Sichere Passwörter in Unternehmen

Klaus Foitzick

Sichere bzw. starke Passwörter gehören zu den wichtigsten technischen und organisatorischen Massnahmen, die Unternehmen zur Optimierung der Informationssicherheit ergreifen können. Auch das Datenschutzgesetz schreibt in Art. 8 Abs. 1 DSG solche Massnahmen für Unternehmen in der Schweiz vor.

Wie Sie am besten dafür sorgen, dass Ihre Mitarbeitenden immer ein sicheres Passwort wählen und dieses auch erinnern, wenn es darauf ankommt, erfahren Sie in diesem Ratgeber.

Warum sind einfache Passwörter so leicht zu knacken?

Passwörter werden in Systemen, die Nutzerkennung und Passwort zur Anmeldung erfordern, in der Regel verschlüsselt abgespeichert. Dafür wird ein sogenannter Hashwert aus dem Passwort errechnet. Es ist nicht möglich, aus diesem Hashwert das Passwort zurückzurechnen. Wohl möglich ist es aber, wie bei jeder anderen auf einem PC gespeicherten Information auch, den gespeicherten Hashwert zu stehlen oder ihn zu kopieren.

Hacker mit Zugriff auf den echten Hashwert bilden dann vollautomatisiert Hashwerte von beliebigen Wörtern bzw. Zeichenkombinationen und vergleichen diese mit dem gespeicherten Hashwert, bis sie eine Übersteinstimmung erzielen. Dann kennen sie das Passwort und können die erbeuteten Zugangsdaten entsprechend ausnutzen.

Um den Inhalt der gesamten Wörterbücher der verbreitetsten Sprachen (Englisch, Deutsch, Französisch, Spanisch, Portugiesisch und Chinesisch) zu hashen und zu vergleichen braucht schon ein normaler Laptop nur wenige Sekunden. Passwörter sollten also keine normalen Worte sein.

Aber auch leichte Abwandlungen von normalen Wörtern reichen nicht aus, wie etwa das Weglassen der Vokale. Denn nach dem Testen von normalen Wörtern versuchen Hacker mittels sogenannter Brute-Force-Attacken einfach systematisch jede Zeichenkombination. Ein herkömmlicher PC schafft ca. 12 Millionen Kombinationen – pro Sekunde!

  • Ein Passwort mit nur sechs Kleinbuchstaben entspricht rund 309 Millionen möglichen Kombinationen, das Knacken des Passwortes würde weniger als 30 Sekunden benötigen.
  • Für ein Passwort mit acht Zeichen aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen gibt es schon sechs Billiarden Kombinationen. Das entspricht der Rechenzeit eines Laptops von 17 Jahren.

Was macht ein Passwort sicher?

Ein starkes Passwort ist lang (mindestens acht, besser noch 16 Zeichen) und enthält eine Mischung aus Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen. Das Passwort sollte in keinem Wörterbuch dieser Welt stehen und auch nicht nur eine minimale Abweichung von einem normalen Wort sein.

Organisationen sollten eine entsprechende Komplexität von Passwörtern per Richtlinie vorschreiben und zusätzlich technisch sicherstellen, dass nur entsprechend starke Passwörter genutzt werden können.

Müssen Passwörter regelmässig geändert werden?

Letzten Endes sind auch sehr gute Passwörter irgendwann zu knacken. Denn mit den Rechenkapazitäten moderner Serverfarmen oder von Botnetzen reduziert sich die Zeit, um ein komplexes Passwort mit acht Zeichen zu knacken von 17 Jahren auf rund sechs Wochen.

Unternehmen sind gut beraten, einen regelmässigen Passwortwechsel organisatorisch vorzuschreiben und wenn möglich auch technisch zu erzwingen. Ein jährlicher oder halbjährlicher Passwortwechsel sollte in den meisten Fällen ausreichend sein.

Warum sollten Passwörter nicht mehrfach verwendet oder geteilt werden?

Sind Zugangsdaten erst einmal erbeutet worden – sei es durch Phishing bzw. Social Engineering, durch das Knacken eines Passwortes oder durch das Hacken von z.B. Servern – werden diese automatisiert an vielen Stellen ausprobiert und meist auch im Dark Web veröffentlicht. Wird ein Passwort mehrfach eingesetzt, kann der gehackte Essenslieferdienst schnell zur Katastrophe werden, wenn mit den gleichen Daten auch der Zugang zum Onlinebanking oder zur Unternehmenssoftware erfolgt.

