Passwörter – Was Management, IT und alle anderen tun können
Cyberangriffe und die illegale Verbreitung riesiger Passwort-Datenbanken im Internet (in Form eines sog. „dump“ oder „paste“) nehmen stetig zu, zuletzt etwa durch bis zu 68 Millionen kompromittierte Dropbox-Accounts. Es stellt sich die praktische Frage, was Management, IT-Verantwortliche und Mitarbeiter tun können, um die Sicherheit des Passwort-Managements im Unternehmen zu steigern.
Das Management sollte zunächst mit gutem Vorbild vorangehen und die Wichtigkeit der Informationssicherheit im Unternehmen hervorheben. Ausgangspunkt können sein:
- Informationssicherheits-Management-Systeme nach ISO/IEC 27001
- Passwort-Management gemäß ISO/IEC 27002 bzw. IT-Grundschutz
- Passwort- oder Kryptographie Richtlinien
- Schulungen und Workshops zum sicheren Umgang mit Passwörtern
Den IT-Verantwortlichen kommt die Aufgabe der Implementierung sicherer, vorkonfigurierter IT-Prozesse und Anwendungen zu. Grundlegende Anforderungen lauten:
- Passwörter dürfen niemals im Klartext abgespeichert werden
- Passwörter sind mit anerkannten Verfahren zu hashen (z.B. SHA-256)
- Passwörter sind vor dem hashen mit einer zufälligen Zeichenfolge zu versehen, dem Salt, um die systematische Rückführung von Hashes zu erschweren
- Passwörter sollten von einer Mehr-Faktor-Authentifizierung begleitet werden
Auf der organisatorischen Seite ist den Mitarbeitern die notwendige Sensibilität für das Thema „Sichere Passwörter“ zu vermitteln und woran sich ein sicheres Passwort ausmacht:
- Mindestlänge von Passwörtern (z.B. 10 Zeichen)
- Komplexitätsanforderungen (z.B. Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen)
- Regelmäßige Änderung von Passwörtern (z.B. alle 90 Tage)
- Geheimhaltung von Passwörtern
Das Fazit dürfte im Rahmen steigender Cyberangriffe stets ähnlich ausfallen: Statt in Aktionismus zu verfallen, sollten längerfristige Sicherheitsprozesse implementiert werden, die das Management selbst anstößt (z.B. ein ISMS nach ISO/IEC 27001). Risikobasierte Ansätze sind hierbei Pflicht, um sich gerade nicht vom vorgenannten Aktionismus treiben zu lassen („Schlagzeile: 100 Millionen gestohlene Passwörter bei Firma XYZ“), sondern von konkreten Risiken und Bedürfnissen der eigenen Organisation.