IT-Sicherheit und Datenschutz

Sichere Passwörter für Ihr Unternehmen

Sichere Passwörter

Passwörter sind grosse Risikofaktoren

Passwörter nutzen alle Ihre Angestellten – um sich ins System einzuloggen, sich bei Diensten aller Art anzumelden, E-Mail zu nutzen … Sichere Passwörter sind deshalb das A und O, um dem Diebstahl von Daten vorzubeugen und die Cybersicherheit zu erhöhen.

Auf der anderen Seite liegt hier einer der grössten Risikofaktoren; sehr viele Datendiebstähle und Cyberattacken sind auf einfach zu erratende oder gestohlene Passwörter zurückzuführen. Deshalb braucht es in Ihrer Firma einen cleveren Umgang mit Passwörtern – noch besser: ganzen Passphrasen –, damit Ihre Angestellten nicht in vermeidbare Fallen tappen. 

Passwortabfrage nur wenn nötig

Definieren Sie, wann und wo ein Login mit Passwort notwendig ist. Oft schützen Firmen zu viele Bereiche, auch solche mit nicht sensiblen Inhalten, mit einem Passwort. Der unerwünschte Nebeneffekt: Die Mitarbeitenden sind mit der grossen Zahl unterschiedlicher Passwörter überfordert und verwenden deshalb möglichst einfache, leicht merkbare. Oder sie schreiben ihre Passwörter sogar auf und suchen nach anderen Wegen, um das Login zu umgehen. Das ist für die IT-Sicherheit kontraproduktiv. 

Tipp Verlangen Sie nur Passwörter für Zugriffe, für die eine solche Sicherung sinnvoll ist. 

Passwort Ja oder Nein?

Unbedingt notwendig sind Passwörter für:

  • Login für das Arbeitsgerät
  • Zugriff auf E-Mails
  • Zugriff auf Teamarbeitstools (Microsoft Teams, Google Drive etc.)
  • Zugriff auf HR-Tools
  • Zugriff auf vertrauliche Daten 

Nicht notwendig sind Passwörter für den Zugriff auf Lehrinhalte, Weiterbildungsformate, allgemeine Informationen zu Sicherheitsfragen, Notfallpläne. Hier sollte keine Eintrittsschwelle vorhanden sein, denn für Angreifer sind solche Daten wenig wertvoll. Hohe Hürden aber frustrieren Ihre Angestellten, die auf die Dokumente zugreifen wollen.

Achtung Das heisst nicht, dass Sie Ihr Firmenwiki und die Notfallpläne offen ins Internet stellen sollen, sondern nur, dass im Intranet normalerweise kein zusätzlicher Schutz notwendig ist.

Zwei- oder Multi-Faktor-Authentifizierung nutzen

Identifizieren Sie die wichtigen, kritischen Zugangspunkte zu Ihrer Infrastruktur. Üblicherweise sind dies:

  • Webmail
  • Fernzugriffe
  • Homeoffice-Zugänge
  • Anmeldung am Arbeitsgerät
  • Cloud-Dienste wie Amazon AWS, Cloud-Speicher etc.

Setzen Sie für diese kritischen Zugangswege unbedingt eine starke Authentifizierung (auch Authentisierung genannt) ein. Bewährt haben sich die Zwei- und die Multi-Faktor-Authentifizierung (2FA und MFA).

Bei dieser Anmeldeart verwenden die Nutzenden neben dem Passwort ein weiteres Sicherheitsmerkmal – zum Beispiel SMS, App auf dem Handy, USB-Token. So reicht der Besitz des Passworts noch nicht, um sich einzuloggen. Ein Angreifer, der ans Passwort eines Angestellten gelangt ist, kommt dank 2FA nicht in den jeweiligen Login-Bereich, da ihm der zweite Authentifizierungsfaktor fehlt. 2FA-/MFA-Verfahren sind in ganz unterschiedlichen Formen verfügbar und es gilt: Selbst eine schlechte 2FA oder MFA ist besser als gar keine. 

Gut zu wissen 2FA/MFA ist eine Hürde, die zwar Sicherheit bringt, aber oft als weniger bequem und benutzerfreundlich wahrgenommen wird. Übertreiben Sie es daher nicht und beschränken Sie den Einsatz auf die kritischen Zugangswege. Sonst suchen Ihre Mitarbeitenden nach Umgehungslösungen. 

Passwortmanager nutzen

Passwortmanager sind ein bewährtes Mittel, um der Mehrfachverwendung von Passwörtern entgegenzuwirken und diese ausreichend komplex zu gestalten. Mit einem solchen Verwaltungstool verbessern Sie nicht nur die Sicherheit, sondern erleichtern es Ihren Angestellten, den Überblick über alle nötigen Passwörter zu behalten. Es existieren verschiedene Cloud- und Offlinelösungen – kostenlose und zahlungspflichtige. Von kostenlosen Cloud-Lösungen sollten Sie grundsätzlich absehen, da dort die Gefahr besteht, dass mit Ihren Passwörtern Schindluderei betrieben wird. Eine Liste mit bewährten, preislich annehmbaren Lösungen finden Sie in der unten stehenden Übersicht.

