IT + Digitalisierung -

Jahrelange Empfehlung nicht mehr gültig Passwörter am Arbeitsplatz: Tipps für Sie und Ihre Mitarbeiter

Jahrelang hieß es, man solle seine Computer-Passwörter regelmäßig ändern. Jetzt schwenkt das Bundesamt für Sicherheit in der Informationstechnik um: Wichtiger sei ein wirklich sicherer Code. Worauf es dabei ankommt – und was Nutzer tun können, damit sie ihre Passwörter immer parat haben.

Viele Arbeitnehmer kennen das: alle paar Monate wird dazu aufgefordert, das Passwort zu ändern, mal per Rundschreiben, mal zwangsweise direkt beim Hochfahren des Firmenrechners. Die Unternehmen handelten dabei auf Grundlage einer Richtlinie des Bundesamtes für Sicherheit in der Informationstechnik (BSI), die von den Landesdatenschutzbeauftragten übernommen wurden.

Doch jetzt rückt das BSI von dieser Vorgabe ab: In der aktuellen Ausgabe des BSI-Grundschutz-Kompendiums wurde die entsprechende Textpassage gestrichen – geändert werden soll ein Passwort demnach nur noch dann, wenn die Gefahr besteht, dass es in fremde Hände geraten sein könnte.

Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat die Regelung mit seinen neuen Hinweisen zum Umgang mit Passwörtern angepasst. "Eine erzwungene regelmäßige Änderung von Passwörtern ist überholt", so der Landesdatenschutzbeauftragte Stefan Brink. "Administratoren sollten daher ihre Nutzer nicht regelmäßig auffordern oder zwingen die Passwörter zu ändern. Stattdessen sollten die Nutzer für sichere Passwörter sensibilisiert werden." Was Arbeitgeber und Arbeitnehmer jetzt wissen müssen.

Warum soll ich mein Passwort nicht mehr regelmäßig ändern?

Viele Sicherheitsexperten vertreten schon seit einiger Zeit die Ansicht, dass solche Regeln eher schaden als nützen. Das regelmäßige Ändern führe nur dazu, dass schwache Passwörter benutzt oder diese nach einem bestimmten Schema wie etwa "sicher1", "sicher2" erzeugt würden, heißt es etwa bei Heise Security.

In Unternehmen hat die Vorgabe mitunter auch dazu geführt, dass sich die Mitarbeiter Zettel mit ihrem jeweils aktuellen Passwort an den Bildschirm kleben. Und das ist natürlich das komplette Gegenteil von IT-Sicherheit. Wichtig sei es, ein gutes, sicheres Passwort zu nutzen. Dieses könne dann auch bedenkenlos über Jahre hinweg verwendet werden, so die Heise-Sicherheitsexperten.

Wie finde ich ein sicheres Passwort – und wie kann ich es mir merken?

Die Rangliste der beliebtesten Passwörter, die das Hasso-Plattner-Institut in Potsdam alljährlich veröffentlicht, ist erschreckend: Seit Jahren wird sie von der Zahlenfolge "123456" angeführt. Da kann man sich den Passwortschutz dann auch gleich sparen. Auch das eigene Geburtsdatum als Passwort zu verwenden, ist keine gute Idee.

Die Verbraucherzentrale Baden-Württemberg rät zu willkürlichen Kombinationen aus großen und kleinen Buchstaben, Zahlen und Sonderzeichen, wobei auf die Umlaute ä, ö und ü lieber verzichtet werden sollte – sonst kann man von einem ausländischen Computer nicht mehr auf seine Mails zugreifen, weil es die Buchstaben auf den dortigen Tastaturen nicht gibt. Zudem sollte ein gutes Passwort mindestens zehn Zeichen umfassen.

Bei der Suche nach sicheren Passwörtern kann man sich zum Beispiel einen individuellen Merksatz als Eselsbrücke überlegen und die jeweiligen klein- und großgeschriebenen Anfangsbuchstaben der Wörter aneinanderreihen, so der Rat der Verbraucherzentrale. Ein Beispiel: Der Satz "Ein blaues, kleines Pferd liest Kaffeesatz auf dem Ausflugsdampfer." wird auf diese Weise zum Passwort: "Eb,kPlKadA.". Und das kann keiner so leicht erraten.

Die dümmsten Passwörter 2019

Welche technischen Hilfsmittel gibt es für die Passwortverwaltung?

