Passwortsicherheit: Ein ausführlicher Leitfaden zu bewährten Verfahren
Eine schlechte Passwortsicherheit kann zu vielerlei Problemen führen – vom unerlaubten Zugriff auf vertrauliche Informationen über mögliche finanzielle Verluste bis hin zu Rufschäden für das Unternehmen. Die zunehmende Komplexität von Cyberangriffen hat verdeutlicht, wo in herkömmlichen Kennwortprotokollen Schwachpunkte liegen. Einzelpersonen wie Unternehmen setzen heutzutage eine Vielzahl von Anwendungen und cloudbasierten Diensten ein, was eine angemessene Absicherung dieser Zugangspunkte umso bedeutender macht.
Doch das Risiko für Schäden beschränkt sich nicht nur auf große Konzerne. Auch KMU, die häufig über schlankere IT-Infrastrukturen verfügen, können für Cyberkriminelle zum Ziel werden. Während die Unternehmen versuchen, ihre Betriebskosten zu optimieren, laufen sie Gefahr, ihre Systeme ungewollt mit Passwörtern verbundenen Sicherheitslücken auszusetzen. Es ist also nicht nur aus technischer Sicht wichtig zu verstehen, welche bedeutende Rolle die Kennwortsicherheit spielt, sondern auch eine wichtige Geschäftsstrategie.
In diesem umfassenden Leitfaden geben wir einen Einblick in die Funktionsweise der Passwortsicherheit, erläutern verschiedene Angriffsvektoren und zeigen bewährte Verfahren auf, mit denen Sie sicherstellen können, dass Ihre Zugangspunkte unüberwindbar bleiben.
Die Bedeutung starker Passwortpraktiken
Das Online-Ökosystem hat sich weiterentwickelt und damit auch die Herausforderungen bei der Absicherung von Zugangspunkten. Passwörter sind in einem mehrstufigen Sicherheitsansatz die erste Verteidigungslinie. Schauen wir uns die weitreichenden Konsequenzen von Kennwortschwachstellen an.
Robuste Passwörter im geschäftlichen Umfeld
Während Sicherheitsverletzungen bei Privatpersonen zum Diebstahl persönlicher Daten führen können, steht für Unternehmen erheblich mehr auf dem Spiel. Im Einzelnen wären das folgende Risiken:
- Diebstahl geistigen Eigentums: Unternehmen betreiben viel Forschung und Entwicklung, um einzigartige Produkte und Lösungen auszuarbeiten. Mit einem einzigen geknackten Kennwort könnte sich die Konkurrenz unerlaubt Zugriff auf dieses geheime Wissen verschaffen und damit den Marktvorteil des Unternehmens untergraben.
- Unerlaubter Zugriff auf Kundendaten: In Branchen wie dem Finanz-, Gesundheits- oder Dienstleistungssektor ist die Unantastbarkeit der Kundendaten von oberster Priorität. Eine Datenschutzverletzung kann nicht nur zu rechtlichen Folgen führen, sondern auch das Kundenvertrauen ruinieren, das mühsam über die Jahre erarbeitet wurde.
- Finanzbetrug: Indem Unternehmen immer mehr auf digitale Bankgeschäfte und Transaktionen setzen, können schwache Kennwörter für Kriminelle schnell zum Einfallstor werden, um Gelder abzuzweigen. Zu dem finanziellen Verlust käme dann auch noch eine langfristige Schädigung der Glaubwürdigkeit des Unternehmens.
- Betriebsstörungen: Kompromittierte Zugangsdaten eines Unternehmens können auch den regulären Geschäftsbetrieb stören. Die betrieblichen Abläufe könnten maßgeblich etwa durch gesperrte Konten oder manipulierte Daten beeinträchtigt werden, was wiederum zu Lieferverzögerungen und Vertragsstrafen führen kann.
- Rufschädigung: Die Nachrichten von Datenschutzverletzungen verbreiten sich schnell. Eine Berichterstattung in den Medien kann den Ruf einer Marke beschädigen. Damit gehen in der Regel auch Kundenabgang und verlorene Geschäftsmöglichkeiten einher.
Angesichts dieser beträchtlichen Tragweite wird eine solide Strategie zum Passwortmanagement schnell zum Eckpfeiler im Gesamtkonzept zum Risikomanagement eines Unternehmens.
