Cyberkriminalität verursacht in Deutschland jährlich Milliardenschäden. Gerade in der Finanzberatung geht es um sensible Daten. Bessere Passwörter sind Ihr wichtigster Schritt auf die sichere Seite – haben Sie alles beachtet?

Mehr als 200 Mrd. Euro Schäden verursachte Cyberkriminalität in Deutschland allein im Jahr 2022.1 Viel zu oft wird es Kriminellen noch zu einfach gemacht, weil die Türen zu sensiblen Online-Daten quasi offenstehen. Zu simple Passwörter wie „123456789“ stellen kaum ein Hindernis für Angreifende dar. Und doch werden sie noch vergeben. Dabei sind sich Ihre Kunden durchaus bewusst, dass sie ihre finanziellen Daten und den Zugriff auf Konten besonders gut schützen sollten. 

Bei welchen Diensten achten Sie besonders auf Passwortsicherheit? (Grafik auch zum Download verfügbar)

-

Quelle: Web.de, Deutsche Internetnutzer, Panelbefragung, 2022

Aber folgen diesem erhöhten Sicherheitsbedürfnis auch Taten? Und was macht ein sicheres Passwort aus? Was sollten Ihre Kundinnen und Kunden aber auch Sie und Ihr Team beachten? Mit den folgenden sieben Schritten sind Sie und Ihre Kunden auf dem richtigen Weg. 

Mit sieben Schritten zu mehr Passwortsicherheit

Zu kurz oder zu einfach: Das sind die typischen Fehler, die Passwortnutzer heute noch immer machen. Wer zu wenige Zeichen nutzt, macht es Hackermaschinen zu leicht, die Kombination zu ermitteln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass Passwörter mindestens 25 Zeichen umfassen sollen, wenn sie nicht komplex sind. Komplexe Passwörter, die auch Klein- und Großschreibung, Zahlen und Sonderzeichen enthalten, können schon bei 8 bis 12 Zeichen einen guten Schutz bieten.2

Darüber hinaus sollten Sie, Ihre Kunden und alle, die in Ihrem Unternehmen mitarbeiten die folgenden sieben einfachen Hinweise berücksichtigen.

1. Geräte mit Passwörtern sichern: Ungesicherte Endgeräte ermöglichen nicht nur den Zugriff auf Daten, die auf diesen Computern, Tablets oder Smartphones selbst gespeichert sind. Sie Öffnen auch die Türen für den Klau von Onlinedaten. Ein erster Schritt ist also das Einrichten eines Passworts oder einer PIN für die Bildschirmsperre. Bei vielen Geräten können Sie heute möglicherweise auch die Multi-Faktor-Authentifizierung oder starke biometrische Kontrollen aktivieren. Diese umfassen Fingerabdruck- oder Gesichtserkennung, was es Hackern erschwert, Zugriff auf Ihre Informationen zu erhalten, da Sie weniger oft Ihr Passwort eingeben müssen.

-

2. Alle Standard-Passwörter ändern: Ein sehr häufiger Fehler besteht darin, die vom Hersteller vergebenen Standardpasswörter und PINs nicht zu ändern.  Smartphones, Laptops und alle anderen Arten von Geräten werden damit zur leichten Beute von Hackern. Wenn Sie in Ihrem Unternehmen mehrere Mitarbeiterinnen oder Mitarbeiter beschäftigen, ist es empfehlenswert, alle voreingestellten Passwörter und Zugangscodes zu ändern, bevor die Geräte und die installierte Software an Ihr Personal übergeben werden. 

Unser Tipp: Aufgrund der zunehmenden Arbeit aus dem Home-Office, sind die Router in den Haushalten der Mitarbeitenden jetzt auch „Online-Haustüren“ zu Ihrem Unternehmen. Daher ist es besonders wichtig, Ihre Mitarbeitenden dafür zu sensibilisieren, auch hier die Standardkennwörter zu ändern.

3. Passwörter mit 8-12 Zeichen nutzen: Dass kürzere Passwörter einfacher zu knacken sind, erschließt sich von selbst. Schaut man aber einmal auf die Tabelle unten, wird deutlich, welch signifikanten Unterschied die Länge machen kann. Allein ein Zeichen mehr kann die Zeit um 395 Jahre verlängern. Abgesehen davon ist es wichtig, Groß und Kleinschreibung, Zahlen als auch Sonderzeichen zu nutzen. 