Willkürliche Zeichenkombinationen sind zwar sehr sicher, ohne Eselsbrücke kann man sie sich aber auch nur sehr schwer merken. Abhilfe versprechen spezielle Passwortmanager, also Computerprogramme, die per Zufallsgenerator sichere Log-in-Daten erzeugen und diese anschließend verschlüsselt abspeichern. Diese sind vor allem dann sinnvoll, wenn man bei vielen verschiedenen Online-Diensten angemeldet ist und dort unterschiedliche Passwörter verwendet. Die Stiftung Warentest hat jüngst Passwortmanager getestet und drei davon mit der Note "gut" ausgezeichnet: Keeper Security, 1Password und die kostenlos erhältliche Software KeePass.

Was muss ich beachten, wenn mein Passwort in fremde Hände geraten ist?

Besteht der Verdacht, dass das Passwort in falsche Hände geraten sein könnte – etwa weil ein Virus auf dem Computer entdeckt wurde oder Amazon plötzlich nie bestellte Produkte verschickt – sollte man sein Passwort unbedingt ändern. Hilfreich kann es auch sein, regelmäßig zu prüfen, ob gestohlene Daten im Netz verfügbar sind. Dies ist bei verschiedenen Datenbanken möglich, etwa beim Identity Leak Checker des Hasso-Plattner-Instituts oder auf Haveibeenpwned.com. Findet man dort seine Mailadresse, sollte man direkt alle Zugänge ändern, die diese E-Mail-Adresse nutzen, also auch die Log-In-Daten für soziale Netzwerke wie Facebook oder Xing sowie den Amazon-Account.

Wie können Arbeitgeber ihre Mitarbeiter sensibilisieren?

Unternehmen sind in der Pflicht, ihre Mitarbeiter durch Schulungen und regelmäßige Informationen vor den Gefahren in der digitalen Sphäre zu schützen. Denn eine Kette ist immer nur so stark wie ihr schwächstes Glied und menschliches Fehlverhalten ist nach wie vor mit Abstand die häufigste Ursache für Probleme bei der IT-Sicherheit.

Schon ganz einfache Verhaltensregeln können dazu beitragen, das Risiko zu minimieren, Opfer eines Hackerangriffs oder Datendiebstahls zu werden. Beim Entsperren mobiler Geräte müsse beispielsweise klar sein, dass das Eingeben von Passwörtern in nicht gesicherten Bereichen durchaus mitgefilmt werden kann, sagt Friedrich Wimmer, Leiter IT-Forensik & Cyber Security Research beim Risikomanagement-Unternehmen Corporate Trust.

"Dem Risiko kann einfach begegnet werden, indem beim Eingeben von Passwörtern der Laptopdeckel etwas nach unten geklappt wird." Auch technische Lösungen wie Fingerabdrucksensoren könnten helfen, so Wimmer. "Ferner sollten unbekannte Zertifikate und Warnmeldungen nicht akzeptiert und Sichtschutzfolien genutzt werden." Diese helfen dabei, Blicke der Sitznachbarn in Zug oder Flugzeug zu verhindern.

6 Regeln für gute Passwörter

Ein gutes, sicheres Passwort zu finden, ist gar nicht so leicht. Die Verbraucherzentrale Baden-Württemberg hat sechs Regeln für gute Passwörter aufgestellt:

  1. Ein Passwort sollte mindestens 10 Zeichen lang sein.
  2. Es sollte aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen (z.B. § & ? * ! ? ) bestehen und nicht in einem Wörterbuch zu finden sein oder mit dem Nutzer selbst oder der Familie im Zusammenhang stehen. Namen, Geburtsdaten, Telefonnummern oder Ähnliches sind also tabu.
  3. Es sollte keine bloße Zahlenfolge (12345…), alphabethische Buchstabenfolge (abcdef…) oder eine Reihe benachbarter Tasten auf der Tastatur (qwertz…) darstellen.
  4. Je sensibler ein Zugang ist (etwa beim Online-Banking), umso mehr Sorgfalt sollte man bei der Auswahl eines starken Passworts walten lassen.
  5. Nicht das gleiche Passwort für alle Portale nutzen, sondern mindestens für die wichtigsten und meist genutzten Dienste eigene Passwörter anlegen.
  6. Wurde das Passwort von einem Anbieter übermittelt, sollte man es bei der ersten Anmeldung auf dem jeweiligen Portal ändern. Weitere Gründe zum Ändern des Codes wären, wenn der Online-Dienstleister einen dazu auffordert, große Datenlecks bekannt werden, der Computer mit Schadsoftware infiziert worden ist.
© deutsche-handwerks-zeitung.de 2020 - Alle Rechte vorbehalten