Passwortsicherheit im Unternehmen hängt wesentlich von den Mitarbeitern ab. Doch durch die Diskrepanz zwischen menschlichem Verhalten und IT-Richtlinien entstehen nicht selten gravierende Sicherheitslücken. Sei es, die meisten Menschen ändern ihre Passwörter nicht aus eigener Initiative oder verwenden die gleichen Standardpasswörter auch zu privaten Zwecken, auf diversen online Portalen. Es gibt zahlreiche Nachlässigkeiten, die viele Unternehmen dulden. Einige Unternehmen gehen mit dem Thema Passwortrichtlinien und Passwortverwaltung schlichtweg fahrlässig um, andere erachten entsprechende Maßnahmen als zu aufwändig oder zu teuer – vor allem, wenn es um die Anschaffung von speziellen Tools dafür geht.
Was glauben Sie, wie lange es dauert, sich mit den heutigen, technischen Ressourcen Zugang zu Ihrem E-Mail-Postfach zu verschaffen? Angenommen Sie verwenden ein Passwort bestehend aus sieben verschiedenen Zeichen und Groß- und Kleinbuchstaben, wäre dieses Im Falle einer Brute-Force-Attacke innerhalb von 7 Minuten ermittelt. Die Brute-Force-Attacke ist ein Computer-Programm, welches in schneller Abfolge etwaige Zeichenkombinationen ausprobiert. Neben dieser Angriffsmethode gibt es zahlreiche Andere, weshalb eine gute Passwortregelung essentiell für einen guten Schutz ihres Unternehmen ist.
Es gibt einige Tipps, mit denen Sie eine erste Grundlage für Ihre Passwortrichtlinien legen können:
- Passwörter sind nirgends zu notieren und niemandem mitzuteilen.
- Das Passwort ist geheim zu halten und darf nur dem Benutzer bekannt sein.
- Passwörter sollten eine Mindestlänge von 12 Zeichen nicht unterschreiten.
- Ein gutes Passwort ist alphanumerisch zu gestalten (Groß- und Kleinschreibung, Ziffern und Sonderzeichen).
- Passwörter, die leicht zu erraten sind, dürfen nicht verwendet werden.
- Die letzten sechs genutzten Passwörter sind nicht wieder zu verwenden.
- Passwörter werden regelmäßig geändert (Empfehlung: alle 90-120 Tage).
- Um zu vermeiden, dass der Passwortschutz am Arbeitsplatz unterminiert wird, ist der Arbeitsplatzrechner bei Verlassen des Arbeitsplatzes zu sperren.
- Sofern Gruppenpasswörter zwingend erforderlich sind, gilt:
- Gruppenpasswörter sind umgehend zu ändern, wenn die Zusammensetzung der Gruppe sich verändert.
- Gleiches gilt, wenn Passwörter unautorisierten Personen bekannt geworden sind.
- Das Passwort ist unverzüglich zu ändern, wenn der Verdacht besteht, dass es Dritten bekannt geworden sein könnten.
- Passwörter, die für Unternehmenszwecke genutzt werden, dürfen auf keinen privaten Portalen zum Einsatz kommen.
- Passwortrichtlinien sollten direkt über Active Directory durchgesetzt werden.
Für viele Mitarbeiter und IT-Kollegen klingen solche Passwort-Richtlinien nach einem manuellen, komplizierten und nicht praktikablen Albtraum. Zu einem guten Passwort Management gehört daher auch, dass solche Richtlinien nicht nur als Pflicht gelten, sondern Mitarbeiter und IT-Kollegen an dieses Thema verantwortungsvoll und nachhaltig herangeführt werden und sie mit dieser empfundenen „Bürde“ nicht allein gelassen werden. Neben Praxis-Tipps wie „Passwörter aus Sätzen zu generieren“, können Handouts mit guten Passwort-Beispielen versus schlechten Passwörtern zum besseren Verständnis beitragen. Zudem können Passwortgeneratoren unterstützen. Doch grade Unternehmen mit wenig IT-Personal können durch professionelle Passwort-Management-Systeme ein stabiles und sicheres IT-Arbeitsumfeld schaffen.