IT-Sicherheit

In wenigen Schritten zum sicheren Passwort (inkl. Merkhilfe)

Kurzfassung - In der aktuellen Zeit nimmt die Bedeutung einer IT-Infrastruktur einen wachsenden Stellenwert ein, da Betriebe durch die Zunahme digitaler Geschäftsmodelle mehr und mehr auf diese angewiesen sind. Mitarbeiter arbeiten von der Ferne (Remote) auf Serversystemen und tauschen wichtige Dokumente untereinander aus, sei es per E-Mail oder über ein gemeinsames Netzlaufwerk. So sollte es eigentlich selbstverständlich sein, dass der verstärkte Einsatz und das Wachstum der IT-Landschaft gleichzeitig ein wachsendes Sicherheitsrisiko bedeuten kann und der Sicherheit des Netzwerks mindestens genau so viel Aufmerksamkeit geschenkt werden sollte wie deren Ausbau. Hier spielen sichere Passwörter eine zentrale Rolle. Wir zeigen Ihnen in diesem Beitrag, dass der Weg zu einem sicheren Passwort einfach und schnell erledigt ist.

Montag, 15. Februar 2021
menten-it-services: In wenigen Schritten zum sicheren Passwort

Warum ist ein sicheres Passwort so wichtig?

Der Zugang zu Diensten und Programmen gestaltet sich meist relativ einfach. Es sind nur zwei Dinge notwendig: Ein Benutzername und ein Passwort. Doch genau so einfach wie es sich für den Benutzer gestaltet, so einfach kann es auch für einen Außenstehenden sein diese beiden Parameter zu erraten. E-Mails, Kamerasysteme, wichtige Dokumente auf Servern, Finanzprogramme, Systeme in Produktionen und Alarmanlagen: Für die Anmeldung an diesen Systemen wird nur ein Benutzername und des Öfteren ein ziemlich simples Passwort benötigt. Häufig stehen die Passwortstärke und das Risiko, dem sich ein Benutzer/Unternehmen durch unerwünschten Zugriff durch Dritte aussetzt in keinem guten Verhältnis. Umso wichtiger ist es deshalb ein ausreichend komplexes Kennwort mit unterschiedlich kombinierten Buchstaben, Ziffern und Zeichen einzusetzen, um die Systeme so vor dem ungewollten Zugriff zu schützen.

Wie gelangt ein Passwort unbemerkt an Dritte?

Der einfachste aber auch der am schnellsten zu vermeidende Weg ist der klassische Notizzettel am Monitor oder unter der Tastatur. Hier hilft es den Zettel zu vernichten und das Passwort auswendig zu lernen. Aber selbst ohne Notizzettel und mit sicherem Passwort wissen sich Außenstehende zu helfen. Die einfachste Methode an Passwörter von Benutzern zu gelangen sind Passwortlisten welche im Internet heruntergeladen werden können. Auf diesen Listen finden sich Zugangsdaten verschiedener Nutzer, die meist durch eine Sicherheitslücke aus der Datenbank einer Internetseite oder eines Programms gestohlen wurden. Kriminelle nutzen dann Programme, mit denen Sie entweder solange Passwörter erzeugen bis diese mit den gestohlenen Daten übereinstimmen oder Sie überprüfen die gestohlenen unmittelbar durch Anmeldeversuche auf Ihre Gültigkeit. 

Eine einfache und kostenlose Möglichkeit zu überprüfen, ob die eigenen Zugangsdaten bereits in Konflikt mit gestohlenen Anmeldedaten standen, bietet die Webseite haveibeenpwned.com. Sie gibt Informationen darüber, ob die angegebene E-Mail-Adresse bereits einmal auf einer Webseite verwendet wurde, welche einem Datendiebstahl zum Opfer gefallen ist.

menten-it-services: Wie gelangt ein Passwort unbemerkt an Dritte?

Zusätzlich zu den oben sogenannten "Passwortlisten" gibt es weitere Schwachpunkte. So nutzen Angreifer Programme um Passwörter zu knacken. Diese Programme nutzen Wortlisten (zum Beispiel jedes Wort eines Wörterbuchs) für das systematische Erraten/Ausprobieren von Passwörtern. Dabei arbeitet das Programm zum schnelleren Erraten des Passworts mit Passwortmustern. Das Programm fügt dabei die Wörter, Zahlen und Zeichen nach typischem Aufbau von Passwörtern zusammen. Ein häufig vorkommendes Muster ist beispielsweise die Kombination: Wort + Zahl + Sonderzeichen. Bei der Wahl eines sicheren Passworts sollte daher auf bekannte Muster verzichtet werden.

Wie schütze ich mich gegen Passwortdiebstahl?

Es gibt viele Möglichkeiten an die Passwörter von Nutzern heranzukommen. Deshalb ist es neben  der Wahl eines sicheren Passworts sinnvoll, Passwörter regelmäßig (allerdings nicht zu häufig) zu ändern. Es hat sich gezeigt, dass bei der regelmäßigen Änderung der Passwörter die Benutzer dazu tendieren diese nur zu ergänzen: z. B. durch eine Zahl oder ein Zeichen am Ende. Der Effekt durch diese minimale Änderung ist dabei allerdings zu gering. Am wichtigsten ist es darauf zu achten auf verschiedenen Internetseiten oder in Programmen auch verschiedene Passwörter zu wählen. Das limitiert den Nutzen veröffentlichter Passwortlisten. Neben variierenden Passwörtern gibt es seit längerem auch die Möglichkeit die Anmeldung mit Benutzername und Passwort durch die sogenannte Zweifaktor-Authentifizierung zu ergänzen. Viele Anbieter (z. B. Google oder Microsoft) bieten diese Funktionen als Erweiterung an. Das System arbeitet so, dass neben dem Passwort auch eine zusätzliche Authentifizierung erforderlich wird.  So erhält der Benutzer einen Code per E-Mail oder direkt auf das eingerichtete Gerät (z. B. Smartphone). Durch die Eingabe des zugesandten Codes wird bei der Anmeldung sichergestellt, dass es sich auch um die berechtigte Person handelt. Denn: Ein Angreifer müsste somit auch noch zusätzlich zum Passwort Zugriff auf das Handy des "Opfers" besitzen.

Welche Rolle spielt das Home-Office?

Durch die Corona-Pandemie arbeiten Mitarbeiter vieler Unternehmen von zu Hause aus. Die meisten Unternehmen nutzen dafür ein sogenanntes VPN (ein Virtual Private Network), welches ermöglicht auch von zu Hause virtuell im Netzwerk des Unternehmens zu arbeiten. So haben die Benutzer weiterhin Zugriff auf den eigenen Rechner und Server und somit meistens auf alle Dokumente des Unternehmens als wären diese selbst im Büro. Doch so praktisch das System hinter einer VPN-Lösung auch sein mag, die Verbindung funktioniert häufig nur über die Eingabe eines Benutzernamens inkl. Passworts. Gelangt das Passwort in die falschen Hände oder kann es erraten werden, ist ein Zugriff von einem beliebigen Standort aus über das Internet möglich. 

FALLBEISPIEL: Einen solchen Fall erlebte 2016 die Zentralbank von Bangladesch: Von extern konnte sich eine Gruppe Unbefugter Zugang zum internen Bankennetzwerk verschaffen, indem sie sich über die Benutzerdaten eines Mitarbeiters als verifizierter Mitarbeiter tarnten und US-Dollar-Beträge im zweistelligen Millionenbereich auf verschiedene Konten überwiesen. Das Geld konnte bis heute nicht wiedergefunden werden. Die Bank bemerkte den Fehler zu spät und konnte gerade rechtzeitig weitere Überweisungen in dreistelliger Millionenhöhe verhindern. Der beschriebene Angriff hätte mit hoher Wahrscheinlichkeit durch die Wahl eines sicheren Passwortes verhindert werden können. (Quelle)

Wie wird ein sicheres Passwort gewählt?

