5 Tipps für gutes Passwortmanagement im Business
Cybercrime für Anmeldedaten auf Rekordhoch
Trauriger Rekord: Cyberkriminalität hat seit Beginn der Corona-Pandemie eine Hochphase. Der Sophos Phishing Report 2021 dokumentiert einen Anstieg der Phisihing-Attacken seit Anfang 2020 um satte 70 Prozent. Auch der Verizon Business 2021 Data Breach Investigations Report (DBIR), den wir in unserem Artikel Cybercrime 2021: Kriminalität im Netz dank Corona auf Rekordniveau analysierten, verzeichnete einen Anstieg von 60 Prozent bei Cyberattacken im Bereich der Anmeldedaten. Diese Zahlen zeigen: Passwort-Sicherheit ist ein wichtiger Faktor, um sich und seine Kunden und Kundinnen gegen Cyberangriffe zu schützen.
Passwortmanagement: Was sollten Unternehmen beachten?
Trotz Rekordhoch bei den Cyberangriffen, hat sich an der Passwort-Faulheit der Deutschen wenig geändert. Das Hasso-Plattner-Institut wertet jedes Jahr die Daten ihres Identity Leak Checkers aus und bei den Top 10 der deutschen Passwörter 2021 bilden nach wie vor „123456“, „Passwort“ und „hallo“ die traurige Spitze. Die Wahl eines derartigen Passworts ist bereits im privaten Bereich fahrlässig, im Business kann es noch fatalere Folgen haben. Deshalb ist gutes Passwortmanagement hier besonders wichtig – für Sie, Ihre Mitarbeiter:innen, aber auch für Ihre Kundinnen und Kunden! Unsere Tipps für gutes Passwortmanagement:
#1 Passwortstärke: Klare Vorgaben für die Wahl von Passwörtern
Stellen Sie sicher, dass es für alle Mitarbeiter:innen in Ihrem Unternehmen klare Vorgaben zu Passwörtern gibt. Grundsätzlich gilt: Passwörter sollten eine Länge von mindestens acht, besser aber 16 Zeichen haben. Verwenden Sie nie Wörter – und schon gar nicht den Namen Ihres Unternehmens – für Ihre Passwörter und stellen Sie sicher, dass das Passwort aus einer Kombination von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen besteht. Verwenden Sie zudem kein Passwort zwei Mal, sondern verwenden Sie für jedes Konto ein anderes.
Tipp zur Passworterstellung:
Nutzen Sie statt Wörtern Sätze und bilden Sie aus den Anfangsbuchstaben, Zahlen und Zeichen das Passwort. So wird zum Beispiel aus „Am 11.03.14 um 9 kam mein erstes Kind auf die Welt!“ etwa „A110314u9kmeKdW!“ – eine Steigerung ist dann, noch einige Buchstaben durch Zahlen und/oder Sonderzeichen zu ersetzen: A110314u9!meK7W!.
#2 Schulen Sie Mitarbeiter:innen und/oder Kundinnen und Kunden
Neben Ihren Mitarbeiter:innen sollten Sie auch Ihren Kundinnen und Kunden Vorgaben für Passwörter zumindest nahe legen. Besonders wenn Sie entsprechende Konten als Dienstleister:in mitbetreuen wie zum Beispiel Google- oder Apple-Konten, Zugänge zu Shopping- oder Content-Management-Systemen, sowie Customer-Relationship-Management-Tools, Amazon- oder Etsy-Konten und so weiter.
Zudem ist es auch wichtig, Mitarbeiter:innen ebenso wie Kundinnen und Kunden im Bereich Cyberkriminalität zu schulen: Besonders, wenn es um Phishing geht. Denn ist eine solche Attacke erfolgreich, können nicht nur die Anmeldedaten von persönlichen oder Firmen-Konten betroffen sein – Cyberkriminelle nutzen Phishing auch zur Installation von Schadsoftware.
Was ist Phishing?
