Sie sind hier: Home » Markt » Hinweise & Tipps

Passwort-Management ist unverzichtbar


Effiziente Verwaltung von Passwörtern in Unternehmen minimiert Sicherheitsrisiken - Zu viele komplexe Passwörter und nachlässiger Umfang mit Log-in-Daten
Biometrische Authentifizierungsverfahren können Passwörter nicht ersetzen

(29.08.14) - Passwörter und Verschlüsselung spielen eine zentrale Rolle, wenn es um den Schutz vertraulicher Informationen geht, und das seit langem. Bereits 400 vor Christus setzten Offiziere des griechischen Stadtstaates Sparta so genannte Skytale ein, um Nachrichten zu verschlüsseln. Das waren Holzstäbe, um die ein Band aus Pergament oder Leder gewickelt wurde. Darauf schrieben die Spartaner längs des Stabes die Botschaft, nahmen das Band ab und übergaben es einem Boten. Nur wenn der Empfänger den Streifen um einen Holzstab mit denselben Maßen wickelte, konnte er die Nachricht lesen.

Das Problem: Jeder muss sich zig Passwörter merken.
Dennoch gerät das Passwort immer wieder unter Beschuss. So führen Kritiker an, dass es unmöglich sei, sich Dutzende komplizierter Passwörter zu merken und sie auf sichere Weise aufzubewahren. Das IT- und Online-Zeitalter hat es nun einmal mit sich gebracht, dass jeder Nutzer etliche Accounts und damit Passwörter besitzt – privat und beruflich. Deshalb häufen sich Fälle, in denen Cyber-Kriminelle Passwörter oder ganze "digitale Identitäten" stehlen und anschließend Geschäftsdaten "absaugen" oder Bankkonten plündern.

Zu den Konkurrenten des Passwortes zählen biometrische Verfahren, etwa das Scannen von Fingerabdrücken und der Iris des Auges oder das Erfassen der Gesichtsphysiognomie. Ein weiterer Ansatz ist die Multi-Faktor-Authentifizierung. Sie kombiniert mehrere Verfahren wie den Einsatz eines Tokens und eines Passworts. Neue Techniken setzen auf Smart Watches.

Allerdings haben auch solche Ansätze Schwächen. So überlisteten Forscher ein System für die Gesichtserkennung mithilfe von Handy-Fotos von registrierten Usern. Außerdem verursachen neue Technologien oft höhere Kosten, weil sie spezielle Hard- und Software erfordern und aufwändig in IT-Umgebungen integriert werden müssen.

Nicht Passwörter sind das Problem, sondern deren Management
Bei der "Revolte" gegen Passwörter wird zudem eines übersehen: Nicht die Passwörter sind das Problem, sondern ein unzureichendes Passwort-Management. Weil sich die wenigsten User komplexe Codes merken können, greifen sie zu fragwürdigen Hilfsmitteln. Sie nutzen für mehrere Accounts dieselben Passwörter oder verwenden Begriffe, die leicht zu erraten sind, etwa ihren Namen.

Eine weitere Unart ist, dass Nutzer Log-in-Daten oft in ungeschützten Text-Dateien auf Rechnern oder Mobilgeräten speichern, oder sie schreiben sie auf Haftzettel und kleben diese an den Monitor. In Unternehmen tauschen Mitarbeiter zudem häufig Passwörter aus, für den Fall, dass man auf den Account eines Kollegen zugreifen muss, wenn der in Urlaub ist.

Selbst IT-Abteilungen geben oft kein gutes Beispiel ab. Sie speichern Passwörter mitunter in ungeschützten Excel-Tabellen. Teilweise kommen sogar "physische" Speichermedien wie gedruckte Listen zum Einsatz. Hinzu kommt, dass IT-Abteilungen oft Hunderte von Account-Daten von Nutzern mit privilegierten Zugriffsrechten verwalten müssen. Das sind beispielsweise User, die auf Verzeichnisse mit sensiblen Daten zugreifen dürfen. Deren Zugriffsdaten werden meist in einer "Shared"-Umgebung verwaltet, zu der mehrere Administratoren Zugang haben.

Lesen Sie zum Thema "Security-Management auch: IT SecCity.de (www.itseccity.de)

Es fehlt ein wirkungsvolles Passwort-Management
In der Praxis fehlt es oft an Verfahren, mit denen sich der Zugriff auf solche Account-Daten und Passwörter kontrollieren lässt. In Verbindung mit anderen Unarten, etwa dem Austausch von Passwörtern, stellen diese Praktiken ein Sicherheitsrisiko dar. Denn Cyber-Kriminelle verfügen über probate Angriffstechniken, um sich Passwörter von "normalen" Mitarbeitern und solchen mit erweiterten Zugriffsrechten wie IT-Administratoren zu verschaffen. Dazu gehören Spam- und Phishing-E-Mails, Keylogger, die Tastatureingaben erfassen, und Remote-Access-Trojaner (RAT).

