26. September 2016

Passwörter – Was Management, IT und alle anderen tun können

Cyberangriffe und die illegale Verbreitung riesiger Passwort-Datenbanken im Internet (in Form eines sog. „dump“ oder „paste“) nehmen stetig zu, zuletzt etwa durch bis zu 68 Millionen kompromittierte Dropbox-Accounts. Es stellt sich die praktische Frage, was Management, IT-Verantwortliche und Mitarbeiter tun können, um die Sicherheit des Passwort-Managements im Unternehmen zu steigern.

Das Management sollte zunächst mit gutem Vorbild vorangehen und die Wichtigkeit der Informationssicherheit im Unternehmen hervorheben. Ausgangspunkt können sein:

  • Informationssicherheits-Management-Systeme nach ISO/IEC 27001
  • Passwort-Management gemäß ISO/IEC 27002 bzw. IT-Grundschutz
  • Passwort- oder Kryptographie Richtlinien
  • Schulungen und Workshops zum sicheren Umgang mit Passwörtern

Den IT-Verantwortlichen kommt die Aufgabe der Implementierung sicherer, vorkonfigurierter IT-Prozesse und Anwendungen zu. Grundlegende Anforderungen lauten:

  • Passwörter dürfen niemals im Klartext abgespeichert werden
  • Passwörter sind mit anerkannten Verfahren zu hashen (z.B. SHA-256)
  • Passwörter sind vor dem hashen mit einer zufälligen Zeichenfolge zu versehen, dem Salt, um die systematische Rückführung von Hashes zu erschweren
  • Passwörter sollten von einer Mehr-Faktor-Authentifizierung begleitet werden

Auf der organisatorischen Seite ist den Mitarbeitern die notwendige Sensibilität für das Thema „Sichere Passwörter“ zu vermitteln und woran sich ein sicheres Passwort ausmacht:

  • Mindestlänge von Passwörtern (z.B. 10 Zeichen)
  • Komplexitätsanforderungen (z.B. Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen)
  • Regelmäßige Änderung von Passwörtern (z.B. alle 90 Tage)
  • Geheimhaltung von Passwörtern

Das Fazit dürfte im Rahmen steigender Cyberangriffe stets ähnlich ausfallen: Statt in Aktionismus zu verfallen, sollten längerfristige Sicherheitsprozesse implementiert werden, die das Management selbst anstößt (z.B. ein ISMS nach ISO/IEC 27001). Risikobasierte Ansätze sind hierbei Pflicht, um sich gerade nicht vom vorgenannten Aktionismus treiben zu lassen („Schlagzeile: 100 Millionen gestohlene Passwörter bei Firma XYZ“), sondern von konkreten Risiken und Bedürfnissen der eigenen Organisation.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!