22. Oktober 2009 - Datenschutz-Schulung

Zugangskontrolle: Passwörter bleiben der wunde Punkt

Passwortsicherheit gehört zu den Klassikern der Datenschutz-Schulung. Dennoch sollten Sie nicht ruhen und das Thema Passwörter erneut auf die Tagesordnung setzen. Dabei sollte es nicht nur um die richtige Wahl und Stärke eines Passwortes gehen. Die Passwort-Sünden reichen noch viel weiter.

zugangskontrolle-passworter-bleiben-der-wunde-punkt.jpeg
Rufen Sie in Ihrer Datenschutz-Schulung die Basics, aber auch die weitergehenden Sicherheitsmaßnahmen in puncto Passwort in Erinnerung (Bild: Thinkstock)

Passwörter gehören zu den wichtigsten Authentifizierungsverfahren bei der Zugangskontrolle, in der Praxis leider aber auch zu den schwächsten.

Deshalb sollte das Thema Passwort-Sicherheit regelmäßig Bestandteil Ihrer Datenschutz-Schulung sein.

Wie aktuell die Passwortsicherheit oder besser gesagt Passwortunsicherheit ist, zeigen verschiedene Untersuchungen. So hat zum Beispiel eine Analyse des IT-Dienstleisters PC-Feuerwehr im August 2009 ergeben, dass rund 65 Prozent der 15.000 Teilnehmer an einem Passwort-Check immer noch unsichere Passwörter verwenden.

Anzeige

Mitarbeiterschulung im Datenschutz: Die Zeitschrift Datenschutz PRAXIS gibt Monat für Monat Praxistipps. Nutzen Sie das kostenlose Probeabo, um die Datenschutz PRAXIS zu testen!

Selbst Sicherheitsprofis schlampen mit Passwörtern

Leider ist die unzureichende Passwortsicherheit kein Problem, das sich auf den einfachen Computeranwender beschränkt. Eine Umfrage von Credant Technologies unter 200 IT-Sicherheitsexperten ergab im Juli 2009, dass 35 Prozent der Experten selbst kein Passwort für ihr Smartphone verwenden, obwohl auf diesen Geräten zahlreiche personenbezogene Daten bis hin zu System-Passwörtern gespeichert waren.

Benennen Sie Passwort-Sünden klar und deutlich

Passwortsicherheit ist deshalb wirklich kein Thema, das einmal in einer Datenschutz-Schulung angesprochen wird und damit erledigt ist. Vielmehr sollten Sie dieses Thema zum Pflichtteil all Ihrer Unterweisungen und Schulungen machen.

Beginnen Sie dabei mit der konkreten Benennung der schwersten Passwort-Sünden, die nicht nur die fehlende Komplexität betreffen:

  • Weitergabe eines Passworts an einen Kollegen, zum Beispiel bei Urlaubsvertretung
  • Verwendung des immer gleichen Passworts über viele Monate und Jahre hinweg
  • Auswahl zu kurzer, zu einfacher, in Wörterbüchern zu findender Passwörter
  • Speicherung oder Notieren von Passwörtern
  • Nutzung immer des gleichen Passworts für alle internen und externen Anwendungen
  • ungeschützte Hinterlegung von Notfallpasswörtern
  • unsicheres Verfahren zur Zurücksetzung von Passwörtern
  • kein Vier-Augen-Prinzip (also zwei Mitarbeiter und zwei Passwörter) für besonders sensible Bereiche
  • keine sofortige Deaktivierung der Passwörter von ausscheidenden Mitarbeitern
  • automatisches Einwählen in Anwendungen durch Speicherung des Passwortes

Eine Passwortrichtlinie ist nicht alles

Der nächste Schritt, diesen Passwort-Sünden zu begegnen, ist die Bekanntgabe und Bereitstellung der Passwortrichtlinie. Gleichzeitig sind technische Lösungen hilfreich, die die Stärke des Passworts ebenso prüfen wie die Passwort-Historie und zudem an einen Passwortwechsel erinnern.

Doch die Passwortrichtlinie alleine kann nicht helfen. Sie brauchen mehr Bewusstsein für die Passwort-Problematik. Dazu kann zum einen die Demonstration hilfreich sein, wie schnell Passwort-Knacker ein schwaches Passwort brechen können.

Passwörter nur im Kopf speichern

Zudem sind Ratschläge gefragt, die das einfache Merken von Passwörtern ermöglichen, ohne die Passwörter auf einen Zettel zu schreiben und diesen in die Schublade zu legen.

Empfohlen werden dazu Merksätze, deren abgewandelte Anfangsbuchstaben das Passwort ergeben. Dann aber müssen diese Merksätze von den Mitarbeitern selbst überlegt und geheim gehalten werden.

Die Vorgabe eines Merksatzes, deren Antwort nur der Mitarbeiter kennt, ist zur Unterstützung der Passwortwahl nicht geeignet. Dies wäre vergleichbar mit einer Situation, bei der von der Kombination Benutzer – Passwort der Benutzername immer bekannt sein würde.

Passwortgestaltung nach BSI-Empfehlung

Generell ist für die Passwortwahl nicht so sehr die Vielfalt an Zeichentypen (Zahlen, Buchstaben, Sonderzeichen), sondern die Passwortlänge entscheidend, die diese die Anzahl der möglichen Passwortvarianten bestimmt.

Was als sicheres Passwort gelten kann, beschreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) jeweils im IT-Grundschutz. Die dort zu findende Empfehlung sollte in Ihre Passwortrichtlinie und in die Datenschutz-Schulung einfließen.

Gleichzeitig sollten Sie aber auch die anderen Sicherheitslücken bei der Passwortnutzung und damit bei der Zugangskontrolle in der Datenschutz-Schulung erklären und bei der Datenschutz-Kontrolle prüfen.

Dabei hilft Ihnen die folgende Checkliste. Vergessen Sie aber nicht, dass nicht nur die Anwender Hinweise zur Passwort-Problematik brauchen, sondern oftmals auch die Systemadministration!

Prüfansatz Ja Nein
Passwörter werden systemseitig nur verschlüsselt gespeichert (Hash-Verfahren).
Fehleingaben von Passwörtern sind nicht beliebig oft möglich, sondern führen zu Warnungen und letztlich zur Zugangssperrung.
Passwörter werden bei der Eingabe stets maskiert.
Passwörter werden quartalsweise gewechselt und über eine Passwort-Historie auf Neuheit geprüft.
Jeder Benutzer hat für jede zu schützende Anwendung ein eigenes Passwort.
Startpasswörter bei neuen Anwendungen werden geändert.
Das Notfall-Passwort der Systemadministration wird gesichert aufbewahrt (Tresor).
Könnte ein Passwort Dritten bekannt geworden sein, findet umgehend eine Passwortänderung statt.
Urlaubsvertretungen werden nicht mit Passwortübergabe gleichgesetzt.
Passwörter ausgeschiedener Mitarbeiter werden deaktiviert und gesperrt.
Die Passwortrichtlinie berücksichtigt die aktuellen BSI-Empfehlungen zur Passwortgestaltung.
Passwörter werden nicht in Anwendungen gespeichert, um automatische Logins zu ermöglichen.
Das Zurücksetzen von Passwörtern geht nicht ohne Benutzeridentifikation.

Download Checkliste Passwortsicherheit

Oliver Schonschek
Oliver Schonschek ist Diplom-Physiker und Fachjournalist.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln