Bestehen Sie den Passwort-Test?

Cyberkriminalität verursacht in Deutschland jährlich Milliardenschäden. Gerade in der Finanzberatung geht es um sensible Daten. Bessere Passwörter sind Ihr wichtigster Schritt auf die sichere Seite – haben Sie alles beachtet?

Mehr als 200 Mrd. Euro Schäden verursachte Cyberkriminalität in Deutschland allein im Jahr 2022.¹ Viel zu oft wird es Kriminellen noch zu einfach gemacht, weil die Türen zu sensiblen Online-Daten quasi offenstehen. Zu simple Passwörter wie „123456789“ stellen kaum ein Hindernis für Angreifende dar. Und doch werden sie noch vergeben. Dabei sind sich Ihre Kunden durchaus bewusst, dass sie ihre finanziellen Daten und den Zugriff auf Konten besonders gut schützen sollten. 

Bei welchen Diensten achten Sie besonders auf Passwortsicherheit? (Grafik auch zum Download verfügbar)

Aber folgen diesem erhöhten Sicherheitsbedürfnis auch Taten? Und was macht ein sicheres Passwort aus? Was sollten Ihre Kundinnen und Kunden aber auch Sie und Ihr Team beachten? Mit den folgenden sieben Schritten sind Sie und Ihre Kunden auf dem richtigen Weg. 

Mit sieben Schritten zu mehr Passwortsicherheit

Zu kurz oder zu einfach: Das sind die typischen Fehler, die Passwortnutzer heute noch immer machen. Wer zu wenige Zeichen nutzt, macht es Hackermaschinen zu leicht, die Kombination zu ermitteln. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) geht davon aus, dass Passwörter mindestens 25 Zeichen umfassen sollen, wenn sie nicht komplex sind. Komplexe Passwörter, die auch Klein- und Großschreibung, Zahlen und Sonderzeichen enthalten, können schon bei 8 bis 12 Zeichen einen guten Schutz bieten.²

Darüber hinaus sollten Sie, Ihre Kunden und alle, die in Ihrem Unternehmen mitarbeiten die folgenden sieben einfachen Hinweise berücksichtigen.

1. Geräte mit Passwörtern sichern: Ungesicherte Endgeräte ermöglichen nicht nur den Zugriff auf Daten, die auf diesen Computern, Tablets oder Smartphones selbst gespeichert sind. Sie Öffnen auch die Türen für den Klau von Onlinedaten. Ein erster Schritt ist also das Einrichten eines Passworts oder einer PIN für die Bildschirmsperre. Bei vielen Geräten können Sie heute möglicherweise auch die Multi-Faktor-Authentifizierung oder starke biometrische Kontrollen aktivieren. Diese umfassen Fingerabdruck- oder Gesichtserkennung, was es Hackern erschwert, Zugriff auf Ihre Informationen zu erhalten, da Sie weniger oft Ihr Passwort eingeben müssen.

2. Alle Standard-Passwörter ändern: Ein sehr häufiger Fehler besteht darin, die vom Hersteller vergebenen Standardpasswörter und PINs nicht zu ändern.  Smartphones, Laptops und alle anderen Arten von Geräten werden damit zur leichten Beute von Hackern. Wenn Sie in Ihrem Unternehmen mehrere Mitarbeiterinnen oder Mitarbeiter beschäftigen, ist es empfehlenswert, alle voreingestellten Passwörter und Zugangscodes zu ändern, bevor die Geräte und die installierte Software an Ihr Personal übergeben werden. 

3. Passwörter mit 8-12 Zeichen nutzen: Dass kürzere Passwörter einfacher zu knacken sind, erschließt sich von selbst. Schaut man aber einmal auf die Tabelle unten, wird deutlich, welch signifikanten Unterschied die Länge machen kann. Allein ein Zeichen mehr kann die Zeit um 395 Jahre verlängern. Abgesehen davon ist es wichtig, Groß und Kleinschreibung, Zahlen als auch Sonderzeichen zu nutzen. 

So lang brauchen Hacker zum Knacken von Passwörtern (Grafik auch zum Download verfügbar)

4. Keine persönlichen Daten verwenden: Jeder sollte nicht nur Vornamen, sondern auch Geburtsdaten, Lieblingssportmannschaftsnamen und Haustiere vermeiden, sondern auch Firmennamen (z. B. „FFB123“). Alle Informationen, die auf Social-Media-Websites zu finden sind, sollten zudem nicht als Teil eines Passworts oder als Antwort auf die Sicherheitsfragen erscheinen, die zum Zurücksetzen eines Passworts erforderlich sind. Websites wie LinkedIn und Facebook sind einer der ersten Orte, die ein Hacker besucht, um ein Profil von potenziellen Opfern zu erstellen.