Phishing setzt sich aus den Wörtern Passwort und Fishing (Fischen) zusammen und bedeutet im Grunde genau das: Das Fischen nach Passwörtern. Cyberkriminelle erstellen dabei E-Mails, die aussehen, als kämen Sie von einem anderen Unternehmen (beliebt sind vor allem Banken, Telekommunikationsanbieter oder Onlineshops wie iTunes oder Amazon) und versuchen darin, die/den Empfänger:in auf eine gefälschte Webseite zu locken, um dort ihre Anmeldedaten einzugeben. Phishing Mails können aber auch Links mit Schadsoftware enthalten, die installiert werden soll.
Bei Phishing handelt es sich um die sowohl bekannteste als auch häufigste Form einer sogenannten Social-Enigneering-Attacke. Dabei nutzen Cyber-Kriminelle den „Faktor Mensch“ für den Angriff. Mehr dazu finden Sie auch in unserem Artikel Social Engineering: Wie der Mensch zum Risiko wird.
#3 Zugangsrechte ordentlich verwalten
Wenn ein:e Mitarbeiter:in das Unternehmen verlässt oder in eine andere Position wechselt, muss sichergestellt sein, dass auch ihre/seine Zugriffsrechte entsprechend angepasst werden. Dafür ist ein automatisiertes System sinnvoll, das Zugangsrechte und Accounts verwaltet und aktualisiert, sobald es Veränderungen gibt.
#4 Zwei-Faktor-Authentifizierung
Für den Zugang zu besonders sensiblen Unternehmensdaten sollten Sie auf eine sogenannte Zwei-Faktor-Authentifizierung setzen. Das bedeutet, dass für den Zugang zusätzlich zum Passwort eine weitere Eingabe notwendig ist, beispielsweise ein Code, ein temporäres Passwort oder ein Fingerabdruck.
Die 2-Faktor-Authentifizierung ist gemäß den Vorgaben des Art. 32 der EU-DSGVO („Sicherheit der Verarbeitung“) bei Systemen die personenbezogene Daten verarbeiten nach unserem Verständnis zwingend erforderlich.
#5 Über professionelle Passwort-Manager nachdenken
Ein professionelles Passwort-Management kann individuell auf jedes Unternehmen zugeschnitten werden und Licht in das Passwortchaos bringen. Es verwaltet alle Anmeldeinformationen, synchronisiert diese automatisch und kann dabei helfen, sichere Kennwörter zu generieren. Auch für Kundinnen und Kunden kann die Empfehlung zur Nutzung eines Passwort-Managers sinnvoll sein – besonders dann, wenn Sie als Dienstleister:in oder Freelancer:in sensible Konten betreuen.
Sichere Passwörter und gute Absicherung
Auch wenn Sie Ihre Passwörter nach den neuesten Regeln erstellen und Ihre Mitarbeiter:innen sowie Kundinnen und Kunden schulen: Eine hundertprozentige Garantie wird es im Bereich Cybersicherheit nie geben. Dazu kommt auch, dass sich Cyberkriminelle neuen Vorgaben und Entwicklungen anpassen und immer wieder neue Algorithmen entwickeln, um an Ihre Daten zu kommen. Eine Berufshaftpflicht ist deshalb als „Auffangnetz“ wichtig, für den Fall, dass Ihr Business doch ins Visier von Cyberkriminellen gerät.
Die Berufshaftpflichtversicherungen über exali.de mit dem Zusatzbaustein Datenschutz- & Cyber-Eigenschaden-Deckung (DCD) schützt Ihr Business, wenn Sie Opfer eines Phishing- oder eines Hacker-Angriffs mit Mal- und Ransomware werden. Dabei begleicht der Versicherer nicht nur die Kosten, die entstehen, um Ihre IT-Systeme wiederherzustellen, sondern auch für die Beauftragung von Experten und Expertinnen (zum Beispiel Computer-Forensik-Analysten beziehungsweise -Analystinnen oder spezialisierte Anwälte und Anwältinnen) oder das Krisenmanagement.