Passwörter brauchen stärkeren Schutz

Die meisten Unternehmen schützen den Zugang zu ihren Netzwerken, Daten und Anwendungen mit Passwörtern, sind damit aber noch lange nicht auf der sicheren Seite. In Zeiten von Cloud-Diensten und mobilen Arbeitsplätzen gewinnt die Absicherung von Authentifizierungslösungen an Bedeutung. Passwörter müssen dringend besser geschützt werden.

Advertisement
Geht es um Passwörter, wird Deutschland seinem Ruf als Land der Dichter und Denker nicht gerecht. So deckt die vom Hasso-Plattner-Institut erstellte Liste der meist genutzten deutschen Passwörter eine erstaunliche Phantasielosigkeit ihrer Besitzer auf: Neben „123456“ waren „hallo“, „passwort“, „hallo123“, „schalke04“, „passwort1“ und „qwertz“ die beliebtesten Parolen. Um das Denken scheint es leider auch nicht viel besser bestellt zu sein. Viel zu häufig vergessen die Nutzer ihre Kennwörter und brauchen Hilfe beim Zurücksetzen ihrer Zugangsdaten. Im langfristigen Mittel, drehen sich 15 Prozent aller Service-Tickets um das Thema Passwort, fanden die Sicherheitsexperten von DXC Technology heraus. In Zeiten mit hohem Ticketaufkommen, kann dieser Anteil sogar auf bis zu 30 Prozent steigen.

Die mangelnde Phantasie ihrer Angestellten bei der Passwortfindung ist für Unternehmen gefährlich, weil sie Hackern den Zugang zum IT-Netzwerk und zu vertraulichen Daten zu einfach macht. Die Vergesslichkeit der Nutzer ist teuer, weil Unternehmen einerseits die Kosten für den Service-Desk stemmen müssen und gleichzeitig die Mitarbeiter nicht produktiv sind, während sie auf das Zurücksetzen der Passwörter warten.

Aufgrund der Wichtigkeit des Datenschutzes ist es naheliegend, dass Unternehmen die Systeme verbessern, um die Sicherheit zu erhöhen und die Kosten zu senken. Beide Ziele gleichzeitig zu erreichen, erweist sich aber als eine schwierige Gratwanderung. Verbessert man beispielsweise die Sicherheit, indem man den Nutzern vorschreibt, ihre Passwörter in regelmäßigen Abständen zu wechseln, erhöhen sich fast zwangsläufig die Anfragen an den Service-Desk. Die IT-Verantwortlichen müssen daher die Schritte genau gegeneinander abwägen.

Die Autoren eines DXC-Whitepapers empfehlen einige strategische Maßnahmen, die das Sicherheitsrisiko senken, die User Experience verbessern und die Folgen von vergessenen Passwörtern mildern. IT-Verantwortliche sollten folgendes bedenken:

  • Mit komplexeren Passwörtern kann man die Zeitspanne verlängern, nach der die Nutzer ihre Passwörter wechseln müssen.
  • Eine Mehrfaktoren-Authentifizierung senkt ebenfalls die Wechselfrequenz der Passwörter und verbessert gleichzeitig die Sicherheit.
  • Eine Single-Sign-on-Lösung mindert die Komplexität und reduziert falsche Passwort-Eingaben.
  • Für viele Lösungen und Anwendungen ist ein bloßer Passwort-Schutz nicht ausreichend.
  • Die Passwort-Wiederherstellung muss genauso sicher sein wie die Anwendung, die das Kennwort schützt.

Darüber hinaus raten die Autoren des DXC-Whitepapers zur Integration von Zugangsmanagementlösungen. Vor allem privilegierte Accounts seien anfällig für Angriffe, wenn mehrere Personen den Account gemeinsam nutzen. Hier könnten Password-Control-Systeme wie das von CyberArk Abhilfe schaffen, schreiben die Sicherheitsexperten. Mit einer solchen Lösung könnten die Passwörter besser administriert werden und für jeden Nutzer von privilegierten Accounts ein eigenes Zugangskennwort angelegt werden.


DXC-Whitepaper zum PasswortschutzDXC stellt das Whitepaper “The problem with P4$$WORDS!” auf seiner Webseite zum kostenfreien Download bereit. Darin beschreiben Experten die Logik guter Passwörter genauso wie die Maßnahmen, die Unternehmen ergreifen können, um die Sicherheit der Authentifizierungslösungen zu verbessern. Eine Auflistung von Passwort-Policies von anerkannten Organisationen rundet das Whitepaper ab.