligenz ist keine weit entfernte Zukunftsvision mehr. Mit ihren verschiedenen Ansätzen und Lösungen ist die Technologie inzwischen im (IT-)Alltag angekommen – auch bei Kriminellen. Das BSI will herausfinden, wie sich Cyber-Angriffe dadurch verändern. mehr...

Brustbild von Roman Poseck in dunklem Anzugjackett und violettem Schlips.

Hessen/Bund: Cyber-Abwehr neu strukturieren?

[02.05.2024] Das Hessische CyberCompetenceCenter – Hessen3C – besteht seit fünf Jahren. Aus diesem Anlass stattete Innenminister Roman Poseck dem ihm unterstellten Kompetenzzentrum einen Besuch ab. Dabei äußerte er sich auch über eine mögliche Neuaufstellung der bundesweiten Cyber-Abwehr. mehr...