:format(avif))
:format(avif))
Ein erschütternder Anteil von 20 % aller Unternehmenspasswörter besteht aus dem Firmennamen oder einer geringfügigen Variation davon. Das wäre in der analogen Welt so, als ob Sie die Tür zu Ihrem Büro abends nicht abschließen würden.
Inhalt:
- Was ist eine Passwortrichtlinie?
- Warum benötigen Sie eine Passwortrichtlinie?
- Cybersicherheits-Compliance und Passwort-Richtlinien: Best Practices
- Die NIST-Passwortrichtlinie
- Empfehlungen zu Passwortrichtlinien
- Warum Passwortrichtlinien (für sich genommen) zum Scheitern verurteilt sind
- Die Passwortrichtlinie von Active Directory
- So richten Sie eine Passwortrichtlinie ein, die funktioniert
Diese Nachricht mag für Sie neu sein, für Cyberkriminelle ist sie es nicht. Schwache und wiederverwendete Passwörter sind ein zuverlässiges Einfallstor zu sensiblen Daten in Unternehmen. Je nach Art des Cyberangriffs lassen sich bis zu 80 % aller erfolgreichen Datendiebstähle auf schwache oder gestohlene Anmeldedaten zurückführen.
Vielleicht denken Sie daher darüber nach, eine Passwortrichtlinie einzurichten, um Ihr Team zu ermuntern, stärkere Passwörter zu verwenden. Doch wie lässt sich eine funktionierende Richtlinie erstellen und was müssen Sie dabei berücksichtigen? Heute behandeln wir solche Best Practices bei Passwortrichtlinien.
Was ist eine Passwortrichtlinie?
Sprechen wir zunächst über Passwortrichtlinien und wie diese funktionieren. Eine Passwortrichtlinie umfasst eine Reihe von Regeln für Teams zur richtigen Verwendung und Verwaltung von Passwörtern. Die Anforderungen solcher Passwortrichtlinien können je nach den Bedürfnissen des Unternehmens geringfügig variieren. Ziel ist jedoch immer, die Cybersicherheit zu verbessern, indem Cyberangriffe verhindert werden, die auf schwachen und wiederverwendeten Passwörtern basieren.
Die Einrichtung einer Passwortrichtlinie bedeutet normalerweise die Etablierung von Konventionen rund um den Gebrauch von Passwörtern, durch die sich diese nur schwer knacken lassen. Dabei können sich Passwortrichtlinien auch auf Regeln und Vorgaben zur internen Erstellung von Passwörtern beziehen. Dies gibt Unternehmen die administrative Kontrolle darüber, welche Passwortkriterien ein intern entwickeltes System akzeptieren darf.
Kriterien für eine Passwortrichtlinie in Unternehmen sind eine empfohlene Passwortlänge (ab mindestens 12 oder 14 Zeichen), die Verwendung zufälliger Kombinationen aus Buchstaben, Zahlen und Sonderzeichen sowie die Häufigkeit der verlangten Passwortaktualisierungen.
Mithilfe zentraler Passwortverwaltungssysteme können Unternehmen feststellen, ob alle Mitarbeiter die Passwortrichtlinien einhalten, und ggf. eine Aktualisierung der Anmeldedaten erzwingen. Durch die Durchsetzung dieser Richtlinien lässt sich auch automatisch leichter sicherstellen, dass alle Mitarbeiter die Vorgaben befolgen, wenn Sie Passwörter für externe arbeitsbezogene Accounts oder Software wie beispielsweise Outlook, Google Workspace oder Zoom erstellen.
Warum benötigen Sie eine Passwortrichtlinie?
Um sich die Notwendigkeit einer Passwortrichtlinie bewusst zu machen, betrachten wir einmal die Alternative – wie Mitarbeiter üblicherweise das Passwortmanagement im Unternehmensumfeld handhaben.