Angriffsvektoren bei Kennwörtern
Um eine wirkungsvolle Abwehrstrategie zu entwickeln, muss man zunächst verstehen, mit welchen Methoden Kennwörter kompromittiert werden. Hier eine detaillierte Aufstellung:
- Gestohlene Passwörter: Selbst die vertrauenswürdigsten Unternehmen können Opfer von Datenschutzverletzungen werden. Werden dann Zugangsdaten gestohlen und vielleicht noch über mehrere Plattformen hinweg dieselben Kennwörter verwendet, eröffnen sich noch mehr mögliche Einfallspunkte für unerlaubten Zugriff.
- Brute-Force-Angriffe: Bei dieser Technik werden von den Angreifern Tools eingesetzt, die eine Unzahl an Passwortkombinationen austesten. Aufgrund der Geschwindigkeit und Leistungsfähigkeit moderner Computer können so binnen Sekunden Milliarden Kombinationen ausprobiert werden. Besonders anfällig sind Kennwörter, die kürzer als 12 Zeichen sind.
- Keylogger: Wie ein Raubtier liegt diese Malware-Variante auf der Lauer und zeichnet heimlich im Hintergrund jeden Tastenanschlag auf. Ohne eine fortschrittliche Malware-Erkennung und regelmäßige Systemüberprüfungen bleiben derartige Bedrohungen häufig für lange Zeit unerkannt.
- Phishing: Dabei handelt es sich um einen psychologischen Ansatz, wobei die Benutzer von den Angreifern dazu gebracht werden, ihre Zugangsdaten auf sorgfältig gefälschten Websites einzugeben. Diese betrügerischen Plattformen sind inzwischen so raffiniert konzipiert, dass sie sich nur schwer von den richtigen unterscheiden lassen.
- Post-Exploitation-Tools: Sobald sich ein Angreifer erst einmal Zugriff verschafft hat, kann er mit diesen Tools weiter Fuß fassen, indem sie nach weiteren Schwachstellen und interessanten Daten suchen. Tools wie Mimikatz sind besonders schädlich, da sie Passwörter und andere kritische Daten stehlen können.
- Rainbow-Table-Angriffe: Diese zielen nicht direkt auf die Passwörter ab, sondern versuchen, die ursprüngliche Zeichenfolge des Hashwerts wiederherzustellen. Kryptographische Hashwerte wie MD5 und SHA-1 scheinen undurchdringlich zu sein, doch sie sind anfällig für eine Entschlüsselung durch dieses Verfahren. Das hat branchenweit für widerstandsfähigere Lösungen wie Hashfunktionen mit Salts hervorgebracht.
Erstellen widerstandsfähiger Passwörter
Beim Erstellen sicherer Kennwörter geht es nicht nur um Komplexität, sondern eine Kombination aus Länge und Unberechenbarkeit. Hier einige bewährte Verfahren:
Kennwortlänge und -komplexität
- Länge ist wichtig: Die Widerstandsfähigkeit eines Passworts erhöht sich exponentiell mit dessen Länge. Mindestens 16 Zeichen sind empfehlenswert. Je länger das Passwort, umso widerstandsfähiger wird es gegenüber den Brute-Force-Fertigkeiten moderner Computerleistung.
- Vielfältiger Zeichensatz: Verwenden Sie eine Mischung aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen. Ein umfangreicher Zeichensatz ist wirksam gegen Rainbow-Table- und Wörterbuchangriffe.
- Wörterbuchbegriffe vermeiden: Cyberkriminelle setzen häufig Wörterbuchtools ein, weshalb ganze Wörter Passwörter schwächen. Nutzen Sie also Kombinationen, die keinen typischen Wort- oder Satzstrukturen folgen.
Phrasen und Akronyme
- Passphrasen: Verwenden Sie statt herkömmlicher Passwörter zufällig zusammenhängende Phrasen. „BlauHimmelRegen$Sommer43!“ ist beispielsweise relativ lang und komplex, sodass es recht widerstandsfähig ist.
- Akronyme: Machen Sie aus leicht zu merkenden Sätzen Akronyme, indem Sie Zahlen und Symbole verwenden. Aus dem Satz „Ich habe 2010 mein Abitur in Berlin gemacht!“ könnte beispielsweise „Ick@bi2O1oIN8al1n!“ werden.
