Passwort – Sicherheit und Management

von 19. Mrz 2019Datensicherheit

Sie werden mir wahrscheinlich sofort zustimmen, dass „123456“ kein sicheres Passwort ist. Tatsächlich war genau dieses Passwort im Jahr 2018 das beliebteste Passwort der Deutschen. Platz 2 belegte übrigens „12345“, dicht gefolgt von „123456789“. Vielleicht atmen Sie gerade auf, weil Sie denken: Kein Problem, so ein einfaches Passwort verwende ich sicher nicht. Aber bedenken Sie, jemand verwendet solch unsichere Passwörter – vielleicht jemand der Daten von Ihnen verarbeitet oder verwaltet….

Das Hasso-Plattner-Institut hat die Top-Ten aus rund 500.000 öffentlich gewordenen Zugangsdaten, deren E-Mail-Adressen auf „.de“ endeten, herausgefiltert. Es ist also nicht abwegig, dass auch Ihre Mitarbeiter, Geschäftspartner oder sogar Ihr Hausarzt oder Steuerberater zu denen gehören, die ein Passwort aus den Top-Ten verwenden. Wir sind uns sicherlich einig, dass dies kein besonders beruhigender Gedanke ist.

Datensicherheit ist als Teil des Datenschutzes Chefsache – der Grund dafür ist einfach zu benennen: Der Chef ist der Verantwortliche und muss im Zweifel für Datenpannen geradestehen.

Wir empfehlen Ihnen daher, im Unternehmen eine Passwortrichtlinie festzulegen. Diese regelt, wie ein sicheres Passwort aussieht, wie oft es geändert wird, wo es verwendet wird und wie es aufbewahrt wird. Hierbei sollte angemerkt werden: Ihre Schreibtischunterlage, die Wand hinter Ihnen, die direkt von der Webcam fokussiert wird, oder Ihr Bildschirmrand sind keine geeigneten Speicherorte.

Eine solche Passwortrichtlinie dient nicht nur dem Verantwortlichen im Hinblick auf die Sicherung der Unternehmensgeheimnisse oder Kundendaten. Sie ist auch im Interesse jedes Mitarbeiters, dessen Daten ebenfalls in Ihrem Unternehmen verarbeitet werden.

Ein sicheres Passwort sollte mindestens 12 Zeichen lang sein. Je länger das Passwort, desto sicherer ist es – dies gilt jedoch nur, wenn Sie ein kryptisches Passwort wählen. Kryptisch bedeutet, dass Ihr Passwort idealerweise aus Zahlen und Buchstaben (Groß- und Kleinschreibung) sowie Sonderzeichen besteht. Die Buchstaben sollten keinen Sinn ergeben, das heißt, kein echtes Wort sein. Verwenden Sie keine Namen oder Wörter, die man in einem Wörterbuch finden könnte. Vermeiden Sie Passwörter, die sich auf Ihre Person beziehen (Geburtsdaten, Autokennzeichen etc.) und verwenden Sie ein Passwort immer nur für einen Dienst. Ändern Sie Ihr Passwort nicht nur ab, wenn Sie einen anderen Dienst verwenden, sondern erstellen Sie ein völlig neues, ohne Bezug auf Ihre anderen Passwörter. Außerdem sollten Sie nie ein voreingestelltes Standardpasswort weiterverwenden, ändern Sie es nach dem ersten Anmelden. Sie sollten ein Passwort grundsätzlich in bestimmten Zyklen ändern – nicht nur dann, wenn Sie den Verdacht haben, dass Ihr Passwort nicht mehr sicher sein könnte.

Passwortmanagement

Ein solches sicheres Passwort ist natürlich schwer zu merken, insbesondere wenn es sich um mehr als nur ein Passwort handelt. Das BSI empfiehlt Bürgern, ein leicht zu merkendes Passwort nach folgendem Muster zu verwenden: „Ich habe drei Kinder und einen Hund, außerdem eine Katze!“ Dieser Merksatz wird dann zu folgendem Passwort: Ih3Ku1H,a1K!. Ich empfehle diese Methode insbesondere für ein sogenanntes Master-Passwort, welches dazu dient, andere Passwörter, die z.B. in einem Passwortmanager gespeichert sind, zu sichern. Passwort-Manager speichern das Passwort nicht im Klartext, sondern verschlüsselt. Dieser Weg ist definitiv dem unverschlüsselten Speichern oder dem Aufschreiben von Passwörtern vorzuziehen. Passwortmanager gibt es als Offline-Programm, z.B. KeePass, sowie als Online-Dienst, z.B. LastPass.