Tipps für den sicheren Umgang mit Passwörtern in Unternehmen

Die Datenschutz-Grundverordnung fordert von allen datenverarbeitenden Stellen unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten zu implementieren (Art. 32 DS-GVO).

Diese Vorgabe begegnet uns im Datenschutzalltag tag täglich und ist auf eine Vielzahl von Sachverhalten anzuwenden, so auch auf die Erstellung geeigneter Passwortvorgaben für die Beschäftigten.

 

Nur eine weitere Vorgabe, ohne tatsächlichen Sicherheitsgewinn?

Nein! Warum der Wahl eines starken Passwortes eine kaum zu überschätzende Bedeutung zukommt, veranschaulichen die folgenden Bedrohungsszenarien. Denn Passwörter können über die unterschiedlichsten Kanäle den Weg zu unbefugten Personen finden.

 

Angriffe auf Ihre Systeme

Im Internet gibt es frei verfügbar Software, die speziell dazu entwickelt wurde andere Computersysteme anzugreifen und deren Zugänge auszuspähen. Die populärste Methode ist der sogenannte Brute-Force Angriff: Der Angreifer versucht, durch bloßes „ausprobieren“ von Passwörtern, Zugang zum System zu erhalten. Je nach Rechenleistung und Anbindung der involvieren Systeme (Angreifer und Opfer) können Angreifer ca. 2,15 Milliarden Passwörter in der Sekunde generieren und ausprobieren.¹ Die Zahl der Versuche pro Sekunde steigt kontinuierlich mit Zunahme der Rechenleistung aktueller Systeme. Dabei werden zunächst einfache und häufig genutzte Passwörter ausprobiert. Im Anschluss werden Einträge aus Wörterbüchern, Jahreszahlen, Namen und Kombinationen aus diesen getestet. Je nach Komplexität des Passwortes kann das Passwort in – für den Angreifer – vertretbaren Zeiträumen erraten werden. Sofern keine technischen und organisatorischen Maßnahmen getroffen wurden, wie z.B. die Sperrung des Logins nach X-Fehlversuchen für einen gewissen Zeitraum, ist es nur eine Frage der Zeit, bis Angreifer Zugang zu Ihren Systemen und Netzwerken erlangen.

Wählen Sie beispielsweise ein Passwort aus sieben Kleinbuchstaben, ergeben sich daraus grob 8 Milliarden verschiedene Buchstabenkombinationen. In unserem Beispiel benötigt der Angreifer gerade mal 4 Sekunden, um das Passwort zu erraten. Diese 4 Sekunden stellen jedoch die Maximalzeit dar, mit Glück – zugegeben sehr viel Glück – könnte bereits der erste Versuch ein Treffer sein. Bei einem Passwort, welches aus 3 von 4 Kriterien (Groß- und Kleinschreibung, Zahlen und Sonderzeichen) und einer Zeichenlänge von 12 Zeichen besteht, gibt es 2.000285392686698e+23 Kombinationsmöglichkeiten. Es ergibt sich eine Maximalzeit von 47.639 Jahren.¹

Die Sicherheit eines Kennwortes steigt demnach beachtlich, mit der Länge und Komplexität.

 

Phishing

Leider ist auch ein hochkomplexes und beliebig langes Passwort niemals absolut sicher, warum ist das so? Neben der oben beschriebenen Angriffsmethode gibt es noch weitere Angriffsvektoren, zum Beispiel das sogenannte Phishing. Jeder kennt es, man bekommt vermeintlich eine E-Mail von Amazon, in der man zum Kauf einer Playstation 4 beglückwünscht wird. Als Adressat wird eine völlig fremde Adresse angegeben. Der unbedarfte Anwender ist nun dazu geneigt, auf den entsprechenden Link der E-Mail zu klicken, um sich schnell bei Amazon einzuloggen und den vermeintlichen Kauf zu stornieren. Folgt man diesem Link, gelangt man auf eine Internetseite, die der original Amazon Seite zum Verwechseln ähnlich sieht. Dort wird man zur Eingabe des Nutzernamens und Passwortes aufgefordert, kommt man dem nach, erhält der Angreifer die Zugangsdaten und ist fortan im Besitz Ihres Passwortes. Solche Systeme können auch gezielt entwickelt werden, um Firmen anzugreifen. Entsprechende Portale können in kurzer Zeit nachgebaut werden und die Angreifer werfen die Angel zum Phishing aus, bis ein Mitarbeiter „angebissen“ hat.

In diesem Szenario empfiehlt es sich, grundsätzlich nicht über die angebotenen Links die jeweiligen Plattformen aufzurufen, sondern die gewünschte Adresse selbst im Browser einzugeben. Das geschulte Auge ist in der Lage gefälschte Seiten zu erkennen, obwohl die Qualität der Fälschungen zum Teil beeindruckend ist. Für den ungeübten Anwender ist es beinahe unmöglich eine gute Phishing Seite als solche zu identifizieren. Als weiteren Schutz können Browser Plug-Ins und Antivirensoftware den Besuch von Phishing-Seiten unterbinden.

 

Die Unachtsamkeit der Anwender

Neben den genannten Angriffsvektoren kommt der Anwender als Sicherheitsrisiko selbst hinzu. Leider viel zu oft muss ich als externer Datenschutzbeauftragter den in Schulungen viel belächelten Zettel am Bildschirm bemängeln, der in der Realität leider nach wie vor anzutreffen ist. Auch die Passwortablage in der Schublade oder an anderen leicht zugänglichen Orten ist regelmäßig nicht geeignet. Es müssen weitere Maßnahmen zu ergriffen werden, um den Zugriff einzuschränken. Ein weiteres Problem kann der Login in öffentlichen Bereichen wie Bus, Bahn, Bahnhof oder im Café sein. Das Passwort kann hier ohne technische Hürden einfach bei der Eingabe abgelesen werden. Daher ist in öffentlichen Bereichen besonders darauf zu achten, dass keine Einsichtnahme möglich ist.

 

Unzureichende technische und organisatorische Maßnahmen der Dienstleister und Partner

Selbst wenn Sie alle bisher genannten Ratschläge umsetzen, kann es ein Lieblingspasswort nicht geben! Selbst ein sehr komplexes Kennwort kann ohne ihr Zutun seinen Weg in die Öffentlichkeit finden. Denn auch die Dienstleister und Partner, mit denen Sie zusammenarbeiten, sind nicht vor Fehlern oder unzureichenden TOMs gefeit.

Jüngst zeigte das Beispiel von Knuddels, warum ein Passwort niemals für unterschiedliche Dienste und Anwendungen zu nutzen ist. Besagte Plattform speicherte die Zugangsdaten seiner Nutzer im Klartext. Durch einen Hackerangriff wurde die Datenbank mit den Passwörtern entwendet und im Internet veröffentlicht. Die veröffentlichten Passwörter werden durch Angreifer nun sicherlich nicht genutzt, um auf der Plattform nette Beiträge im Namen der Betroffenen zu verfassen, sondern um an sämtlichen anderen Plattformen die Zugangsdaten ebenfalls auszuprobieren. Denn auch die Angreifer wissen, dass ein Großteil der Anwender die gleichen Passwörter für unterschiedliche Systeme verwenden. Im sogenannten Darknet gibt es ganze Passwortdatenbanken, zum freien Download. In diesen Datenbanken werden sämtliche „geleakte“ Passwörter zusammengetragen.

Ob Sie selbst bereits Opfer einer solchen Veröffentlichung geworden sind, können Sie über entsprechende Identity Leak Checker im Internet überprüfen.

Sollten Sie betroffen sein und das entsprechende Passwort noch im Einsatz haben, empfiehlt es sich dringend das Passwort umgehend zu ändern. Natürlich können diese Identity Leak Checker nicht vollumfänglich Auskunft geben. Die bloße Negativauskunft heißt nicht zwangsläufig, dass kein Datensatz von Ihnen veröffentlicht wurde, sondern lediglich, dass die überprüften Datenbanken keinen Eintrag enthalten.

Aus besagtem Grund ist es sowohl im betrieblichen, als auch im privaten Kontext dringend davon abzuraten, die gleichen Passwörter für unterschiedliche Dienste zu verwenden.

 

Wie Sie sich mehrere sichere Passwörter merken können

Sie können folgende Ratschläge befolgen, um sich komplexe Passwörter leicht zu merken: Verwenden Sie nur die Anfangsbuchstaben eines leicht zu merkenden Satzes.

AmE2sadSKidWSidH! = Alle meine Entchen (dann 2-mal) schwimmen auf dem See, Köpfchen in das Wasser, Schwänzchen in die Höh!

Eine weitere Möglichkeit beliebig viele und komplexe Passwörter zu verwenden, stellen digitale Passworttresore dar. Die kostenlose Anwendung KeePass gibt es für alle gängigen System, ob Windows, Mac oder Android. Doch wie funktioniert ein Passworttresor?

Die Software speichert sämtliche Ihrer Passwörter in einer entsprechenden Datenbank. Diese Datenbank wird mit einem sicheren Verschlüsselungsalgorithmus verschlüsselt. Der Tresor lässt sich dann nur mit dem dazugehörigen (sicheren und gut durchdachten Passwort) öffnen. Sie müssen sich dementsprechend lediglich dieses eine Passwort merken. Sämtliche anderen Passwörter können in dem Tresor gespeichert und bei Bedarf per kopieren und einfügen für die aktuelle Anwendung übernommen werden. Sie können also beliebig viele und beliebig lange Passwörter verwenden! Ein weiterer Vorteil dieser Tresore ist, dass in aller Regel ein Kennwortgenerator für sichere Passwörter mit dabei ist – das „ausdenken“ eines sicheren Passwortes entfällt.

Hinweis: Sichern Sie diese Schlüsseldatenbank unbedingt an einem sicheren, zweiten Ort und bewahren das Passwort zur Sicherheit ebenfalls an einem sicheren Ort, wie bspw. einem physischen Tresor auf.

Die Passwortrichtlinie

Um ihr Unternehmen nachhaltig abzusichern und um sicherzustellen, dass jeder Mitarbeiter sich an die hier vorgestellten Maßnahmen hält, ist es unerlässlich, eine Passwortrichtlinie in Ihrem Unternehmen zu verabschieden.

Die Passwortrichtlinie sollte wenigstens die folgenden Punkte regeln:

      • Passwortmindestlänge
      • Anzahl der Kriterien (Klein-, Großbuchstaben, Zahlen und Sonderzeichen)
      • Ausschlusskriterien für Passwörter
      • Passwortgenerationen (Ausschluss von x Generationen bisheriger Passwörter)
      • Anzahl der Fehlversuche vor einer Sperre
      • Verwendung unterschiedlicher Passwörter, für unterschiedliche Systeme
      • Verbot der Weitergabe von Passwörtern
      • Wie gelangen Passwörter initial zu den Anwendern?

 

Sofern Ihr Unternehmen über feste Wechsel-Intervalle debattiert, sollte bedacht werden, dass dies unter Umständen einen gegenteiligen Effekt haben könnte. Anstelle eines Sicherheitsgewinns, notieren sich Angestellte die Passwörter auf Zetteln und Notizen. Aktuelle Empfehlungen sehen daher von einer Wechselpflicht ab.

Auch wenn es im IT-Umfeld niemals eine vollumfängliche Sicherheit geben kann, so erhöht die Einhaltung der geschilderten Maßnahmen sowohl die Sicherheit Ihrer personenbezogenen Daten, als auch Ihrer Geschäfts- und Betriebsgeheimnisse erheblich.

 

Dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Datenschutzbeauftragte wieder.

Von Steven Bösel

Bildquelle: Bild von Jan Alexander auf Pixabay

 

1 Heiko Schröder, Autor der Passwortverwaltung 1PC. Zusammenhang von Brute-Force-Attacken und Passwortlängen. Link: https://www.1pw.de/brute-force.php [abgerufen: 24.07.2019]