Ebenso sollten (wenn irgend möglich) nicht mehrere Nutzer die selben Zugangsdaten zu Systemen und Anwendungen nutzen. Im Bereich von Informationssicherheits-Zertifizierungen ist eine solche Trennung sogar vorgeschrieben. Dies hilft einerseits den Schaden im Fall von missbräuchlich genutzten Zugangsdaten zu verringen. Andererseits kann nur auf diesem Wege sichergestellt werden, dass immer klar ist, wer welche Daten wann wie verändert hat (Schutzziel der Integrität von Daten).

Auch hier sollten Unternehmen entsprechende Vorgaben machen bzw. technische Vorkehrungen treffen.

Wie kann man sich viele komplexe Passwörter erstellen und merken?

Keinesfalls sollten Passwörter in Klarform schriftlich auf einem Endgerät (etwa in einem Word-Dokument) oder auf Zetteln auf dem Schreibtisch bzw. am PC-Bildschirm aufbewahrt werden. Wird ein Passwort dennoch schriftlich aufbewahrt – etwa zu Backupzwecken – dann muss das entsprechende Dokument getrennt von durch das Passwort geschützten Systemen gelagert werden, etwa in einem Safe.

Das (automatische) Speichern von Passwörtern im Webbrowser sollten Organisationen unbedingt technisch unterdrücken und per Regelung untersagen. Andernfalls würde ein kompromittierter Zugang zu einem Endgerät entsprechend Zugriff auf Anwendungen und Konten ermöglichen.

Entsprechende Vorschriften sollten von Unternehmen erlassen und auch kontrolliert werden – insbesondere, wenn Mitarbeitende im Home-Office oder auf eigenen Endgeräten (Stichwort: Bring your own device – BYOD) tätig sind.

Es gibt diverse Methoden zum manuellen Erstellen und Merken komplexer Passwörter, meistens über Eselsbrücken zu Erlebnissen etc. Alternativ bieten sich diverse Online-Passwortgeneratoren an. Die dort erstellten zufälligen Zeichenkombinationen lassen sich allerdings kaum merken.

Achtung: Eines der drei wichtigsten Schutzziele im Datenschutz und der Informationssicherheit ist die Verfügbarkeit von (personenbezogenen) Daten. Das «Verlieren» von Passwörtern ist also keine Option, wenn es dann keine Möglichkeit mehr gibt, auf die entsprechenden Daten zuzugreifen.

Was bringen Passwortmanager, -safes und -generatoren?

Soweit keine organisationsinternen Gründe dagegensprechen, ist die Nutzung von sogenannten Passwortmanagern oder Passwortsafes anzuraten. Diese erstellen komplexe Passwörter und speichern diese verschlüsselt – je nach Lösung – lokal oder in der Cloud ab. Nutzer müssen sich dann nur noch ein einziges sehr starkes Passwort merken, mit dem sie den Passwortmanager geschützt haben. Im Idealfall ist der Passwortsafe sogar mit einer Multifaktor-Authentifizierung (MFA) geschützt.

Fazit

Passwortsicherheit beschreibt alle Praktiken und Methoden, um Passwörter bzw. Zugangsdaten vor Zugriff und Missbrauch durch nicht autorisierte Personen zu schützen. Je schützenswerter die jeweiligen Daten sind, desto höher fallen die Kriterien an die zu treffenden technischen und organisatorischen Massnahmen aus. Das betrifft auch die Sicherheit von Passwörtern und Zugangsdaten. Das technische Erzwingen von komplexen Passwörtern und das regelmässige Ändern sind ein guter Ansatz.

Vor allem aber gilt es in jeder Organisation ein gutes Bewusstsein für die Bedeutung sicherer Passwörter zu schaffen. Regelmässige Schulungen zur Informationssicherheit sind hier unerlässlich. Ausserdem sollten Best Practices vom Management nicht nur in Richtlinien festgehalten, sondern auch vorgelebt werden.

Machen Sie Ihre Mitarbeiter zur zweiten Firewall!

Testen Sie jetzt unsere interaktiven Onlineschulungen zur Informationssicherheit – natürlich auch mit einem Lehrvideo zu sicheren Passwörtern!