Der sichere Umgang mit Passwörtern in Unternehmen
Der richtige Umgang mit Passwörtern ist nach wie vor ein wichtiges Thema. Damit die erforderliche Passwortsicherheit gewährleistet ist, müssen die Unternehmen Wege finden, wie diese möglichst einfach umgesetzt werden kann. Craig Lurey, CTO des IT-Security-Dienstleisters Keeper, fasst zusammen, welche Fehler in jeden Fall vermieden werden müssen und welche Möglichkeiten es gibt, das Passwort-Dilemma in den Griff zu bekommen.
Viele Unternehmen, insbesondere solche, die im technischen und digitalen Bereich tätig sind, benötigen eine kontinuierliche Kommunikation und die gemeinsame Nutzung von Online-Dateien. Daher ist in einer kollaborativen Arbeitsumgebung oft die gemeinsame Nutzung von Konten erforderlich. Das bedeutet, dass Mitarbeiter einen einfachen Weg finden müssen, um Zugänge und Passwörter untereinander weiterzugeben – möglichst ohne das Risiko, das Unternehmen einem Cyberangriff auszusetzen. Eine Nachricht über einen Messanger-Dienst oder eine E-Mail an einen Kollegen mag der schnellste Weg sein, um Passwörter weiterzugeben. Doch es ist ein unsicherer und riskanten Weg, der das gesamte Unternehmen einem hohen Risiko durch Cyberangriffe aussetzt.
Der sichere Weg für den Austausch von Kennwörtern
Im Cybersecurity Census Report 2022 hat Keeper Security herausgefunden, dass nur 13 Prozent der befragten Unternehmen in Deutschland bestens mit einem System für die Identitätskontrolle ausgerüstet sind, 56 Prozent geben ihren Mitarbeitern zumindest eine Anleitung und 31 Prozent überlassen die Identitätskontrolle inklusive des Umgangs mit Passwörtern ihren Mitarbeitern. Das Risiko scheint entweder nicht allen bewusst zu sein oder es wird in Kauf genommen.
Der sicherste Weg, Kennwörter zu speichern und weiterzugeben, ist ein Passwortmanager auf einem kennwortgeschützten Gerät. Passwort-Manager bieten oft mehrere Verschlüsselungsebenen, die es Cyber-Angreifern praktisch unmöglich machen, das Gesuchte lesbar zu finden. Mit der Zero-Knowledge-Verschlüsselung kann niemand außer dem Benutzer die Daten einsehen – auch nicht der Anbieter des Passwortmanagers und auch nicht ein Angreifer.
Einige Passwortmanagement-Tools, insbesondere für die Nutzung in Unternehmen, bieten sichere Freigabefunktionen. Diese machen es einfach, Mitarbeitern einen gemeinsamen Zugang zu gewähren, ohne die Details von Benutzernamen und Passwort preiszugeben. Wünschenswert bei Passwort-Managern ist zudem eine Multi-Faktor-Authentifizierung (2FA/MFA), die auf Rollenebene erzwungen werden kann. Generell ist es empfehlenswert, 2FA/MFA auf allen Plattformen zu aktivieren, um die Sicherheitslage des Unternehmens und der Teams zu verbessern.
Riskante Methoden zum Senden und Speichern von Passwörtern
Die gemeinsame Nutzung von Passwörtern ist unter Internetnutzern innerhalb und ausserhalb des Arbeitsplatzes weit verbreitet. Eine Umfrage von The Zebra, NBC News und dem Pew Research Center ergab, dass 79 Prozent der Benutzer zugaben, Passwörter mit jemandem ausserhalb ihres Hauses zu teilen.
Unternehmen, die keinen Passwortmanager verwenden, nutzen möglicherweise unsichere Methoden zur Speicherung und Weitergabe von Passwörtern. Das kann zu finanziellen Verlusten und einem erhöhten Risiko eines Cyberangriffs führen. Im Cybersecurity Census Report 2022 betrugen die Auswirkungen eines Cyberangriffs allein in Deutschland zwischen 10.000 und 49.999 Euro.
Sechs Methoden, die man beim Umgang mit Passwörtern vermeiden sollte
Nutzer, die nicht auf die Funktionen eines guten Passwortmanagers zurückgreifen, nutzen viele unterschiedliche Methoden, um die geheimen Zugangsdaten untereinander auszutauschen. Unter diesen Umständen kann in einem Unternehmen weder gewährleistet werden, dass nur diejenigen Zugang zu Passwörtern bekommen, die auch dafür berechtigt sind und es besteht kaum eine Sicherheit, dass die geheimen Zugangsdaten nicht in die Hände von unbefugten Dritten gelangen. Sechs der beliebtesten und riskantesten Methoden sind:
- Online-Dokumente: Apple Notes, Google-Dokumente, Microsoft Word-Dokumente und andere Online-Notizprogramme sind zwar eine einfache Möglichkeit, Informationen zu notieren, aber diese Tools wurden nicht für die Speicherung und Weitergabe privater Anmeldedaten entwickelt. Im Keeper Workplace Password Malpractice Report 2021 bestätigten 49 Prozent der Befragten, arbeitsbezogene Passwörter in einem Cloud-Dokument zu speichern. 51 Prozent speichern Passwörter in einem Dokument auf ihrem Computer und 55 Prozent speichern arbeitsbezogene Passwörter auf ihren Mobiltelefonen. Obwohl einige Dokumente passwortgeschützt werden können, bieten viele Dokumentensoftware-Plattformen keine Verschlüsselung, keine zweistufige Überprüfung oder andere zusätzliche Sicherheitsmaßnahmen. Ein unbefugter Benutzer, dem es gelingt, ein Gerät in die Hände zu bekommen oder zu hacken, kann das Dokument leicht kopieren und an sich selbst senden, wodurch er Zugang zu allen in der Datei enthaltenen Informationen erhält.
- E-Mails: E-Mails sind eine der beliebtesten Kommunikationsformen am Arbeitsplatz. Sie werden in der Regel im Klartext und ohne Verschlüsselung versendet. Wenn ein E-Mail-Posteingang kompromittiert wird, haben unbefugte vollen Zugriff auf Kennwörter, die per E-Mail verschickt wurden. Zudem durchlaufen Kennwörter, die per E-Mail verschickt werden, oft mehrere Systeme und Server und es befindet sich eine Kopie im „Gesendet“-Ordner. Und selbst wenn E-Mails gelöscht wurden, sind die E-Mails möglicherweise in anderen Ordnern des Kontos gespeichert, beispielsweise im „Gelöscht“-Ordner. E-Mails die nicht beim Provider sondern lokal auf der Festplatte des Geräts gespeichert werden, unterliegen einem zusätzlichen Risiko durch einen potenziellen Diebstahl des Laptops, Tablets oder Mobiltelefons.
- Textnachrichten/SMS: Ähnlich wie bei E-Mail-Diensten gibt es bei Textnachrichten keine Sicherheit. Die Textnachricht ist für jeden lesbar, der sie abfangen kann. Auch hier gilt: Wenn ein mobiles Gerät nicht passwortgeschützt ist und in die falschen Hände gerät, erhält der unbefugte Nutzer Zugang zu allen privaten Gesprächen und Messages. Gleiches gilt bei einer Kompromittierung des Geräts.
- Online-Messager: WhatsApp, Slack und Microsoft Teams sind beliebte Tools für die Kommunikation zwischen Mitarbeitern für die schnelle Projektaktualisierung oder für zwanglose Gespräche. Obwohl viele dieser Cloud-Dienste verschlüsselt sind, bleiben die Anwendungen auf den Geräten meist offen oder laufen im Hintergrund. Wird das Gerät in einer öffentlichen Umgebung genutzt und ist es teilweise unbeaufsichtigt, kann jeder innerhalb von Sekunden auf die Passwörter zugreifen. Beispielsweise im Juni 2021 nutzte eine Gruppe von Cyberkriminellen Slack, um einen Mitarbeiter dazu zu bringen, ihnen beim Einbruch in EA Games zu helfen. Der Gruppe gelang es, gestohlene Cookies zu erwerben, mit denen sie sich Zugang zu einem EA-Slack-Kanal verschaffen konnten. Dann schickten sie eine Nachricht an die Mitglieder des IT-Supports, in der sie behaupteten, sie hätten ihr Telefon auf einer Party verloren.
- Physische Dokumente: Das Aufschreiben von Passwörtern in ein Notizbuch oder auf einen Zettel kann zwar Cyberkriminelle davon abhalten, auf Anmeldedaten zuzugreifen. Die Zugangsdaten können allerdings in der Offline-Welt leicht von einem Unautorisierten gestohlen werden. Das Aufschreiben von Zugangsdaten und deren Weitergabe im Büro ist zudem gefährlich, wenn das physische Dokument verloren wird.
- Verbale Weitergabe: Auch wenn ein persönliches Gespräch mit einem Kollegen die klassische Papier- und Online-Gefahr eliminiert, birgt es Risiken, da die Anmeldedaten laut ausgesprochen und somit mitgehört werden können. Zudem sind die Passwörter bei dieser Methode meist nicht besonders sicher, da Sonderzeichen, die gelegentlich auf der Tastatur nicht zu finden sind, im Passwort nicht enthalten sein können. Eine weitere, wenn auch geringe, Gefahr ist, dass das Gespräch aufgezeichnet wird.
Weitere Informationen: KeeperSecurity.com