Passworthygiene: Expertentipps für Unternehmen
16. März 2023Das Thema Sicherheit für Zugangsdaten in Unternehmen muss wegen der neuen Arbeitsweisen – Stichwort Hybrid Work – neu gedacht werden. Daher sollten die besten Methoden im Umfeld der Passworthygiene zum Einsatz kommen.
Kennen sich Mitarbeiter nicht mit Passworthygiene aus oder ignorieren diese aufgrund ihrer Bequemlichkeit, stellen sie ein ernsthaftes Risiko für sich selbst und ihr Unternehmen dar. Laut des Verizon Data Breach Investigations Reports aus dem Jahr 2022 ist bei 82 Prozent der Datenschutzverletzungen ein menschliches Element beteiligt.
Menschen spielen bei Datenschutzverletzungen und anderen Sicherheitsvorfällen eine große Rolle, etwa wenn sie Opfer von gestohlenen Zugangsdaten, Phishing, Missbrauch oder einfach menschlichem Versagen werden.
Was ist Passworthygiene?
Bei der Passworthygiene geht es um die Einhaltung von Praktiken für sichere Passwörter und dafür braucht es sinnvolle Regeln und Tools. Denn was für den einen bereits gut und sicher erscheint, ist für den anderen noch gefährliche Schlamperei. Es geht darum, Cyber-Angriffe, Vireninfektionen, Social Engineering, Kontoübernahmen und vieles mehr effektiv zu verhindern.
Angreifer erraten nicht nur die Passwörter der Benutzer, sondern verwenden auch immer raffiniertere Methoden, um sensible Daten zu stehlen. Zu den Methoden gehören beispielsweise Brute Force, Social Engineering, Malware und vieles mehr. Passworthygiene ist also die erste und damit wichtigste Sicherheitsstufe, die Angreifer davon abhält, an Passwörter zu gelangen.
Passwortmanager wie von Keeper helfen bei der Einhaltung einer guten Passworthygiene. Von der Passwortverwaltung bis hin zur Überwachung des Dark Web bietet Keeper eine Suite von Cybersecurity-Funktionen, um die Sicherheitslage von einzelnen Mitarbeitern sowie von ganten Teams zu stärken.
Mit nur wenigen Schritten und dem Einsatz geeigneter Tools, lassen sich die Risiken mit Zugangsdaten und Passwörtern zu einem großen Teil reduzieren. Mit den folgenden Tipps verbesserten Unternehmen die Sicherheit maßgeblich:
Umsetzen einer Zero-Trust-Kultur
Zero-Trust geht davon aus, dass jeder Benutzer oder jedes Gerät gefährdet sein könnte. Jede Person und jedes Gerät müssen überprüft werden, bevor der Zugang zu einem Netzwerk gewährt wird. Unternehmen können mit einem Zero-Trust-Sicherheitsmodell verhindern, dass Cyber-Angreifer Zugang zum Netzwerk erhalten.
Eine Zero-Trust-Architektur verhindert zudem die gefährliche seitliche Bewegung der Cyber-Kriminellen durch eine wirksame Netzwerksegmentierung. Selbst wenn ein Cyber-Angreifer sich über einen nicht autorisierten Zugangspunkt Zugang verschaffen würde, würde die kontinuierliche Überprüfung, die das Zero-Trust-Modell erfordert, den Angreifer daran hindern, sich seitlich durch das Netzwerk zu bewegen.
Gute Cyber-Hygiene-Praktiken etablieren
Richtlinien, um die Sicherheitsregeln und -praktiken am Arbeitsplatz zu standardisieren, sind wichtig. Jeder Mitarbeiter sollte daher mit aktueller Software und Tools wie z. B. einem Passwortmanager ausgestattet sein. Passwortmanager bieten diverse Vorteile, die bei der Passwort-Hygiene helfen. Dazu gehört die Passwortgenerierung – eine Funktion, die automatisch sichere Passwörter erstellt.
Ebenso wichtig ist die Multi-Faktor-Authentifizierung (MFA) – eine Authentifizierungsmethode, bei der Benutzer mindestens zwei Arten der Identifizierung vorweisen müssen, bevor sie Zugang zum Konto erhalten. Bequem macht es ein sicheres Autofill – eine Funktion, die automatisch und vor allem sicher die Anmeldedaten eines Benutzers auf Websites und in Apps eingibt.
Allerdings sollten den Mitarbeitern neben technischen Hilfen auch einige Regeln bekannt sein, um das Risiko nicht versehentlich zu erhöhen: Dazu gehört, Passwörter nicht wiederzuverwenden. Das mehrmalige Verwenden von Passwörtern macht es Cyber-Angreifern leicht, mit nur einem Satz von Anmeldedaten auf mehrere Konten zuzugreifen. Des Weiteren gehören keine persönlichen Informationen in Passwörter.
Passwörter dürfen in keinem Zusammenhang mit dem Nutzer, dem Team oder der Organisation stehen. Cyber-Angreifer erraten Passwörter oft anhand persönlicher Informationen wie Namen, Geburtstage und anderer bekannter Daten. Die sichersten Passwörter enthalten zufällige Zeichenfolgen aus Groß- und Kleinbuchstaben, Ziffern und Symbolen.
Verwenden eines Remote Desktop Managers
Wenn die Arbeit mit nach Hause genommen wird, kann es schnell unübersichtlich werden, wenn die Grenzen zwischen dem Privatleben und dem Arbeitsleben nicht von Anfang richtig festgelegt werden. Mit einem Remote-Desktop-Manager können Mitarbeiter von jedem beliebigen Ort aus auf ihre Arbeitsdesktops zugreifen.
Eine agentenlose Option wie Keeper Connection Manager bietet eine Sitzungsaufzeichnung, die gemeinsame Nutzung von Mehrbenutzersitzungen, die Verwaltung von privilegierten Sitzungen und vieles mehr.
Multi-Faktor-Authentifizierung (MFA)
Die Multi-Faktor-Authentifizierung (MFA) kann laut Microsoft 99,9 Prozent der passwortbezogenen Cyber-Angriffe auf Konten verhindern. Mitarbeiter sollten also MFA für alle Konten aktivieren, die es unterstützen.
Nach der Anmeldung bei einem Konto verlangt MFA von den Benutzern die Angabe eines zusätzlichen Authentifizierungsfaktors. Der Vorteil: wenn Bedrohungsakteure über funktionierende Anmeldedaten verfügen, können sie diese ohne diesen zusätzlichen Authentifizierungsfaktor nicht verwenden.
Schulung zur Verhinderung von Phishing-Betrug
Mitarbeiter sind die erste Verteidigungslinie, um das Unternehmen zu schützen. Es ist also sinnvoll, das Team zu schulen, um zu verhindern, dass sie von Cyber-Angreifern getäuscht werden. Social-Engineering-Angriffe nehmen weiter zu. Laut dem Bericht Phishing Activity Trends der Anti-Phishing Working Group gab es beispielsweise im März 2022 mit 1.025.968 Phishing-Angriffen einen Anstieg um 15 Prozent gegenüber dem vierten Quartal 2021.
Es lohnt sich also auf Anzeichen von Phishing-Attacken, wie etwa Tippfehler, verdächtige E-Mail-Adressen, ungewöhnliche Anfragen oder eine seltsame Dringlichkeit, zu achten.
Craig Lurey ist CTO bei und Co-Founder von Keeper Security.