Powered by Blogger.
Home » , , » Passwort-Management: Für eine größere IT-Sicherheit im Unternehmen

Passwort-Management: Für eine größere IT-Sicherheit im Unternehmen

Nicht nur von Privatpersonen sondern auch von Unternehmen wird die Bedrohung durch Netzangriffe immer noch stark unterschätzt. Die Verwendung unsicherer Passwörter ist nur eine der potentiellen Fehlerquellen, die einen Cyberangriff möglich machen können. Auch der Dropbox-Hack hat vor einiger Zeit für ein Aufhorchen in Sachen Passort-Sicherheit gesorgt. Bis zu 68 Millionen Dropbox-Accounts wurden durch den Angriff kompromittiert.
 

Vor dem Hintergrund vermehrter Netzangriffe in der Vergangenheit und der illegalen Verbreitung großer Passwort-Datenbanken im Internet (in Form eines sog. „dump“ oder „paste“) stellt sich daher insbesondere auf Seiten von Management und IT die Frage nach einem sicheren und nachhaltigen Passwort-Management, um die IT-Sicherheit in Unternehmen zukünftig zu stärken.


Passwort-To-do´s: Was können Management, IT-Verantwortliche und Mitarbeiter tun?


Das Management sollte zunächst mit gutem Vorbild vorangehen und die Wichtigkeit der Informationssicherheit im Unternehmen hervorheben. Ausgangspunkte können sein:

  • Informationssicherheits-Management-Systeme nach ISO/IEC 27001
  • Passwort-Management gemäß ISO/IEC 27002 bzw. IT-Grundschutz
  • Passwort- oder Kryptographie Richtlinien
  • Schulungen und Workshops zum sicheren Umgang mit Passwörtern

Den IT-Verantwortlichen kommt die Aufgabe der Implementierung sicherer, vorkonfigurierter IT-Prozesse und Anwendungen zu.
Grundlegende Anforderungen lauten hier:

  • Passwörter dürfen niemals im Klartext abgespeichert werden
  • Passwörter sind mit anerkannten Verfahren zu hashen (z.B. SHA-256)
  • Passwörter sind vor dem hashen mit einer zufälligen Zeichenfolge zu versehen, dem Salt, um die systematische Rückführung von Hashes zu erschweren
  • Passwörter sollten von einer Mehr-Faktor-Authentifizierung begleitet werden

Management: Auf der organisatorischen Seite ist den Mitarbeitern die notwendige Sensibilität für das Thema „Sichere Passwörter“ zu vermitteln und woran sich ein sicheres Passwort ausmacht:

  • Mindestlänge von Passwörtern (z.B. 10 Zeichen)
  • Komplexitätsanforderungen (z.B. Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen)
  • Regelmäßige Änderung von Passwörtern (z.B. alle 90 Tage)
  • Geheimhaltung von Passwörtern


Die Lösung: Nachhaltige Sicherheitsprozesse


Das Fazit dürfte im Rahmen steigender Cyberangriffe stets ähnlich ausfallen: Statt in Aktionismus zu verfallen, sollten längerfristige Sicherheitsprozesse implementiert werden, die das Management selbst anstößt (z.B. ein ISMS nach ISO/IEC 27001). Risikobasierte Ansätze sind hierbei Pflicht, um sich gerade nicht vom vorgenannten Aktionismus treiben zu lassen („Schlagzeile: 100 Millionen gestohlene Passwörter bei Firma XYZ“), sondern von konkreten Risiken und Bedürfnissen der eigenen Organisation.

 

Simone Rosenthal – Vita:

Rechtsanwältin und Datenschutzexpertin Simone Rosenthal ist Geschäftsführerin der ISiCO Datenschutz GmbH, einem Unternehmen, das Analyse, Auditierung, Beratung und Mitarbeiterschulung in den Bereichen Datenschutz, Datenschutz-Compliance und IT-Sicherheit anbietet.

www.isico-datenschutz.de