So lang brauchen Hacker zum Knacken von Passwörtern (Grafik auch zum Download verfügbar)

-

Quelle: Hive Systems. Darstellung: FFB

4. Keine persönlichen Daten verwenden: Jeder sollte nicht nur Vornamen, sondern auch Geburtsdaten, Lieblingssportmannschaftsnamen und Haustiere vermeiden, sondern auch Firmennamen (z. B. „FFB123“). Alle Informationen, die auf Social-Media-Websites zu finden sind, sollten zudem nicht als Teil eines Passworts oder als Antwort auf die Sicherheitsfragen erscheinen, die zum Zurücksetzen eines Passworts erforderlich sind. Websites wie LinkedIn und Facebook sind einer der ersten Orte, die ein Hacker besucht, um ein Profil von potenziellen Opfern zu erstellen.

5. Komplexität erhöhen (ganze Passphrasen statt Passwörter): Drei zufällig ausgewählte Wörter in Kombination sind zusammen als „Passphrase“ stärker als typische einzelne Passwörter. Passphrasen sind länger, sicherer, einfacher zu erstellen und leicht zu merken. Vorhersehbare Phrasen aber, wie z. B. „einszweidrei“, sollten allerdings vermieden werden. Ein guter Ansatz besteht darin, drei oder mehr völlig voneinander unabhängige Wörter zu nehmen. Erhöhen Sie die Komplexität zusätzlich mit einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Im Überblick: Hinweise des BSI (Grafik auch zum Download verfügbar)

-

Quelle: Bundesamt für Sicherheit in der Informationstechnik. Darstellung: FFB

6. Mitarbeitende nicht überfordern: Heutzutage haben die meisten Menschen ungefähr 200 Online-Konten, bei denen sie an die Sicherheit von Passwörtern denken müssen. Das ist eine Herausforderung. Daher ist es am Arbeitsplatz eine gute Idee, nur dann ein Passwort erforderlich zu machen, wenn es für den Zugriff auf einen Dienst aus Sicherheitsgründen wirklich notwendig ist. Nutzen Sie Single-Sign-On-Dienste (die mit einem Passwort viele Anwendungen freischalten), wo immer Sie können. Staatliche Sicherheitsbehörden empfehlen heute nicht mehr, dass Sie und Ihre Mitarbeitenden Passwörter regelmäßig ändern. Sie müssen nur geändert werden, wenn Sie eine Kompromittierung von Anmeldedaten vermuten. So vermeiden Sie unnötigen Aufwand. Wenn Ihre Mitarbeiterinnen und Mitarbeiter physische Passwörterlisten führen (digitale ungeschützte Listen auf Computern sind Tabu!), stellen Sie ihnen einen Ort zur Verfügung, an dem sie Passwörter für wichtige Zwecke sicher aufbewahren können.

Unser Tipp: Auf Seiten wie haveibeenpwned.com oder sec.hpi.de/ilc können Sie prüfen, ob Ihre Nutzerkonten oder die von Mitarbeitenden gehackt wurden. Wenn das der Fall ist, sollten Sie alle mit dem jeweiligen E-Mail-Konto verbundenen Passwörter ändern.

7. Multi-Faktor-Identifizierung für alle wichtigen Accounts: Für besonders wichtige Konten wie Ihre primäre E-Mail-Adresse sollten Sie nach Möglichkeit die Multi-Faktor-Authentifizierung verwenden – das erhöht die Sicherheit bei geringem Mehraufwand erheblich. Erforderlich sind zwei oder mehr verschiedene Prozesse, die verwendet werden, um Ihre Identität zu „beweisen“, bevor Sie einen Dienst nutzen können. Das ist in der Regel ein Passwort plus eine andere Methode, z. B. ein Fingerabdruck oder Eingabe eines Codes, der an Ihr Smartphone gesendet wird. 

Unser Tipp: Neben der Einführung der Verpflichtung zu starken Passwörtern in Ihrem Unternehmen, sollten Sie sicherzustellen, dass alle Mitarbeitenden persönlichen Zugriff auf die richtigen Systeme haben. Die Vergabe von unnötigen oder überflüssigen Systemprivilegien an Mitarbeiter oder vermeidbare Datenzugriffsrechte können genauso problematisch sein, wie nicht genügend Zugriff zu gewähren. Alle Benutzer sollten mit dem Minimum an Administrationsrechten und Zugriffsrechten versorgt werden, die sie benötigen, um ihre Aufgaben zu erfüllen – und nicht mehr. Diese Rechte sollten regelmäßig überwacht und überprüft werden, insbesondere wenn ein Benutzer seinen Aufgabenbereich wechselt oder das Unternehmen verlässt.