Kennwortlaufzeiten und -verlauf
- Regelmäßige Änderungen: Führen Sie eine Regel zum Ändern der Passwörter ein, bevorzugt alle 60 bis 90 Tage. Dieses Zeitfenster beschränkt die Gültigkeit gestohlener oder anderweitig in fremde Hände gelangter Zugangsdaten.
- Kennwortverlauf: Führen Sie eine Kennwortchronik, um zu verhindern, dass Benutzer bereits verwendete Passwörter erneut einsetzen. Ein Verlauf der letzten 12 bis 15 Passwörter bietet ein angemessenes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit.
Schutzmaßnahmen zusätzlich zu Passwörtern
Sich allein auf die Stärke des Passworts zu verlassen, kann zu Nachlässigkeit führen. Mit den folgenden zusätzlichen Maßnahmen können Sie den Schutz weiter verstärken:
Mehrstufige Authentisierung
- Definition: Die mehrstufige Authentisierung (MFA) bietet eine zusätzliche Schutzschicht, da sie nicht nur ein Kennwort erfordert, sondern einen zweiten Identitätsnachweis.
- Verfahren: Dieser Identitätsnachweis kann ein per SMS verschickter Code, eine biometrische Authentisierung oder ein über eine App erstellter und zeitlich beschränkter Token sein.
- Vorteile: Selbst, wenn ein Angreifer das Passwort entschlüsselt, bleibt der Zugriff ohne den zweiten Identitätsnachweis gesperrt.
Passwortmanager
- Ablage und Verschlüsselung: Passwortmanager speichern Zugangsdaten in einem verschlüsselten Tresor, sodass sie nicht manuell eingegeben werden müssen.
- Automatische Erstellung: Viele Programme bieten auch eine Funktion zum automatischen Erstellen eines Passworts gemäß der bewährten Verfahren an.
- Vorteile: Diese Tools minimieren menschliche Fehler, vermeiden einen Plattform übergreifenden Einsatz der Kennwörter und sind nützlich gegen Keylogger, da die Passwörter nicht über die Tastatur eingegeben werden.
Regelmäßige Überprüfung der Sicherheit
- Definition: Es geht darum, die Systeme regelmäßig auf Sicherheitslücken zu überprüfen.
- Scans und Penetrationstests: Automatisierte Scans in Kombination mit manuellen Penetrationstests helfen dabei, mögliche Schwachstellen aufzuspüren.
- Vorteile: Mit dieser Früherkennung und der dadurch ermöglichten Risikominimierung wird sichergestellt, dass sowohl die Passwörter als auch die Systeme bestmöglich vor potenziellen Bedrohungen geschützt bleiben.
Mitarbeiteraufklärung und -schulung
Das schwächste Glied in der Cybersecurity ist immer noch der Mensch. Mit dieser Strategie können Sie es stärken:
Regelmäßige Schulungen
- Cyberhygiene: Klären Sie Ihre Mitarbeiter darüber auf, wie wichtig es ist, für die verschiedenen Plattformen einzigartige Passwörter zu verwenden, Phishingversuche zu erkennen sowie verdächtige Aktivitäten zu melden.
- Simulationsübungen: Führen Sie vorgetäuschte Phishing-Angriffe oder Simulationen aus, um sicherzustellen, dass die Schulungsinhalte auch praktisch angewendet werden.
Überwachung und Rückmeldung
- Aktive Überwachung: Setzen Sie Softwarelösungen ein, die auf nicht zulässige oder ungewöhnliche Zugriffsmuster überwachen.
- Rückmeldungen: Richten Sie ein System ein, dass auch die betroffenen Mitarbeiter darüber informiert werden, falls Schwachstellen gefunden werden, um diesen gegenüber noch einmal zu betonen, wie wichtig die Einhaltung der Sicherheitsprotokolle ist.
Herausstellen der gemeinsamen Verantwortung
- Sicherheitskultur: Machen Sie deutlich, dass alle für die Cybersicherheit verantwortlich sind und nicht nur die IT-Abteilung.
- Belohnen und anerkennen: Würdigen und honorieren Sie Mitarbeiter, die vorbildliche Sicherheitspraktiken an den Tag legen oder auf mögliche Bedrohungen hinweisen.
Phishing-resistente mehrstufige Authentisierung
Die herkömmliche Authentisierung per Kennwort gilt heutzutage als nicht mehr ausreichend. Es wird dringend empfohlen, die Authentifizierungsstrategien auf den neuesten Stand zu bringen. Legen Sie den Schwerpunkt auf eine Sicherheit, die gegen raffinierte Bedrohungen wie Phishing widerstandsfähig ist.
Phishing-resistente MFA soll die Mängel traditioneller Authentifizierungsmethoden ausmerzen. Herkömmliche MFA ist zwar sicherer als nur das Kennwort allein, kann aber immer noch über Phishing-Methoden geknackt werden. Die Phishing-resistente Variante bietet eine stärkere Abwehr.
Es gibt zahllose Möglichkeiten, wie Passwörter geknackt werden können, beispielsweise Passwort-Phishing-Seiten, Malware, die Tastenanschläge aufzeichnet, sowie menschliche Fehler, etwa schwache Kennwörter einzusetzen oder sie mehrmals zu verwenden. Diese Form der MFA ist darauf ausgelegt, die durch herkömmliche Passwörter entstehenden Sicherheitslücken zu stopfen. Phishing-resistente MFA verfügt über folgende Eigenschaften:
- FIDO/WebAuthn-Authentisierung: FIDO/WebAuthn ist ein moderner Internetstandard von W3C (World Wide Web Consortium). Dabei handelt es sich um ein Authentisierungsverfahren ohne Passwort, bei dem die kryptographischen Anmeldedaten an ein bestimmtes Gerät gebunden sind und die Verifizierung über Biometrie oder andere lokale Authentisierungsmethoden erfolgen muss. Auf diese Weise wird sichergestellt, dass die Authentifizierung sicher bleibt, auch wenn die Anmeldedaten des Benutzers irgendwo ausgespäht wurden.
- PKI-basierte Authentisierung: Bei der Public Key Infrastructure (PKI) werden zur Überprüfung der Benutzeridentität kryptographische Schlüssel eingesetzt, damit die Daten nicht entschlüsselt werden können, selbst wenn sie abgefangen werden.
- Biometrische Authentisierung: Neben Kennwörtern und Token werden hier einzigartige physische oder Verhaltensmerkmale wie Fingerabdrücke, Gesichtsmuster, Stimmeneigenschaften oder Retinascanner eingesetzt. Zugriff wird nur gewährt, wenn eine exakte Übereinstimmung mit den einzigartigen Merkmalen des Benutzers vorliegt.
Durch den Einsatz von biometrischer Authentisierung, Hardware-Token und Pushbenachrichtigungen auf vertrauten Geräten wird es für Angreifer außerordentlich schwierig, sich als Benutzer auszugeben.
Die Notwendigkeit von Phishing-resistenter MFA
Cybersicherheitsbehörden und -organisationen wie die CISA plädieren für die Umsetzung oder Übernahme von Phishing-resistenter MFA, insbesondere bei hochwertigen Zielen. Sie wird derzeit als Maßstab hinsichtlich MFA anerkannt, da sie eine undurchdringliche Abwehr gegenüber einer Vielzahl von Cyberbedrohungen bietet. Durch den Einsatz dieser fortschrittlichen Authentifizierungsmethode wird nicht nur der Schutz gegenüber unerlaubtem Zugriff gestärkt, sondern auch das Engagement gegenüber Datenintegrität und -vertraulichkeit verdeutlicht.
Während jede Form von MFA schon ein Fortschritt gegenüber Systemen ist, die nur durch ein Kennwort geschützt werden, so ist in der heutigen digitalen Landschaft eine robuste Sicherheit erforderlich, wie sie nur Phishing-resistente MFA bietet.
Fazit
Digitale Zugangspunkte sind das Tor zu unbezahlbaren Daten. Daher ist eine starke Passwortsicherheit unerlässlich. Egal ob Privatperson oder Unternehmen, nur wer die kursierenden Bedrohungen versteht und auf fortschrittliche Authentifizierungsverfahren wie Phishing-resistente MFA setzt, kann seine vertraulichen Daten angemessen schützen. Es geht nicht nur darum, widerstandsfähige Kennwörter zu erstellen, sondern eine ganzheitliche Sicherheitskultur der Prävention, Bildung und kontinuierlichen Verbesserung zu pflegen.
Veröffentlicht: 23. Januar 2018; Aktualisiert: 24. September 2023
Übersetzung: Doreen Schäfer