Doch wie wird ein sicheres Passwort gewählt? Was gibt es zu beachten und gibt es auch eine einfache Möglichkeiten unkompliziert ein sicheres Kennwort zu erstellen? Für das Erstellen eines sicheren Passworts gibt es eine Vielzahl verschiedener Anleitungen und Anregungen im Internet. Viele sind sich sehr ähnlich und unterscheiden sich kaum. Dieser Blogeintrag orientiert sich für den Fall einer unternehmensweiten Passwortänderung aller Benutzer an den empfohlenen Kriterien des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Diese Kriterien sowie wissenswerte Hinweise lauten wie folgt:

Mindestens:

  • Einen Großbuchstaben enthalten
  • Einen Kleinbuchstaben enthalten
  • Eine Zahl enthalten
  • Ein Sonderzeichen (z.B. +#*?!/&%$...) enthalten

Mindestens:

  • Bei einer Länge von 8 - 12 Zeichen sollte ein Passwort alle genannten Kriterien erfüllen
  • Bei einer Länge von 20 - 25 Zeichen sollte ein Passwort mindestens zwei der genannten Kriterien erfüllen

Nicht enthalten sein sollten Namen oder Zahlen mit folgender Bedeutung:

  • Familienmitgliedern
  • Partnern / Lebensgefährten
  • Den eigenen Namen
  • Arbeitgebern
  • Benutzernamen oder Teile von E-Mail-Adressen
  • Keine ausgeschriebenen Wörter
  • Das eigene Alter
  • Geburtsdatum
  • Geburtsdatum von Bekannten, Familienmitgliedern oder ähnliches
  • Gründungsjahr Ihres Arbeitsgebers / Ihres Unternehmens
  • "12345" oder ähnliches

Eine einfache Möglichkeit ein sicheres Passwort zu erstellen

Ähnlich wie zu Schulzeiten kann Ihnen bei der Passworterstellung eine Eselsbrücke helfen. Sie bestimmen zur Passworterstellung einen Merksatz und können sich somit ein vermeintlich kompliziertes Passwort einfach merken.

CheatSheet für die sichere Passworterstellung
Merksatz Ein sicheres Passwort und ein guter Virenschutz sind mir wichtig.
Anleitung Nehmen Sie für Ihr Passwort nun jeweils den ersten Buchstaben aller Wörter, ausgeschriebene Zahlen als Ziffern und ersetzen "und" und "oder" mit einem "+" und "/", so erhalten Sie ein sicheres Passwort, das Sie sich mit nur einem Satz merken können.
Passwort 1sP+1gVsmw.

"Aus großer Kraft folgt große Verantwortung"¹: Ein sicheres Passwort ist Pflicht!

Passwörter sind der wichtigste Schlüssel um an verschiedene sensible Dienste, Netzwerke und Datenbanken zu gelangen. Auch wenn der Zugriff, den ein Passwort ermöglicht, unscheinbar wirkt, so steckt dahinter oft eine große Verantwortung, die von jedem Benutzer wahrgenommen werden muss. Umso wichtiger ist die Wahl eines möglichst sicheren Passworts, bei dem der Aufwand mit dem oben beschriebenen Weg verschwindend gering ist.

¹ Bei dem Zitat handelt es sich um ein Zitat von Spider-Man-Autor Stan Lee.

Zurück zur Übersicht
Telefon
Telefon
Kontaktformular
Kontaktformular

Sie haben weitere Fragen? Schildern Sie uns Ihr Anliegen und wir melden uns schnellstmöglich bei Ihnen zurück.

Ich habe die Datenschutzerklärung zur Kenntnis genommen. Ich stimme zu, dass meine Angaben zur Kontaktaufnahme und für Rückfragen dauerhaft gespeichert werden. Absenden
Live-Chat
Live-Chat

Wie können wir Ihnen behilflich sein? Chatten Sie mit uns! Einer unserer Experten wird unverzüglich für Sie zur Verfügung stehen.

Ich habe die Datenschutzerklärung zur Kenntnis genommen. Ich stimme zu, dass meine Angaben zur Kontaktaufnahme und für Rückfragen dauerhaft gespeichert werden. Chat starten