Tipp Nehmen Sie sich Zeit, die verschiedenen Tools zu vergleichen und sich zu überlegen, welche Features Sie respektive Ihre Mitarbeitenden benötigen. Brauchen Sie zum Beispiel eine automatische Synchronisation zwischen Laptop und Handy Ihrer Angestellten? 

Schulen Sie Ihre Angestellten

Schulen Sie Ihre Mitarbeitenden und erklären Sie, warum es wichtig ist, komplexe Passwörter, Passphrasen, Passwortmanager und 2FA einzusetzen. Zeigen Sie auf, dass dieses Wissen auch im privaten Umfeld hilfreich ist – Stichwort: Onlinebanking mit schwachem Passwort. Geben Sie nicht einfach Direktiven heraus – «bei uns macht man das so». Nur wenn Ihre Angestellten den Nutzen der Sicherheitsmassnahmen verstehen, ziehen sie am gleichen Strick (mehr zur Schulung lesen Sie unter «Mitarbeitende für Cyberrisiken sensibilisieren»).

Erlassen Sie für Ihre Firma eine Passwortrichtlinie. Nutzen Sie dann technische Möglichkeiten, um die Richtlinie durchzusetzen – beispielsweise lassen sich Längen und Komplexitätsvorgaben via Windows-Gruppenrichtlinien vorgeben. So stellen Sie sicher, dass nur die Erstellung sicherer Passwörter möglich ist. Ihre Mitarbeitenden werden darauf hingewiesen, wenn ein Passwort nicht sicher ist.

Wichtige Grundsätze für Ihre Passwortrichtlinie

Beachten Sie folgende Grundsätze, um rasch eine bessere Sicherheit der Passwörter in Ihrem Betrieb zu erreichen:

  • Bereits benutzte Passwörter dürfen nicht noch einmal verwendet werden. 
  • Passwörter dürfen nirgendwo notiert werden – ausser im Passwortmanager. Tabu ist das Notieren auf einem Stück Papier, das in der Nähe der Geräte aufbewahrt wird – der berüchtigte Post-it mit Passwort, der am Monitor klebt!
  • Hinterlegen Sie eine Liste von Passwörtern, die in Ihrem Unternehmen nicht erlaubt sind. Schliessen Sie darin Passwörter aus, die am häufigsten genutzt werden – das sind mehr oder weniger dieselben, die gleich anschliessend als Beispiele für unsichere Passwörter genannt werden. 
  • Schulen Sie alle Mitarbeitenden mit Trainings zur IT- und Passwortsicherheit, beispielsweise mit einem Erklärvideo. 
  • Das Passwort sollte mindestens 12, besser 20 Zeichen lang sein. So ist die Abwehrkraft gegen automatisierte Angriffe hoch. Je länger ein Passwort, desto höher der zeitliche Aufwand für Hacker (siehe auch Brute-Force-Attacke. Eine bewährte Methode, um Passwörter komplexer zu machen, sind sogenannte Passphrasen, also ganze Sätze.
  • Beispiele für unsichere Passwörter
    • 12345
    • 123456
    • 1234567789
    • Test1
    • Password
  • Beispiele für sichere Passwörter
    • 5kgÖ1wZ8Q!T%
    • ji//6J)2X0(j
    • =Vk/W$M%5/E
  • Beispiele für sehr sichere Passphrasen
    • FischersEntenFischenFrischeTische
    • MeinAutohat1Motor2Türen,und4Räder

Übrigens: Es ist umstritten, ob Sonderzeichen wie * im Passwort sinnvoll sind. Viele Nutzer verwenden die Sonderzeichen als Platzhalter für Buchstaben – etwa Passw*rt. Solche Passwörter sind einfach zu erraten und können leicht geknackt werden. 

Tipp Einfach und bedenkenlos können Sie und Ihre Angestellten die Sicherheit von Passwörtern mit dem Schnelltest Passwortcheck des Datenschutzbeauftragten des Kantons Zürich überprüfen.

Technische Massnahmen gegen Passwort-Hacking

Machen Sie es für einen Hacker unattraktiv, die Passwörter Ihrer Firma herausfinden zu wollen. Treiben Sie den Zeitaufwand hoch: Meist nutzen Hacker sogenannte Brute-Force-Attacken, um Passwörter zu knacken. Das Passwort muss also so angelegt sein, dass eine solche Attacke viel zu lange dauern würde und kaum Erfolg versprechend ist.

Zudem darf der Angreifer oder die eingesetzte automatisierte Hacking-Software nur mit Verzögerung erfahren, ob ein Login-Versuch erfolgreich war. Drosseln Sie daher die Prüfgeschwindigkeit für eingegebene Login-Daten. Das ist zum Beispiel mit einem exponentiellen Slowdown möglich. Dabei wird die Zeit bis zur nächsten Login-Möglichkeit nach jedem fehlerhaften Versuch vervielfacht – zum Beispiel: 2. Fehlversuch 20 Sekunden Wartezeit, 3. Fehlversuch 60 Sekunden etc. Damit steigt bei einer Brute-Force-Attacke der benötigte Zeitaufwand massiv und die Attacke wird unattraktiver.

Tipp Am besten beauftragen Sie einen IT-Dienstleister oder eine auf Cybersecurity spezialisierte Firma mit solchen Einrichtungen. 

Die zehn häufigsten Attacken auf Passwörter

Vom einfachen Über-die-Schulter-Gucken bis zur automatisierten Brute-Force-Attacke – Hacker verwenden unterschiedliche Methoden, um an interessante Passwörter zu kommen. Wer sie kennt, kann sich absichern:

  1. Brute-Force-Attacke
    Mit einem Brute-Force-Angriff soll ein Passwort oder ein Benutzername geknackt, eine verborgene Website oder der Schlüssel zu einer verschlüsselten Nachricht gefunden werden. Die Attacke basiert auf dem Trial-and-Error-Prinzip, indem sie automatisiert und mit hoher Geschwindigkeit Milliarden möglicher Zeichenkombinationen ausprobiert mit dem Ziel, die gesuchte Information irgendwann zu erraten. Diese Angriffsmethode ist zwar alt, aber immer noch effektiv und bei Hackern beliebt. 
  2. Erraten des Passworts
    Der Angreifer errät das Passwort, indem er persönliche Daten des Nutzers durchprobiert – beispielsweise Geburtstag, Hochzeitsdatum oder Namen von Kindern.
  3. Einfacher Diebstahl
    Ungesicherte Passwortinformationen, die in der Firma auf Schreibtischen herumliegen, sind ein gefundenes Fressen für Hacker.
  4. Phishing
    Hacker erkunden das Umfeld des Opfers und nutzen menschliche Verhaltensweisen aus, um etwa mit gefälschten E-Mails von bekannten Institutionen eine Reaktion zu provozieren. Oder sie stehlen Passwörter, indem sie E-Mails mit Links zu gefälschten Login-Portalen erstellen – beispielsweise eine Eingabemaske zum Onlinebanking-Portal, die der richtigen verblüffend ähnlich sieht. Ihre Mitarbeitenden geben darin wie gewohnt die Login-Daten ein und spielen sie so unwissentlich den Hackern direkt in die Hände.
  5. Passwort-Spraying
    Ein Angreifer probiert ein oft genutztes Passwort oder mehrere bei einer Vielzahl von Konten aus, um so die Accounts zu identifizieren, die dieses Passwort verwenden. 
  6. Datenpannen und Datenlecks
    Hacker nutzen Passwörter, die bei Pannen sichtbar wurden – oft ohne dass es das betroffene Unternehmen bemerkte. Angreifer kommen über das Darkweb (teilweise sogar im Internet) leicht an solche Benutzernamen-Passwort-Kombinationen und probieren sie – meist automatisiert – auf unterschiedlichsten Seiten aus. Dieser Punkt wie auch der nächste sind die Hauptgründe, warum Ihre Mitarbeitenden Passwörter nicht mehrfach bei verschiedenen Diensten verwenden sollen. 
  7. Diebstahl von Hash-Dateien
    Hash-Dateien sind Datenbanken, in denen die verschiedenen Dienste die bei ihnen genutzten Passwörter verschlüsselt speichern. Sie dienen dazu, den Nutzer beim Einloggen zu identifizieren. Angreifende können versuchen, eine Hash-Datei zu stehlen, diese zu entschlüsseln und so an Passwörter zu gelangen.
  8. Beobachtung
    Unbefugte beobachten eine Ihrer Mitarbeiterinnen, wie sie das Passwort eingibt, indem sie ihr beispielsweise einfach über die Schulter schauen (auch Shoulder-Surfing genannt). 
  9. Key Logger / Trojaner
    Ein Key Logger ist eine Schadsoftware, die auf einem Computer installiert wird. Damit zeichnen die Angreifer auf, was auf den Tastaturen getippt wird. So sehen sie, was wann wo eingegeben wurde und können Passwörter einfach knacken.
  10. Sniffing
    Der Datenverkehr in einem Netzwerk wird mitgeschnitten, um Passwörter auszulesen.

Die Verwendung einer Multifaktorauthentifizierung (MFA) verhindert die oben aufgeführten Angriffe auf Passwörter nicht. Sie schränkt aber die Möglichkeiten, die ein Angreifer nach der erfolgreichen Eroberung eines Passworts hat, massiv ein. Denn bei MFA ist die Kenntnis der Login-Daten nur die halbe Miete, der Hacker müsste auch auf den zweiten Authentifizierungsfaktor zugreifen können. So gesehen hilft die Verwendung von MFA also gegen jeden einzelnen Angriff auf die Passwörter in Ihrem Unternehmen.