Schwache Passwörter sind (leider) die Norm
Ohne die Vorgaben einer Passwort-Sicherheitsrichtlinie verfallen Mitarbeiter leicht in die Gewohnheit, schwache Passwörter zu verwenden, die sich mit minimalem Aufwand knacken lassen. Zum Beispiel ist das Wort „Password“ so schwach, wie es überhaupt nur sein kann – und dennoch hat es das Wort 2024 in die Top 5 der Liste der 200 am häufigsten weltweit genutzten Passwörter geschafft. Obwohl es Hackern kaum einen Bruchteil einer Sekunde kostet, ein solches Passwort zu knacken, wird es noch immer von Millionen von Accounts auf der ganzen Welt verwendet.
Wer nun vermutet, dass Internetnutzer bei der Erstellung von Unternehmens-Anmeldedaten ein sichereres Verhalten an den Tag legen, wird von einer Studie zu gehackten Fortune-500-Unternehmen eines Besseren belehrt:
Leicht vorhersehbare Passwörter wie „123456“ wurden mit am häufigsten gewählt, andere wie „abc123“ oder „Sunshine“ fanden je nach Branche ihren Weg in die Top 10. Wie bereits erwähnt, ist auch der Name des Unternehmens eine häufige Wahl. Insgesamt betrug der Prozentsatz einmaliger Passwörter branchenübergreifend gerade einmal 31 % – und damit ist noch nicht einmal etwas über die Stärke dieser einmaligen Passwörter gesagt.
Insgesamt betrug der Prozentsatz einmaliger Passwörter branchenübergreifend gerade einmal 31 % – und damit ist noch nicht einmal etwas über die Stärke dieser einmaligen Passwörter gesagt.
Eine andere Studie zu den Anmeldedaten von Führungskräften, Inhabern und Top-Management zeigt, dass selbst Mitglieder der Führungsmannschaft nicht besser darin sind, starke, sichere Passwörter zu nutzen. So sind schwache Passwörter – die es um jeden Preis zu vermeiden gilt – in vielen Arbeitsumgebungen und auf allen Mitarbeiterebenen die Norm.
Schwache Passwörter sind eine massive Online-Schwachstelle
Wie wir schon festgestellt haben, können schwache Passwörter in weniger als einer Sekunde gehackt werden. Es verwundert daher nicht, dass der Data Breach Investigation Report von Verizon zeigt, dass bei etwa 50 % aller Datenlecks die Anmeldedaten beteiligt sind – das ist mehr als doppelt so häufig wie Phishing-Angriffe.
Schlimmer noch, die Verwendung schwacher Passwörter geht häufig noch mit einer mangelhaften Passworthygiene einher. Die häufigsten Sünden bei der Passworthygiene sind die Speicherung von Passwörtern an unsicheren Orten und die Wiederverwendung derselben Passwörter für mehrere Accounts.
Passwörter, die auf Haftnotizen geschrieben, auf dem Desktop gespeichert oder per Excel-Tabelle geteilt werden, sind dabei nur besonders eklatante Beispiele für eine unsachgemäße Speicherung von Passwörtern. Ein im Klartext notiertes Passwort ist für einen Eindringling in Ihre Arbeitsumgebung nur allzu praktisch. Und für Cyberkriminelle, die sich Zugang zum Computernetzwerk eines Unternehmens verschafft haben, sind unverschlüsselte Listen von Passwörtern, die in Offline-Dokumenten gespeichert sind, eine leichte Beute.
Wie deutlich geworden sein wird, kann eine mangelhafte Passworthygiene selbst das stärkste und längste Passwort entwerten – deswegen muss eine gute Passwortrichtlinie beides behandeln.
Cybersicherheits-Compliance und Passwort-Richtlinien: Best Practices
Obwohl Passwörter oft die erste Verteidigungslinie in der Cybersicherheits-Infrastruktur eines Unternehmens sind, zeigen die Zahlen, dass die Mitarbeiter diese nicht ganz so ernst nehmen. Eine Möglichkeit, mit der Unternehmen dafür sorgen können, dass ihre Sicherheit nicht durch gehackte Anmeldedaten kompromittiert wird, besteht darin, eine Passwortrichtlinie in die Cybersicherheits-Infrastruktur zu integrieren und diese dann durchzusetzen.
Die Einführung einer Passwortrichtlinie hilft Unternehmen außerdem, geltende Cybersicherheits-Vorschriften einzuhalten. Es existieren verschiedene Passwortrichtlinien, die Unternehmen dabei unterstützen, die jeweils geforderten Standards zu erfüllen und Mitarbeiter- und Kundendaten zu schützen:
Die CIS-Passwortrichtlinie
Das Center for Internet Security (CIS) ist eine gemeinnützige Organisation mit der Mission, Unternehmen gegen Cyberbedrohungen zu schützen. Das CIS veröffentlicht Empfehlungen, die bei Befolgung das Cybersicherheits-Niveau eines Unternehmens verbessern.
Die CIS-Anleitung für Passwortrichtlinien bietet zwei verschiedene Ebenen von Passwortempfehlungen: Eine für den Fall, dass Passwörter die einzige Authentifizierungsmethode sind, und eine andere für den Fall, dass Passwörter nur eine von mehreren Authentifizierungsmethoden sind.
| Elemente | Authentifizierung nur mit Passwort | Multi-Faktor-Authentifizierung (MFA) |
|---|---|---|
| Mindestens 14 Zeichen | Mindestens 8 Zeichen | |
| Mindestens 1 nicht-alphabetisches Zeichen erforderlich | Keine Komplexitätsanforderungen | |
| Änderungsfrequenz: Bei Eintritt eines Ereignisses wie z. B. Personalwechsel oder Datenleck. Andernfalls Passwort einmal im Jahr ändern. | Änderungsfrequenz: Bei Eintritt eines Ereignisses wie z. B. Personalwechsel oder Datenleck. Andernfalls Passwort einmal im Jahr ändern. |
Die Logik dahinter ist, dass Passwörter stärker sein müssen, wenn sie die einzige Vorkehrung zwischen Ihren Accounts und einem Cyberkriminellen sind.
Die HIPAA-Sicherheitsbestimmungen
Die HIPAA-Sicherheitsstandards zum Schutz elektronischer Daten im Gesundheitswesen („Security Rule“) legen einen Standard für den Schutz elektronisch erfasster Patientendaten (ePHI) fest.
Diese Sicherheitsbestimmungen schreiben vor, dass Unternehmen und Organisationen im Gesundheitssektor die grundlegenden Prinzipien der Informationssicherheit befolgen müssen. Mit anderen Worten: Für alle geschützten Patientendaten, die von einem Unternehmen erstellt, gespeichert oder geteilt werden, müssen „Vertraulichkeit, Integrität und Verfügbarkeit sämtlicher ePHI“ gewahrt bleiben.
Die Wahrung dieser Grundsätze umfasst auch den Schutz vor voraussichtlichen Bedrohungen oder Datenschutzverletzungen. Auch wenn diese Sicherheitsbestimmungen keine konkreten Passwortprotokolle definieren, implizieren viele der Anforderungen doch die Beachtung geeigneter Passwortrichtlinien und -hygiene unter administrativen und technischen Schutzmaßnahmen.
Grundsätzlich können diese Sicherheitsbestimmungen dadurch eingehalten werden, dass anerkannte Best Practices für Cybersicherheit und Informationssicherheit befolgt werden, die notwendigerweise auch eine starke Passwortrichtlinie beinhalten.
Die PCI-DSS-Passwortrichtlinien
Der Standard für die Datensicherheit der Zahlungskartenindustrie (PCI DSS) ist ein globaler Sicherheitsstandard, der für alle juristischen Personen gilt, die persönliche Daten und Zahlungsinformationen verarbeiten, speichern oder übermitteln. Wie die HIPAA-Sicherheitsbestimmungen und die CIS-Regelungen spiegelt er ebenfalls bewährte Verfahren der Cybersicherheit wider, die das Cyberrisiko mildern und Daten schützen. Der PCI DSS umfasst 12 Anforderungen, doch wir konzentrieren uns hier nur auf zwei, die im engen Zusammenhang mit Passwortrichtlinien stehen.