Wurde das Passwort eines Mitarbeiters ausgespäht, kann der Angreifer verwertbare Informationen wie Kundendaten und Entwicklungsunterlagen abgreifen oder Sabotage-Aktionen durchführen. Es sind jedoch beileibe nicht nur "böse" externe Hacker, die eine Gefahr darstellen. Unterschätzt werden oft illegale oder fahrlässige Aktivitäten eigener Mitarbeiter.

Tipps: Richtiger Umfang mit Passwörtern
Doch was tun? Hilfreich ist in jedem Fall der Einsatz von Passwort-Management-Lösungen. Zudem ist eine effektive interne Kontrolle unverzichtbar: Nur diejenigen Mitarbeiter, die entsprechende Daten und Anwendungen für ihre Tätigkeit benötigen, dürfen darauf zugreifen. Ein Ansatz nach dem Motto "Jeder darf alles" ist ein Sicherheitsrisiko. Zudem sollten Sicherheits- und Management-Tools eingesetzt werden, die transparent machen, wer wann auf welche Ressourcen zugegriffen hat.

Empfehlenswert ist außerdem, die Weitergabe und gemeinsame Nutzung von Passwörtern und Log-in-Daten detailliert zu regeln. Ergänzend dazu sind Maßnahmen anzuraten, die eigentlich Bestandteile jedes Passwort-Managements sein sollten, etwa der Einsatz starker Passwörter und deren regelmäßiger Wechsel. Das mag für User nervig sein, ist aber aus Sicherheitsgründen dringend geboten.

Am wichtigsten ist jedoch, die gebotene Vorsicht walten zu lassen. Ein Großteil der Datenlecks und Sicherheitsprobleme in Unternehmen ist auf einen zu laxen Umgang mit Sicherheitsregeln und eine mangelnde Kontrolle zurückzuführen. Oft werden Passwörter dafür verantwortlich gemacht. In Wirklichkeit ist es jedoch ein fehlendes oder unzureichendes Passwort-Management. (ManageEngine: ra)

ManageEngine: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Invests

  • Vorsicht vor Betrug bei Festgeldanlagen

    Wer auf der Suche nach attraktiven Tages- oder Festgeldanlagen ist, nutzt häufig eine Suchmaschinensuche oder ein Vergleichsportal im Internet. Doch hier heißt es, wachsam zu sein. Auch Unternehmensseiten wie Bankportale und Vergleichsportale können perfekt gefälscht sein.

  • Bestandteil der Investmentsteuer

    Die Vorabpauschale für Investmentfonds ist bereits seit 2018 Bestandteil der Investmentsteuer in Deutschland ist. Die Berechnung der Vorabpauschale basiert allerdings auf dem sogenannten Basiszins, der in der Vergangenheit oft im negativen Bereich lag. Daher wurde die Vorabpauschale erst wieder Anfang 2024 für das Vorjahr, also das Jahr 2023, erhoben. Doch was ist die Vorabpauschale und wie funktioniert sie? In diesem Artikel zeigen wir Ihnen, worauf Sie achten sollten.

  • KI, Datenschutz & Datensicherheit

    Bevor Unternehmen generative KI einführen, sollten sie sich einige Fragen stellen, damit die neuen Dienste nicht den Datenschutz und die Datensicherheit gefährden. Forcepoint verrät, welche Fragen das sind. Die meisten Unternehmen haben den Mehrwert von generativer KI inzwischen erkannt und wollen entsprechende Dienste einführen, um ihre Mitarbeiter zu entlasten und Abläufe effizienter zu gestalten.

  • Cybersicherheit & NIS2-Compliance

    Mit der neuen EU-Richtlinie für Cybersicherheit erweitert sich der Kreis der betroffenen Firmen von rund 2.000 Unternehmen auf geschätzte 30.000. Während sich Großbetriebe von ihren Rechtsabteilungen beraten lassen, sind viele Mittelständler auf sich gestellt - und verunsichert.

  • Investitionen in nachhaltige Rechenzentren

    Digitale Technologien spielen eine wesentliche Rolle, um schädliche Emissionen zu reduzieren und die Klimaziele in Deutschland zu erreichen. So ergab eine aktuelle Bitkom-Studie zum Einsatz von digitaler Lösungen in Sektoren wie Energie, Industrie und Verkehr, dass die CO2-Emissionen im Klimaziel-Stichjahr 2030 jährlich um 73 Millionen Tonnen reduziert werden könnten.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen