Die Zahl der Passwörter in Unternehmen steigt kontinuierlich, da mit jedem neuen Gerät, Programm oder Applikation neue Zugriffsdaten hinzukommen. Zwar entwickeln sich gerade biometrische Authentifizierungsmethoden rasant weiter, dennoch ist davon auszugehen, dass sie auch zukünftig lediglich eine Ergänzung zu regulären Passwortkontrollen sein werden. Für Sicherheitsverantwortliche in Unternehmen ist das Passwortmanagement seit je her eine große Herausforderung, da sie hohe Verfügbarkeit, d.h. reibungslose Anmeldeprozesse, und höchste Sicherheit unter einen Hut bringen müssen. Der Schlüssel zu einer effektiven Passwortverwaltung liegt dabei in der Entwicklung und Umsetzung von Passwortrichtlinien und -prozessen, die an den individuellen Anforderungen und Bedürfnissen des Unternehmens ausgerichtet sind und von den Mitarbeitern akzeptiert werden.
Folgende vier Tipps des Privileged Access Management-Experten Thycotic zeigen Ihnen, wie Sie Passwortrichtlinien erstellen, die von den Mitarbeitern tatsächlich genutzt werden, und auf diese Weise einen nachhaltigen Passwortschutz schaffen.
- Nehmen Sie den menschlichen Faktor aus der Gleichung heraus
Das Verhältnis von Mensch und Passwort ist seit jeher schwierig. Zu kurz und unsicher, zu kompliziert und zu schwer zu merken, mehrfach verwendet, abgelaufen, ungeschützt gespeichert etc. – und die Liste ließe sich weiter fortführen. Dabei steigt die Zahl der Passwörter, die von Mitarbeitern in Unternehmen verwaltet werden müssen, stetig und verschärft die Situation. Die effektivste Lösung für dieses Problem ist es, den Menschen bzw. sein Gedächtnis und seine Kreativität in Sachen Passwortverwaltung vollkommen außen vor zu lassen. Dazu müssen Unternehmen auf Passwortmanager setzen, die sichere Passwörter automatisch generieren und diese in einem Passwort-Tresor sicher abspeichern.
- Nehmen Sie Abstand von unnötigen Passwort-Rotationen
Was lange Zeit als absolut sicherheitsrelevant galt, wird heutzutage eher kritisch gesehen: regelmäßige Passwortwechsel. Selbst das amerikanische National Institute of Standards and Technology (NIST) rät Unternehmen seit geraumer Zeit, Mitarbeiter nicht mehr zu Passwortrotationen aufzufordern – solange kein Sicherheitsvorfall bekannt ist oder verdächtige Aktivitäten stattfinden, die auf eine Kompromittierung hinweisen. Denn was eigentlich der Sicherheit dienen soll, bewirkt letztlich das Gegenteil: Häufige Wechsel animieren Mitarbeiter dazu, unsichere, leicht zu merkende Passörter zu nutzen oder diese nur minimal zu ändern.
- Setzen Sie auf eine Zwei-Faktor-Authentifizierung
Da keine Schutzbarriere hundertprozentige Sicherheit gewährleisten kann, ist ein mehrstufiger Sicherheitsansatz grundsätzlich unabdingbar. Dies gilt insbesondere für den Zugriff auf privilegierte Konten, weshalb bei der Validierung von Nutzern hier eine weitere Identifikationsebene, d.h. eine Zwei-Faktor-Authentifizierung (2FA) obligatorisch ist. Nur so können im Fall einer Passwort-Kompromittierung Cyberangriffe wie Datendiebstahl und Malwareinfizierungen abgewehrt werden. Und auch im Hinblick auf die EU-DSGVO ist die Zwei-Faktor-Authentifizierung für Unternehmen eine nicht zu vernachlässigende Sicherheitsmaßnahme.
- Denken Sie nicht wie ein Admin und vermeiden sie zu komplexe Anforderungen
Als IT- bzw. Security-Professional haben Sie tagtäglich mit den Folgen schlechter Passworthygiene zu tun und kennen die Risiken sowie die Möglichkeiten, diese zu minimieren. Dies trifft jedoch nicht auf jeden durchschnittlichen Mitarbeiter zu, der sich vor allem reibungslose, unkomplizierte Arbeits- und Anmeldeprozesse wünscht. Versuchen Sie beim Ausarbeiten von Passwortsicherheitsrichtlinien wie ein Laie zu denken und überfordern Sie Mitarbeiter nicht mir allzu komplexen Vorgaben und Tools. Dies wird letztlich eher dazu führen, dass Menschen Richtlinien missachten. Dies führt zurück auf Punkt eins der Liste: Den menschlichen Faktor so oft es geht, aus der Gleichung herauszunehmen. Des Weiteren sollten regelmäßig Aufklärungskampagnen durchgeführt werden, um alle Mitarbeiter über aktuelle Cyberrisiken und den Nutzen verordneter Sicherheitsmaßnahmen zu unterrichten.