Anforderung 2 des Standards schreibt vor, dass Unternehmen sämtliche Standard-Systempasswörter zu neuen, stärkeren Passwörtern ändern müssen. Geschieht dies nicht, so das Dokument, ist dies so, als ob Sie „Ihr physisches Geschäft nicht abschließen, wenn Sie abends nach Hause gehen“.
Anforderung 8 dient der „Identifizierung und Authentifizierung des Zugangs zu Systemkomponenten“. Starke Passwörter und Multi-Faktor-Authentifizierung werden als wesentliche Maßnahmen zum Schutz der Daten von Karteninhabern empfohlen.
Erhöhen Sie Ihre Online-Sicherheit
Erkennen Sie Datenlecks, bevor sie Ihrem Unternehmen schaden können
Die NIST-Passwortrichtlinie
Das National Institute of Standards and Technology (NIST) ist eine US-amerikanische Bundesbehörde, die sich zu einer bedeutenden Autorität für Passwortrichtlinien entwickelt hat. Die NIST-Passwortrichtlinie gibt mehrere Empfehlungen für die Erstellung sicherer Passwörter und deren sichere Verwaltung. Anders als herkömmliche Empfehlungen konzentriert sich das NIST auf benutzerfreundliche Richtlinien, während gleichzeitig eine hohe Sicherheit gewahrt bleibt.
So empfiehlt NIST zum Beispiel, längere Passwörter zu erlauben (bis zu 64 Zeichen lang), einen breiteren Zeichensatz zu unterstützen (einschließlich Leerzeichen und Emojis) und auf die regelmäßigen Passwortänderungen zu verzichten, solange es keine Hinweise gibt, dass Daten kompromittiert wurden.
Im Wesentlichen empfiehlt NIST die Erzeugung einzigartiger, leicht zu merkender Ausdrücke anstelle von komplexen, schwer zu merkenden Kombinationen aus Buchstaben und Ziffern. Die Richtlinien unterstreichen darüber hinaus die Notwendigkeit der Multi-Faktor-Authentifizierung als zusätzliche Sicherheitsebene und raten von der Praxis der Hinweise auf Passwörter und wissensbasierten Authentifizierungsfragen (wie z. B. „Name des ersten Haustiers“) ab, die schnell zur Schwachstelle werden.
Dieser umfassende Ansatz von NIST an die Passwortsicherheit unterstreicht das Engagement des Instituts, ein gutes Benutzererlebnis mit robustem Datenschutz in Einklang zu bringen. Deshalb werden seine Standards weltweit und branchenübergreifend gerne übernommen.
ISO/IEC 27001
Die Norm 27001 der Internationalen Organisation für Standardisierung/Internationalen Elektrotechnischen Kommission (ISO/IEC 27001) ist eine freiwillige Zertifizierung zu den Themen Informationssicherheit, Cybersicherheit und Datenschutz.
Anhang A gehört zu den bekanntesten Anhängen dieser ISO-Norm. Er enthält Empfehlungen zur Stärkung der Datensicherheit. Konkret bezieht sich Abschnitt A.9 auf die Zugriffskontrolle und hier finden sich die Leitlinien für die Passwortverwaltung.
Zum Schutz der Vertraulichkeit sensibler Daten empfehlen die ISO-Richtlinien neben Multi-Faktor-Authentifizierung „starke Passwörter“ und ein „Passwort-Management-System“.
Empfehlungen zu Passwortrichtlinien
Alle bekannten Cybersicherheitsstandards empfehlen die Verwendung starker Passwörter und eine gute Passwortverwaltung bzw. -hygiene. Doch was bedeutet das genau?
Starke Passwörter
Die Einführung einer Richtlinie zu starken Passwörtern erschwert Hackern die Arbeit. Die folgenden Leitlinien helfen bei der Erstellung von Passwörtern, die komplex, lang und nur schwer zu erraten sind.
| MUSS beinhalten | DARF NICHT beinhalten |
|---|---|
Mindestens 8 Zeichen, mehr empfohlen | Wörter aus einem Wörterbuch |
Mix aus alphanumerischen Zeichen | Die häufigsten Passwörter |
Sonderzeichen | Personenbezogene Daten oder Informationen über das Unternehmen |
Gemischte Groß- und Kleinschreibung | Die gleichen Zeichen zweimal hintereinander (z. B. „112233“) |
Zufällige Zeichenkombinationen |
Denken Sie immer daran, dass Ihre Passwortrichtlinie mit den Standardkriterien für Passwörter abgeglichen sein sollte. Andernfalls haben Sie am Ende eine Richtlinie, die sich unmöglich befolgen lässt. So empfehlen Experten für Cybersicherheit beispielsweise, dass die stärksten Passwörter auch die Nutzung des Leerzeichens erlauben sollte. Jedoch sind Leerzeichen üblicherweise nicht erlaubt.
Tipp: Verwenden Sie einen Passwort-Generator, der sofort extrem starke Passwörter für Sie erstellt, ohne Ihre Kreativität auf die Probe zu stellen.
Gute Passworthygiene
Gute Passworthygiene zielt außerdem darauf ab, Ihre Passwörter außerhalb der Reichweite von Eindringlingen zu verwahren, einen Diebstahl zu erschweren und – falls es doch zu Datenverletzungen kommen sollte – den Schaden zu minimieren.
| MUSS beinhalten | DARF NICHT beinhalten |
|---|---|
Einzigartige Passwörter für jeden Account | Speicherung von Passwörtern im Klartext |
Passwörter regelmäßig oder nach einem Datenleck oder Personalwechsel ändern | Wiederholung von Passwörtern |
Sichere, Ende-zu-Ende-verschlüsselte Speicherung | Teilen von Passwörtern per Instant Messaging oder E-Mail |
Beibehaltung von anfänglichen Systempasswörtern | |
Passwörter notieren, wo sie eingesehen werden können |
Verwenden Sie einen Datenleck-Scanner, um festzustellen, ob Ihre Anmeldedaten kompromittiert wurden. Falls ja, ändern Sie diese sofort.
Warum Passwortrichtlinien (für sich genommen) zum Scheitern verurteilt sind
Es gibt einen Grund, warum so häufig schwache Passwörter verwendet und eine mangelhafte Passworthygiene praktiziert werden – und es ist nicht mangelndes Bewusstsein. Inzwischen können wohl nur wenige von uns behaupten, nicht zu wissen, dass Passwörter wie „Passwort“ oder „123456“ ein Sicherheitsrisiko darstellen.
Die Wahrheit ist jedoch, dass der durchschnittliche User in einer schwierigen Position ist. Er oder sie weiß zwar, dass starke Passwörter verwendet werden sollen, erst recht am Arbeitsplatz. Doch genau die Eigenschaften, die Passwörter „gut“ machen, machen es auch unmöglich, sich diese zu merken. Und wer sie sich nicht merken kann, muss sie irgendwo an einem praktischen Ort aufbewahren. Leider ist dieser „praktische Ort“ häufig für Cyberkriminelle ebenso bequem.
Deshalb ist es nicht sinnvoll zu erwarten, dass allein das Verfassen einer Richtlinie bereits die Passwortqualität in Ihrem Unternehmen verbessern wird. Ihren Teammitgliedern sind die grundlegenden Sicherheitsprinzipien sehr wahrscheinlich schon bewusst, es fehlen ihnen jedoch die Werkzeuge für die Umsetzung. Darüber hinaus neigen Mitarbeiter dazu, Geschwindigkeit über die Sicherheit zu stellen, um ihre Aufgaben erledigt zu bekommen.
Die Passwortrichtlinie von Active Directory
Active Directory (AD) ist ein Microsoft-Produkt für die Verwaltung von Nutzern und Computern in einem Netzwerk. Die Passwortrichtlinie von Active Directory umfasst eine Reihe von Regeln, die von Systemadministratoren festgelegt werden, um die Erstellung und Pflege von Passwörtern in einem Unternehmen zu steuern.
Die Passwortrichtlinie enthält generelle Anweisungen wie etwa die Mindestlänge von Passwörtern, Anforderungen an die Komplexität der Passwörter (Mischung aus Großbuchstaben, Kleinbuchstaben, numerischen und nicht-alphanumerischen Zeichen) sowie Einstellungen zur Passworthistorie, die verhindern, dass Benutzer alte Passwörter wiederverwenden.
Darüber hinaus legt die Richtlinie auch das maximale Alter eines Passworts fest, was die Benutzer dazu zwingt, nach einem definierten Zeitraum neue Passwörter zu erstellen. Weitere Überlegungen könnten Richtlinien zur Kontensperrung umfassen, durch die ein Benutzer-Account nach einer bestimmten Anzahl fehlgeschlagener Anmeldeversuche gesperrt wird.
AD bietet zwei Arten von Passwortrichtlinien: die Standarddomänenrichtlinie sowie feinkörnigere Passwortrichtlinien. Letztere erlauben unterschiedliche Richtlinien für unterschiedliche Benutzergruppen innerhalb derselben Domäne und bieten damit Flexibilität für die verschiedensten Sicherheitsanforderungen.
So richten Sie eine Passwortrichtlinie ein, die funktioniert
Mit NordPass Business können Sie eine unternehmensweite Passwortrichtlinie auf administrativer Ebene einrichten, die sich automatisch implementieren lässt. Damit geben Sie Ihrem Team alle Unterstützung, die es benötigt, um eine erstklassige Passworthygiene zu praktizieren, ohne den Workflow zu bremsen.
Mithilfe des integrierten Passwort-Generators können Benutzer starke Passwörter generieren und diese ebenso schnell speichern. Bei Bedarf werden die Passwörter dank der durch maschinelles Lernen gestützten Autofill-Funktion automatisch in Formularfelder eingefügt.
So entlasten Sie Ihr Team von der mentalen Aufgabe, sich komplexe Passwörter ausdenken und merken zu müssen. Und vom Standpunkt der Speicherung aus bleiben die Passwörter Ihres Teams in einem ultrasicheren, Ende-zu-Ende-verschlüsselten Tresor geschützt. Mit NordPass sind alle Zugangsdaten für Ihr Team leicht zugänglich, jedoch für mögliche Eindringlinge völlig unerreichbar.
Teammitglieder können bequem und sicher mehrere Passwörter und andere sensible Daten in ihren Tresoren mit anderen Nutzern teilen, indem sie die Gruppenfunktionen und gemeinsame Ordner nutzen. Dabei können die Mitglieder auch ein Zeitlimit festlegen, wie lange die gemeinsam genutzten Anmeldedaten zugänglich sein sollen, und auch die Zugriffsebene auswählen, um anderen entweder nur das automatische Ausfüllen, das Betrachten oder auch das Bearbeiten von Passwörtern zu gewähren.
Gleichzeitig können Sie die Fortschritte Ihres Teams beim Umgang mit Passwörtern aus der Vogelperspektive überwachen, mit Messgrößen zur Passwortqualität in Ihrem Unternehmen und einem Überblick über alle anfälligen (schwachen oder wiederverwendeten) Passwörter, die Ihre Cybersicherheit gefährden könnten.
Sie müssen sich nicht zwischen Sicherheit und Bequemlichkeit entscheiden. Implementieren Sie stattdessen einfach eine funktionieren Passwortrichtlinie mithilfe von NordPass Business.