5. Komplexität erhöhen (ganze Passphrasen statt Passwörter): Drei zufällig ausgewählte Wörter in Kombination sind zusammen als „Passphrase“ stärker als typische einzelne Passwörter. Passphrasen sind länger, sicherer, einfacher zu erstellen und leicht zu merken. Vorhersehbare Phrasen aber, wie z. B. „einszweidrei“, sollten allerdings vermieden werden. Ein guter Ansatz besteht darin, drei oder mehr völlig voneinander unabhängige Wörter zu nehmen. Erhöhen Sie die Komplexität zusätzlich mit einer Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen.

Im Überblick: Hinweise des BSI (Grafik auch zum Download verfügbar)

6. Mitarbeitende nicht überfordern: Heutzutage haben die meisten Menschen ungefähr 200 Online-Konten, bei denen sie an die Sicherheit von Passwörtern denken müssen. Das ist eine Herausforderung. Daher ist es am Arbeitsplatz eine gute Idee, nur dann ein Passwort erforderlich zu machen, wenn es für den Zugriff auf einen Dienst aus Sicherheitsgründen wirklich notwendig ist. Nutzen Sie Single-Sign-On-Dienste (die mit einem Passwort viele Anwendungen freischalten), wo immer Sie können. Staatliche Sicherheitsbehörden empfehlen heute nicht mehr, dass Sie und Ihre Mitarbeitenden Passwörter regelmäßig ändern. Sie müssen nur geändert werden, wenn Sie eine Kompromittierung von Anmeldedaten vermuten. So vermeiden Sie unnötigen Aufwand. Wenn Ihre Mitarbeiterinnen und Mitarbeiter physische Passwörterlisten führen (digitale ungeschützte Listen auf Computern sind Tabu!), stellen Sie ihnen einen Ort zur Verfügung, an dem sie Passwörter für wichtige Zwecke sicher aufbewahren können.

7. Multi-Faktor-Identifizierung für alle wichtigen Accounts: Für besonders wichtige Konten wie Ihre primäre E-Mail-Adresse sollten Sie nach Möglichkeit die Multi-Faktor-Authentifizierung verwenden – das erhöht die Sicherheit bei geringem Mehraufwand erheblich. Erforderlich sind zwei oder mehr verschiedene Prozesse, die verwendet werden, um Ihre Identität zu „beweisen“, bevor Sie einen Dienst nutzen können. Das ist in der Regel ein Passwort plus eine andere Methode, z. B. ein Fingerabdruck oder Eingabe eines Codes, der an Ihr Smartphone gesendet wird. 

Mit einem Passwort-Manager wird es einfacher und sicherer

Die Vielzahl sicherer (also langer und komplexer) Passwörter lässt sich mit einem Passwort-Manager besser beherrschen. Einmal eingerichtet, verwalten Sie mit ihm alle Ihre Passwörter – unabhängig davon, welches Endgerät Sie nutzen.

Der Zugang zum Passwort-Manager ist durch ein besonders sicheres Passwort geschützt. Auch Multi-Faktor-Identifikation gehört mittlerweile zum Standard. Denn natürlich besteht das Risiko, dass der Manager von Hackern geknackt wird und dann alle Passwörter wertlos werden sowie sensible Daten akut gefährdet sind.

Neben der mühelosen Verwaltung hunderter Passwörter bieten die Manager in der Regel auch schnelle Warnungen vor Phishing-Attacken (bei denen persönliche Daten zum Beispiel per E-Mail angefordert werden).

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt Passwort-Manager nach persönlicher Risikoabwägung. Auf jeden Fall sei ein Manager sicherer als viele Passwörter, die nicht den höchsten Sicherheitsanforderungen entsprechen (mehr hier) .
 

Die Stiftung Warentest hat Passwort-Manager kürzlich getestet (7/2022). Insgesamt sieben erhielten das Qualitätsurteil „GUT“ (Details finden Sie hier). Auch Soft- und Hardwareanbieter wie etwa Apple bieten eigene Passwortmanager an, die gut integriert sind und sich eignen können, wenn Sie ausschließlich Geräte eines Herstellers verwenden. Prüfen Sie für sich, welcher Manager Ihnen für Ihr Unternehmen am meisten zusagt. Wer Passwort-Manager geschäftlich nutzt, sollte neben Sicherheit und Funktionen auch auf die Dokumentation, Nutzungsbedingungen und die Zusicherung der Einhaltung von europäischen Datenschutzstandards achten.

¹ Quelle: Bitkom Research, „Schäden durch Cyberkriminalität in Deutschland im Jahr 2022“
² https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Sichere-Passwoerter-erstellen/sichere-passwoerter-erstellen_node.html