07. FRAGE ZUR CYBERSECURITY FÜR KMU - HABEN SIE EINE RICHTLINIE FÜR SICHERE PASSWÖRTER FESTGELEGT?

Im 7. Teil zu den 14 Fragen zur Cybersecurity für KMU des BSI geht es um das Thema sichere Passwörter. Den Hauptartikel, sowie alle vorherigen Beiträge aus der Reihe, finden Sie in unserem Broadcast zum Nachlesen.

Haben Sie eine Richtlinie für sichere Passwörter festgelegt?
Passwörter sind wie E-Mails – beide sind aus unserem (Arbeits)-Alltag nicht wegzudenken. Leider schenken immer noch viel zu viele Benutzer den Passwörtern nicht die nötige Aufmerksamkeit. So verwendet immer noch ein Großteil der Benutzer viel zu einfache oder dieselben Kennwörter für verschiedene Dienste (E-Mails, CRM-/ERP-Systeme, Onlinespeicher, Webshops, etc.).

Das macht es den Angreifern besonders einfach, an diese Systeme zu gelangen. Diesen steht in der heutigen Zeit eine ganze Palette an Werkzeugen zur Verfügung sowie die Rechenleistung der Cloud, um Passwörter zu knacken. Dabei sind sogenannte Phishing-Attacken eine sehr beliebte Angriffsart, um an Zugangsdaten zu gelangen. Zum Thema Phishing haben wir bereits einen separaten Beitrag verfasst – Gefahr durch Phishing-Mails – So erkennen Sie Phishing-Mails und schützen sich dagegen.

Eine weitere Möglichkeit an Zugangsdaten zu gelangen ist das Darknet. Dort gibt es „Börsen“ auf denen mit gestohlenen Zugangsdaten gehandelt wird. Diese Daten werden von Angreifern gerne dafür verwendet, um sich Zugang zu verschiedenen Diensten zu verschaffen. Hier wird darauf spekuliert, dass die Benutzer wie oben erwähnt, ein und dasselbe Kennwort für verschiedene Dienste verwenden. Auf diesen beiden Websites (Identity Leak Checker und Have I Been Pwned) können Sie testen, ob Ihre Zugangsdaten bereits im Internet aufgetaucht sind. Falls ja, ändern sie unverzüglich die Zugangsdaten zu Ihren Diensten.

Erlangt ein Angreifer erst Zugang z.B. zu Ihrem geschäftlichen E-Mail-Konto, kann dieser je nach Sicherheitsniveau des Unternehmens ggf. E-Mails mit schadhaftem Inhalt (Anhänge oder Links zu infizierten Websites) an verschiedene Empfänger (u.a. Geschäftspartner) in Ihrem Namen versenden. Dies schadet nicht nur der Reputation/dem Image des Unternehmens, sondern bringt auch technische Probleme mit sich. So erlangt der Angreifer womöglich auch Zugriff auf interne Systeme, da die E-Mail-Zugangsdaten auch gleichzeitig die Zugangsdaten für die Systemanmeldung sind.

Dabei ist es nicht schwer sichere Passwörter zu verwenden und zu verwalten. Es müssen lediglich einige Prinzipien beachtet werden, damit die eingesetzten Dienste und Systeme durch sichere Passwörter geschützt sind. Lesen Sie hierzu unseren Beitrag – Tipps & Tricks: Passwortgestaltung und -Verwaltung.

In Unternehmensnetzwerken sollte noch zusätzlich via Gruppenrichtlinien globale Regeln definiert werden, damit nur starke Kennwörter vom System akzeptiert werden, in welchem Zeitraum diese gültig sind, bis sie erneuert werden müssen, dass die letzten x Kennwörter nicht nochmal verwendet werden dürfen usw.

Immer mehr Online-Dienste bieten die Möglichkeit eine Multi-Faktor-Authentifizierung (MFA) einzurichten. Auch wenn diese den Anmeldeprozess auf den ersten Blick erschwert, sollte man dennoch von dieser Option Gebrauch machen, um seine Zugänge vor Missbrauch abzusichern.

Haben Sie sich bereits ausreichend dem Thema Kennwörter gewidmet? Benötigen Sie Unterstützung bei der Einrichtung von Gruppenrichtlinien oder der Schulung Ihres Personals zur Vergabe und Handhabung sicherer Kennwörter? Dann vereinbaren Sie einfach ein kostenloses und unverbindliches Erstgespräch.

Folgen Sie uns auf unseren Social Media Kanälen und teilen Sie diesen Beitrag mit anderen: