Sie sind hier: Home » Markt » Hinweise & Tipps

Passwort-Management ist unverzichtbar


Effiziente Verwaltung von Passwörtern in Unternehmen minimiert Sicherheitsrisiken - Zu viele komplexe Passwörter und nachlässiger Umfang mit Log-in-Daten
Biometrische Authentifizierungsverfahren können Passwörter nicht ersetzen

(29.08.14) - Passwörter und Verschlüsselung spielen eine zentrale Rolle, wenn es um den Schutz vertraulicher Informationen geht, und das seit langem. Bereits 400 vor Christus setzten Offiziere des griechischen Stadtstaates Sparta so genannte Skytale ein, um Nachrichten zu verschlüsseln. Das waren Holzstäbe, um die ein Band aus Pergament oder Leder gewickelt wurde. Darauf schrieben die Spartaner längs des Stabes die Botschaft, nahmen das Band ab und übergaben es einem Boten. Nur wenn der Empfänger den Streifen um einen Holzstab mit denselben Maßen wickelte, konnte er die Nachricht lesen.

Das Problem: Jeder muss sich zig Passwörter merken.
Dennoch gerät das Passwort immer wieder unter Beschuss. So führen Kritiker an, dass es unmöglich sei, sich Dutzende komplizierter Passwörter zu merken und sie auf sichere Weise aufzubewahren. Das IT- und Online-Zeitalter hat es nun einmal mit sich gebracht, dass jeder Nutzer etliche Accounts und damit Passwörter besitzt – privat und beruflich. Deshalb häufen sich Fälle, in denen Cyber-Kriminelle Passwörter oder ganze "digitale Identitäten" stehlen und anschließend Geschäftsdaten "absaugen" oder Bankkonten plündern.

Zu den Konkurrenten des Passwortes zählen biometrische Verfahren, etwa das Scannen von Fingerabdrücken und der Iris des Auges oder das Erfassen der Gesichtsphysiognomie. Ein weiterer Ansatz ist die Multi-Faktor-Authentifizierung. Sie kombiniert mehrere Verfahren wie den Einsatz eines Tokens und eines Passworts. Neue Techniken setzen auf Smart Watches.

Allerdings haben auch solche Ansätze Schwächen. So überlisteten Forscher ein System für die Gesichtserkennung mithilfe von Handy-Fotos von registrierten Usern. Außerdem verursachen neue Technologien oft höhere Kosten, weil sie spezielle Hard- und Software erfordern und aufwändig in IT-Umgebungen integriert werden müssen.

Nicht Passwörter sind das Problem, sondern deren Management
Bei der "Revolte" gegen Passwörter wird zudem eines übersehen: Nicht die Passwörter sind das Problem, sondern ein unzureichendes Passwort-Management. Weil sich die wenigsten User komplexe Codes merken können, greifen sie zu fragwürdigen Hilfsmitteln. Sie nutzen für mehrere Accounts dieselben Passwörter oder verwenden Begriffe, die leicht zu erraten sind, etwa ihren Namen.

Eine weitere Unart ist, dass Nutzer Log-in-Daten oft in ungeschützten Text-Dateien auf Rechnern oder Mobilgeräten speichern, oder sie schreiben sie auf Haftzettel und kleben diese an den Monitor. In Unternehmen tauschen Mitarbeiter zudem häufig Passwörter aus, für den Fall, dass man auf den Account eines Kollegen zugreifen muss, wenn der in Urlaub ist.

Selbst IT-Abteilungen geben oft kein gutes Beispiel ab. Sie speichern Passwörter mitunter in ungeschützten Excel-Tabellen. Teilweise kommen sogar "physische" Speichermedien wie gedruckte Listen zum Einsatz. Hinzu kommt, dass IT-Abteilungen oft Hunderte von Account-Daten von Nutzern mit privilegierten Zugriffsrechten verwalten müssen. Das sind beispielsweise User, die auf Verzeichnisse mit sensiblen Daten zugreifen dürfen. Deren Zugriffsdaten werden meist in einer "Shared"-Umgebung verwaltet, zu der mehrere Administratoren Zugang haben.

Lesen Sie zum Thema "Security-Management auch: IT SecCity.de (www.itseccity.de)

Es fehlt ein wirkungsvolles Passwort-Management
In der Praxis fehlt es oft an Verfahren, mit denen sich der Zugriff auf solche Account-Daten und Passwörter kontrollieren lässt. In Verbindung mit anderen Unarten, etwa dem Austausch von Passwörtern, stellen diese Praktiken ein Sicherheitsrisiko dar. Denn Cyber-Kriminelle verfügen über probate Angriffstechniken, um sich Passwörter von "normalen" Mitarbeitern und solchen mit erweiterten Zugriffsrechten wie IT-Administratoren zu verschaffen. Dazu gehören Spam- und Phishing-E-Mails, Keylogger, die Tastatureingaben erfassen, und Remote-Access-Trojaner (RAT).

Wurde das Passwort eines Mitarbeiters ausgespäht, kann der Angreifer verwertbare Informationen wie Kundendaten und Entwicklungsunterlagen abgreifen oder Sabotage-Aktionen durchführen. Es sind jedoch beileibe nicht nur "böse" externe Hacker, die eine Gefahr darstellen. Unterschätzt werden oft illegale oder fahrlässige Aktivitäten eigener Mitarbeiter.

Tipps: Richtiger Umfang mit Passwörtern
Doch was tun? Hilfreich ist in jedem Fall der Einsatz von Passwort-Management-Lösungen. Zudem ist eine effektive interne Kontrolle unverzichtbar: Nur diejenigen Mitarbeiter, die entsprechende Daten und Anwendungen für ihre Tätigkeit benötigen, dürfen darauf zugreifen. Ein Ansatz nach dem Motto "Jeder darf alles" ist ein Sicherheitsrisiko. Zudem sollten Sicherheits- und Management-Tools eingesetzt werden, die transparent machen, wer wann auf welche Ressourcen zugegriffen hat.

Empfehlenswert ist außerdem, die Weitergabe und gemeinsame Nutzung von Passwörtern und Log-in-Daten detailliert zu regeln. Ergänzend dazu sind Maßnahmen anzuraten, die eigentlich Bestandteile jedes Passwort-Managements sein sollten, etwa der Einsatz starker Passwörter und deren regelmäßiger Wechsel. Das mag für User nervig sein, ist aber aus Sicherheitsgründen dringend geboten.

Am wichtigsten ist jedoch, die gebotene Vorsicht walten zu lassen. Ein Großteil der Datenlecks und Sicherheitsprobleme in Unternehmen ist auf einen zu laxen Umgang mit Sicherheitsregeln und eine mangelnde Kontrolle zurückzuführen. Oft werden Passwörter dafür verantwortlich gemacht. In Wirklichkeit ist es jedoch ein fehlendes oder unzureichendes Passwort-Management. (ManageEngine: ra)

ManageEngine: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Invests

  • DSGVO und andere Datenschutzvorgaben

    DSGVO hat das Bewusstsein für Datenschutz in Bevölkerung und in Wirtschaft deutlich zugenommen. Selbst die großen Internet-Konzerne aus den USA können das Thema nicht mehr ignorieren - dafür sorgen schon die empfindlichen Geldbußen, die die Datenschutzbehörden in den EU-Staaten inzwischen verhängen.

  • Menschen im Job mit Sexismus konfrontiert

    Nach #MeToo war plötzlich alles anders. In ungezählten Berichten und Debatten meldeten sich Frauen zu Wort und gaben an, dass auch sie im Job diskriminiert, diffamiert und sexuell belästigt werden. Entsprechend groß war 2017 der #Aufschrei nach gesamtgesellschaftlicher Reform, nach Parität - insbesondere am Arbeitsplatz.

  • Verkehrssicherungspflicht bei Badegewässern

    Die Badesaison stellt kommunale Verantwortungsträger vor schwierige Fragen: Wann und wo sind Warn- und Hinweisschilder an öffentlichen Badestellen aufzustellen? Ist daneben eine Aufsicht erforderlich? In den vergangenen Jahren waren viele Kommunen verunsichert, ob kostenfreie, aber beispielsweise mit Stegen, Badeinseln oder Wasserrutschen versehene Badegelegenheiten an kommunalen Gewässern weiterbetrieben werden können.

  • Compliance-Prozesse vorantreiben

    Die Menge der gesammelten Daten im modernen Business-Alltag steigt kontinuierlich an und Analysten prognostizieren bis zum Jahr 2025 eine Datenmenge von 181 Zettabyte. Diese Flut an Informationen hat auch deutliche Schattenseiten, denn die gespeicherten Informationen binden wertvolle Speicherressourcen und Energie. Die Folge: erhöhter CO2-Ausstoß.

  • Umfassender Social-Media-Leitfaden

    Ob LinkedIn, Facebook, Instagram oder TikTok: Unternehmen in Deutschland agieren bei der Nutzung sozialer Medien noch häufig zurückhaltend. Für lediglich 36 Prozent gehört Social Media zum geschäftlichen Alltag dazu - die anderen nutzen diese Kanäle zur Kommunikation höchstens gelegentlich (16 Prozent) selten (20 Prozent) oder gar nicht (26 Prozent), wie eine aktuelle repräsentative Befragung des Digitalverbands Bitkom unter mehr als 1.100 Unternehmen ab 20 Beschäftigten in Deutschland ergeben hat. Dabei sind soziale Medien ein wichtiger Kanal um potenzielle Kundinnen und Kunden, aber auch Geschäftspartner zu erreichen - im B2C und im B2B-Bereich.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen