Passwortsicherheit im Unternehmen

Die Relevanz sicherer Passwörter

Passwörter sind fester Bestandteil unseres Alltags, sie sind weder im beruflichen noch im privaten Kontext wegzudenken. Überall wird ein Passwort benötigt: bei der Anmeldung am Arbeitscomputer, für den Zugang zu Streaming-Diensten, Online-Banking oder Social-Media-Kanälen. Passwörter sind eine wichtige Maßnahme, um die Daten vor ungewollter Offenlegung zu schützen.

Umso größer ist das Interesse von Hackern, an Passwörter zu gelangen.

• Sie versuchen z.B. durch sogenannte Ransomware-Angriffe an Personaldaten, Unternehmensdaten etc. zu gelangen, mit dem Ziel durch Verschlüsselung der Daten eine beträchtliche Summe an Geld zu erpressen.
• Auch mittels Phishings werden Zugangsdaten ausgespäht, um Daten zu entwenden oder zu verschlüsseln.
• Brute-Force-Attacken versuchen mit brachialer Gewalt Logins zu knacken, indem sie die Hashwerte von Tausenden Zeichenkombinationen mit den auf einem Server bzw. System abgespeicherten gehashten Passwörtern vergleichen.

Um solche kriminellen Machenschaften einzudämmen, spielt insbesondere die Passwortsicherheit eine herausragende Rolle.

Empfehlungen des BSI zur Passwortsicherheit

Um den richtigen Umgang mit Passwörtern zu verdeutlichen, bringt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in regelmäßigen Abständen Empfehlungen und Handhabungen heraus. Diese beinhalten u.a. Tricks zum besseren Merken sicherer Passwörter, Auflistungen ungeeigneter Passwörter, wie auch Empfehlungen mit Mindestvorgaben zur Passwortkomplexität. Hiernach gilt ein Passwort momentan als sicher, wenn es eine Länge von acht bis zwölf Zeichen hat und aus mindestens vier Zeichenarten (Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen) besteht.

Eine der wichtigsten jährlichen Veröffentlichungen des BSI ist das IT-Grundschutz-Kompendium. Dieses beleuchtet alle relevanten Fragen rund um die Informationssicherheit.

Dabei wird unter anderem auch der Umgang mit Passwörtern thematisiert, insbesondere Vorgaben für Unternehmen zu Regelungen wie

• die einmalige Verwendung eines Passwortes (Passwortgebrauch),
• die Passwortqualität („das Passwort muss komplex sein, aber nicht zu komplex, um dies auch regelmäßig zu verwenden“) und
• die Umsetzung eines sicheren Verfahrens für die Zurücksetzung von Passwörtern.

Weiterhin enthält das Kompendium die Vorgabe zu prüfen, ob das Passwort als alleiniges Authentifizierungsverfahren ausreichend ist, oder ob noch andere Verfahren wie etwa Multi-Faktor-Authentisierung benötigt werden, um die Sicherheit der Daten zu gewährleisten.

Dynamik der Sicherheit von Passwörtern

Allerdings ist die Sicherheit des Passwortes unter Berücksichtigung der Passwortlänge sehr dynamisch. Daher könnte ein Passwort, das aktuell mit acht Zeichen als noch sicher gilt (vorausgesetzt, die Vorgaben bezüglich der Passwortkomplexität werden eingehalten), schon bald als nicht mehr sicher gelten. Dies ist insbesondere den immer größer werdenden Rechenleistungen geschuldet, die es ermöglichen, ein Passwort immer schneller zu knacken.

So wurde noch im Jahr 2018 ein Kennwort mit einer Zeichenlänge von elf Zeichen (inklusive Zahlen, Groß- und Kleinbuchstaben sowie Sonderzeichen) als so sicher eingestuft, dass Hacker Berechnungen zufolge rund 400 Jahre benötigt hätten, um dieses zu knacken. Im Jahre 2022 benötigt ein Hacker für solch ein Passwort mit den gleichen Mindestvorgaben nur noch 34 Jahre.

Einer der Gründe für diese drastische zeitliche Verringerung sind die oben erwähnten, steigenden Rechenleistungen, die insbesondere sogenannte Brute-Force-Angriffe möglich machen. Bei diesen Angriffen werden innerhalb von Sekunden Tausende Passwortkombinationen ausprobiert.

Eine Möglichkeit, um Brute-Force-Angriffe technisch zu verhindern, besteht darin, die Anzahl der möglichen fehlgeschlagenen Anmeldeversuche zu begrenzen, um das Ausprobieren vieler Kombinationen zu verhindern.

Ebenfalls ist empfehlenswert, die Passwörter in einem vorher definierten Rhythmus regelmäßig zu ändern, um damit die Passwortlänge an die fortschreitende Dynamik anzupassen. Einige Aufsichtsbehörden sind zwar der Auffassung, es gäbe andere Möglichkeiten, die einen erzwungenen Wechsel erübrigen würden, wie bspw. das Verbot von Passwörtern aus Wörterbüchern oder das Lügen bei Sicherheitsfragen. Doch zahlreiche der genannten Anforderungen können von vielen Unternehmen nicht kontrolliert oder umgesetzt werden. Daher stellt die regelmäßige (erzwungene) Änderung von Passwörtern trotz alledem eine wichtige Maßnahme dar.

Zwei-Faktor-Authentifizierung

Mit der Verwendung von Multi-Faktor-Authentifizierung (MFA), oft auch Zwei-Faktor-Authentifizierung (2FA) genannt, lässt sich die Sicherheit der Daten signifikant erhöhen. Dabei wird die Identität anhand einer Kombination aus zwei oder mehreren Berechtigungsnachweisen überprüft.

Die 2FA kann in mehreren Varianten genutzt werden. Manche Verfahren verwenden die 2FA als ergänzenden Faktor zusätzlich zum Passwort, andere ersetzen das vorherige Passwort komplett mit der direkten Kombination zweier anderer Faktoren. Dabei besteht die Kombination der Faktoren aus Wissen, Besitz und/oder Biometrie:

• Zu den Wissensfaktoren zählen bspw. Passwörter und PIN-Nummern.
• Unter Besitz ist bspw. ein Tan-Generator (meist als SMS oder per zuvor verknüpfter MFA-App auf einem Smartphone) oder eine Chipkarte zu verstehen, und
• mit der Biometrie sind bspw. Fingerabdrücke gemeint.

Weitere Tipps zur Passwortsicherheit und der organisatorischen Umsetzung im Unternehmen

Zahlreiche Tipps, wie der Umgang mit Passwörtern stattzufinden hat gibt es zuhauf. Eine dieser Ratschläge ist, die Passwörter nicht aufzuschreiben und schon gar nicht an den Computer zu kleben. Hierbei kann ein sogenannter Passwortmanager Abhilfe leisten. Dieser Verwaltet die Kennwörter und Benutzernamen in einer verschlüsselten Datenbank. Doch bei der Verwendung eines solchen Passwortmanagers sind einige Anforderungen zu beachten: Zunächst ist eine Ende-zu-Ende-Verschlüsselung sowie eine verschlüsselte Datenspeicherung unbedingt erforderlich. Weiterhin sollte das Unternehmen die eingangs erwähnte Zwei-Faktor-Authentifizierung einbinden, um die hochsensiblen Daten noch besser zu schützen

Eine weitere Verpflichtung der DSGVO, in der ein sicherer Umgang mit Passwörtern wichtig ist, ergibt sich indirekt aus Art. 24 DSGVO, der Implementierung geeigneter technischer und organisatorischer Maßnahmen. Dabei ist ein wichtiges organisatorisches Instrument innerhalb des Unternehmens die Einführung einer Password Policy. Inhalte einer solchen Password Policy können bspw. die Verpflichtung einer gewissen Passwortlänge sein, das Verbot von Trivialpasswörtern oder der schon erwähnte erzwungene Passwortwechsel.

Ausblick: Was kommt nach dem Passwort?

Auch wenn Passwörter zurzeit ein fester Bestandteil unseres Alltags sind, ist es für die Zukunft durchaus denkbar, dass diese möglicherweise als Sicherheitsmaßnahme nicht mehr notwendig ist. Viele Unternehmen arbeiten bereits an neuen Technologien, die Passwörter ersetzen sollen. So funktioniert etwa der Login bei einigen Smartphones problemlos mit Iris-Scanner, Fingerabdruck oder Gesichtserkennung.

Eine der neuesten Entwicklungen ist die Erkennung des Nutzers anhand seines Tippverhaltens. Mit diesen Verifizierungsmethoden könnte das Passwort in Zukunft passé sein. Der Weg bis dahin dürfte jedoch noch lang sein.