Mit einem Passwort-Manager wird es einfacher und sicherer

Die Vielzahl sicherer (also langer und komplexer) Passwörter lässt sich mit einem Passwort-Manager besser beherrschen. Einmal eingerichtet, verwalten Sie mit ihm alle Ihre Passwörter – unabhängig davon, welches Endgerät Sie nutzen.

-

Der Zugang zum Passwort-Manager ist durch ein besonders sicheres Passwort geschützt. Auch Multi-Faktor-Identifikation gehört mittlerweile zum Standard. Denn natürlich besteht das Risiko, dass der Manager von Hackern geknackt wird und dann alle Passwörter wertlos werden sowie sensible Daten akut gefährdet sind.

Neben der mühelosen Verwaltung hunderter Passwörter bieten die Manager in der Regel auch schnelle Warnungen vor Phishing-Attacken (bei denen persönliche Daten zum Beispiel per E-Mail angefordert werden).

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt Passwort-Manager nach persönlicher Risikoabwägung. Auf jeden Fall sei ein Manager sicherer als viele Passwörter, die nicht den höchsten Sicherheitsanforderungen entsprechen (mehr hier) .
 

Stiftung Warentest: Passwort-Manager, mit “GUT” bewertet

  • 1 Password
  • Avira
  • Bitwarden
  • Dashlane
  • Keeper Security
  • North Security
  • Siber Systems

Nennung in alphabetischer Reihenfolge. Testbericht Stiftung Warentest 7/2022.

Die Stiftung Warentest hat Passwort-Manager kürzlich getestet (7/2022). Insgesamt sieben erhielten das Qualitätsurteil „GUT“ (Details finden Sie hier). Auch Soft- und Hardwareanbieter wie etwa Apple bieten eigene Passwortmanager an, die gut integriert sind und sich eignen können, wenn Sie ausschließlich Geräte eines Herstellers verwenden. Prüfen Sie für sich, welcher Manager Ihnen für Ihr Unternehmen am meisten zusagt. Wer Passwort-Manager geschäftlich nutzt, sollte neben Sicherheit und Funktionen auch auf die Dokumentation, Nutzungsbedingungen und die Zusicherung der Einhaltung von europäischen Datenschutzstandards achten.

 

1 Quelle: Bitkom Research, „Schäden durch Cyberkriminalität in Deutschland im Jahr 2022“
2 https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html

Weitere Artikel zum Thema

Strategien für Ihre Kundenportfolios:

Wahlsieger ist Donald Trump

Schneller und deutlicher als von vielen erwartet steht fest: Donald Trump wir…


Fidelity

Fidelity

Experten-Gastbeitrag

KI: Billionen-Fragen im Billionen-Markt | DWS

Wie können Investoren vom bereits riesigen und weiterhin wachsenden KI-Markt …


DWS

DWS

Experten-Gastbeitrag

Fed-Fokus dreht von Inflation auf Arbeitsmarkt | DWS

Mit ihrer Entscheidung, die Zinsen um 50 Basispunkte zu senken, priorisiert d…


DWS

DWS

Experten-Gastbeitrag

Flexibel, resilient, dynamisch – seit mehr als 35 Jahren

Seit mehr als drei Jahrzehnten sind Anlegerinnen und Anleger mit dem Carmigna…


Carmignac

Carmignac

Experten-Gastbeitrag

Ein Qualitätskonzept für den Erfolg von Small-Caps | DPAM

Seit Jahren bleiben Small-Caps hinter Large-Caps zurück. Verbesserte Rahmenbe…


DPAM

DPAM

Experten-Gastbeitrag

Anleihen: Aktives Management im Vorteil | PIMCO

Eine Studie bestätigt erneut, dass aktiv gemanagte globale Anleihenfonds ihre…


PIMCO

PIMCO

Experten-Gastbeitrag

Anleihen: Aktives Management im Vorteil | PIMCO

Eine Studie bestätigt erneut, dass aktiv gemanagte globale Anleihenfonds ihre…


PIMCO

PIMCO

Experten-Gastbeitrag

Schwellenländeraktien: Lokale Betrachtung | Pictet

Bei der Anlage in Schwellenländeraktien können lokale Einblicke helfen, erheb…


Pictet Asset Management

Pictet Asset Management

Experten-Gastbeitrag

Entthront: Ist Cash nicht mehr King? | PIMCO

Die EZB hat den Einlagenzins gesenkt und auch die Fed senkt den Leitzins. Ist…


PIMCO

PIMCO

Experten-Gastbeitrag