Datenschutz durch Passwortrichtlinie Passwörter: Tipps gegen das Vergessen und für mehr Sicherheit

Vergessene Passwörter sind ein Ärgernis für die tägliche Arbeit in Handwerksbetrieben. Allerdings gibt es eine effektive Methode, um sich Passwörter besser merken zu können und sicher aufzubewahren: Eine Passwortrichtlinie für das Unternehmen. Diese Punkte sollten in einer solchen Vorgabe zu finden sein.

"Viele Internetnutzer stellt die große Menge der benötigten Passwörter vor Probleme", sagt Bitkom-Sicherheitsexperte Marc Fliehe. "Viele helfen sich, indem sie sehr einfache Passwörter oder das gleiche Passwort für verschiedene Dienste nutzen." Das aber sei gefährlich und öffne Hackern Tür und Tor.

Auch Christian Heutger, CTO bei der PSW Group Consulting, warnt vor unsicheren Passwörtern. Der IT-Sicherheitsexperte macht anhand häufig verwendeter Methoden deutlich, wie leicht es Angreifern gelingen kann, Passwörter zu erbeuten, um an gespeicherte Daten zu gelangen. "Mithilfe von Brute Force-Attacken versuchen Cyberkriminelle, Passwörter zu erraten. Dabei kombinieren sie Buchstaben, Satzzeichen, Zahlen und Sonderzeichen. Fast noch einfacher ist die so genannte Dictionary Attack, bei der Angreifer mit Datenbanken arbeiten, in denen oft verwendete Passwörter enthalten sind. Manchmal probieren sie auch einfach Begriffe aus einem Wörterbuch aus, weshalb ich eindringlich davor warne, Wörter, die so auch im Duden zu finden sind, als Kennwort zu verwenden."

Neuartige Hacker-Methoden Social Engineering und Sniffing

Aufwändiger sind hingegen die Methoden des Social Engineerings sowie des Sniffings. Bei letzterem überwachen Cyberkriminelle den Datenverkehr ihrer Opfer – einschließlich der Eingabe von Benutzernamen und Passwörtern. "Möglich ist die Überwachung beispielsweise durch den Einsatz von Schadsoftware auf dem System. Auch lassen sich Netzwerkverbindungen außerhalb der eigenen IT-Infrastruktur überwachen", erklärt Heutger.

Social Engineering hingegen ist eine besonders perfide Masche, denn die Passwörter müssen nicht erraten werden, sie werden direkt erfragt. So geben sich Angreifer als Kollegen aus der IT aus und erfragen zu angeblichen Testzwecken Passwörter. "Es gehört eine hohe Mitarbeitersensibilisierung dazu, nicht auf diese Masche hereinzufallen. Die Opfer handeln meist in gutem Glauben und geben sämtliche Zugangsdaten preis", so Christian Heutger.

Das sind die Inhalte einer schützenden Passwortrichtlinie:

All' diese Methoden der Cyber-Kriminellen zeigen, wie wichtig eine gute Passwortrichtlinie im Handwerksbetrieb ist. Darin wird festgehalten, wie ein sicheres Passwort überhaupt aussieht, die Mindestlänge eines Passworts, Vorgaben zur Verwendung von Sonderzeichen und die Angabe einer Zeitspanne, nach der ein Passwort zu ändern ist. Hier die wichtigsten drei Inhalte einer schützenden Passwortrichtlinie im Überblick:

1. Passwortlänge:
   # ausschließlich alphanumerische Zeichen verwenden
   # Mindestlänge 8 Zeichen, besser jedoch 12 Zeichen
   # Bei ausschließlich Ziffern sollte die Mindestlänge 6 Zeichen umfassen
   # Nach einer bestimmten Anzahl an Fehlversuchen sollte das Authentisierungssystem den Zugang sperren
2. Sonderzeichen:
   # Keine Namen, Geburtsdaten, Kfz-Kennzeichen etc. verwenden
   # Passwort sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Zahlen bestehen
   # Die Verwendung mindestens zweier Zeichenarten sollte Pflicht sein
3. Regelmäßige Passwort-Änderungen:
   # Jeder Benutzer sollte sein Passwort jederzeit ändern können – spätestens jedoch alle 90 Tage
   # Sollte ein Passwort Unbefugten in die Hände gefallen sein, muss ein Passwortwechsel sofort durchgeführt werden
   # Alte Passwörter dürfen nach einem Passwortwechsel auf keinen Fall wieder verwendet werden
   # Neues Passwort darf keine Variation eines alten Passworts sein (Beispielsweise nicht "PE567rd" statt "567Erd")

Folgende Hinweise helfen, sichere Passwörter zu finden:

"Viele Benutzer möchten Passwörter mit maximal acht Zeichen, idealerweise ohne Sonderzeichen, um sich Passwörter gut zu merken. Doch solchen Passwörtern kommen auch Cyberkriminelle schnell auf die Spur", spricht Heutger ein verbreitetes Problem an und macht deutlich: "Gute Passwörter sind lang. Sie bestehen aus mehreren Wörtern und verschiedenen Zeichen wie Zahlen oder Sonderzeichen." Allerdings: Zu viele Sonderzeichen sind auch nicht sinnvoll. Denn Passwörter mit vielen Sonderzeichen sind mithilfe von Brute Force-Attacke schnell herausgefunden. Nutzen Sie am besten folgende Bitkom-Hinweise für sichere Passwörter:

• Ein Online-Dienst, ein Passwort: Nutzen Sie Online-Dienste, sollten Sie für jeden Dienst ein eigenes Passwort benutzen. Eine Alternative ist es, ein "Grundpasswort" zu nutzen und dieses für jeden Dienst anzupassen. Allerdings leidet darunter die Sicherheit (Stichwort "Variation", siehe oben).

• Wörterbücher meiden: Am sichersten sind Passwörter, die aus einer zufällig zusammengewürfelten Reihenfolge von Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen bestehen.

• Mehr Zeichen bedeutet weniger Risiko: Nicht nur die Zusammensetzung des Passworts ist wichtig, sondern auch die Länge. Ein sicheres Passwort besteht aus mindestens 8 Zeichen.

• Per Eselsbrücke ans Ziel: Um Passwörter zu erstellen, die aus einer unzusammenhängenden Anzahl von Buchstaben und Zahlen bestehen, können die Anfangsbuchstaben aus ausgedachten Sätzen genommen werden, etwa: "Mein Verein gewann das entscheidende Spiel mit 3 zu 2!" Daraus lässt sich ein sicheres und gut zu merkendes Passwort erstellen: "MVgdeSm3z2!".

• Passwort-Manager als Alternative: Passwort-Manager erstellen auf Wunsch zufallsgenerierte Kennwörter und speichern sie in einer verschlüsselten Datenbank ab, die mit einem Master-Passwort gesichert wird. Anschließend wird nur noch das Master-Passwort benötigt. Für Smartphones und Tablet Computer werden häufig passende Apps angeboten. So können die sicheren Passwörter auch auf den Mobilgeräten genutzt werden. In diesem Fall ist es aber umso wichtiger, dass das Master-Passwort sicher ist und nicht einfach erraten werden kann.

Ganzheitliche Passwortrichtlinie umfasst auch Mitarbeiterschulungen und Speichervorschriften

In einer Passwortrichtlinie geht es nicht ausschließlich um die Festlegung von Passwörtern und Anforderungen an diese. Auch andere Bereiche müssen für einen ganzheitlichen Ansatz Berücksichtigung finden. Dazu gehört, Mitarbeiter dazu zu verpflichten, jedes Gerät, mit dem ein Zugriff auf personenbezogene Daten möglich ist, mittels Passwort abzusichern. "Diese Sicherheitsvorkehrungen sind jedoch nichtig, wenn die Daten unverschlüsselt durch fremde Netzwerke laufen. Deswegen müssen Sie in der Passwortrichtlinie auch Sicherheitsbestimmungen für Netzwerke sowie Verbindungen festhalten", gibt Heutger zu bedenken.

Das gilt im Übrigen auch für das Speichern von Passwörtern: Passwörter werden idealerweise verschlüsselt und an einem sicheren Ort aufbewahrt. "In der Passwortrichtlinie sollte darüber hinaus die vorgeschriebene Passwortänderung ihren Platz finden sowie zulässige Passwort-Manager aufgelistet werden. Zudem sollten Mitarbeiter angeleitet werden, beim Verlassen ihres Arbeitsplatzes den Bildschirm zu sperren – das gilt auch für alle mobilen Endgeräte", betont Christian Heutger. "So wird der Passwortschutz aktiv und es gibt eine Kontrolle über den Zugriff."