Globaler Tag der Passwortänderung: Ein Aufruf zum Handeln ISMS.online

Globaler Tag der Passwortänderung: Ein Aufruf zum Handeln

Von Christie Rae • 1 Februar 2024

Der 1. Februar markiert den Global Change Your Password Day, der 2012 ins Leben gerufen wurde, um das Bewusstsein für gute Passwortverwaltungspraktiken zu fördern. Es ist kein Geheimnis, dass menschliches Versagen die häufigste Ursache für Datenschutzverletzungen ist: eine Studie aus dem Jahr 2022 Weltwirtschaftsforum fanden heraus, dass 95 % der Cybersicherheitsprobleme auf Fehler zurückzuführen sind.

Da Cyber-Bedrohungen immer weiter zunehmen, ist es wichtiger denn je, dass Unternehmen vorbeugende Maßnahmen ergreifen, um vom Menschen verursachte Risiken zu mindern, einschließlich einer Verbesserung der Passwortverwaltung.

Die Bedeutung einer guten Passwortverwaltung

Passwörter sind die erste Verteidigungslinie in der Cybersicherheit – die Schlüssel zu unserer digitalen Haustür. Die Durchsetzung einer guten Passwortverwaltung ist daher ein entscheidender Bestandteil jeder Geschäftsrisikomanagementstrategie. Schwache, leicht zu erratende Passwörter erhöhen das Risiko erfolgreicher Datenschutzverletzungen und ermöglichen Hackern den Zugriff auf private E-Mails, Netzwerke sowie sensible Unternehmens- und Kundendaten.

Datenschutzverletzungen stellen außerdem ein Reputations- und Finanzrisiko dar. Die IBM Kosten einer Datenschutzverletzung 2023 Der Bericht ergab, dass die weltweiten durchschnittlichen Kosten einer Datenschutzverletzung für ein Unternehmen 4.5 Millionen US-Dollar betrugen, was einem Anstieg von 15 % seit 2020 entspricht.

Auch ein Reputationsschaden kann erhebliche Auswirkungen haben. Im Jahr 2018 Der Aktienkurs von Facebook stürzte ab um über 100 Milliarden US-Dollar nach dem Datenschutzverstoß bei Cambridge Analytica. British Airways erlitt einen Sturz im Reputations-Score und Aktienkurs nach einem Datenverstoß im Jahr 2018, bei dem Hacker auf die persönlichen und finanziellen Daten von fast 500,000 Kunden zugegriffen haben.

Darüber hinaus kann eine gute Passwortsicherheit dazu beitragen, die Einhaltung zu verbessern Datenschutzbestimmungen wie das EU-Allgemeine Datenschutzverordnung (BIPR) und Informationssicherheitsstandards wie ISO 27001 .

Herausforderungen bei der Passwortverwaltung

In einer idealen Welt hätte jeder Mitarbeiter für jeden Login ein eindeutiges Passwort. In der Praxis ist es nicht praktikabel, sich mehrere unterschiedliche Passwörter zu merken, und kann zur Passwortermüdung führen. Auch die Durchsetzung der Einhaltung von Passwortrichtlinien kann schwierig sein. Ein guter Anfang besteht darin, Systemregeln für die Passwortlänge einzurichten und zu verlangen, dass Passwörter nach einer bestimmten Zeit aktualisiert werden.

Best Practices für die geschäftliche Passwortverwaltung

Unternehmen können auf verschiedene Weise sicherstellen, dass sie die Best Practices für die Passwortsicherheit befolgen:

Passwortlänge und -komplexität

Erwägen Sie die Festlegung von Anforderungen, dass Passwörter zwischen 12 und 20 Zeichen lang sein müssen, mit einer Reihe von Klein- und Großbuchstaben, Sonderzeichen und Zahlen zur Erhöhung der Sicherheit. Eine Studie von CyLab Security and Privacy Institute der Carnegie Mellon University stellte fest, dass die Anforderung einer Mindeststärke und einer Mindestlänge von 12 Zeichen ein gutes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit schafft.

Richtlinien aktualisieren

Während der Global Change Your Password Day eine rechtzeitige Erinnerung an die Aktualisierung von Passwörtern ist, sollte dies nicht der einzige Zeitpunkt sein, an dem Passwörter geändert werden. Das Sicherheitssoftwareunternehmen McAfee empfiehlt, Passwörter alle drei Monate zu ändern.

Wiederverwendung von Passwörtern

Für Mitarbeiter kann es verlockend sein, dasselbe Passwort für mehrere Konten in ihrer Arbeitsumgebung zu verwenden. Allerdings erhöht sich dadurch das Risiko einer Kontoübernahme. Wenn ein Bedrohungsakteur mit diesem Passwort Zugriff auf ein Konto hat, hat er effektiv Zugriff auf alle. Schulungen und Schulungen der Mitarbeiter können dazu beitragen, dieses Risiko zu mindern, indem sie die Wiederverwendung von Passwörtern verhindern.

Tools zur Kennwortverwaltung

Ob eigenständig oder in Browsern integriert, diese Tools sollen die Lücke zwischen Sicherheit und Benutzerfreundlichkeit schließen, indem sie sichere, eindeutige Passwörter für jede Website und Anwendung speichern und sicher abrufen. Es ist jedoch wichtig zu beachten, dass ein Hacker, wenn er Zugriff auf das Passwortverwaltungstool erhält, alle darin gespeicherten Passwörter kompromittieren kann.

Implementierung der Multi-Faktor-Authentifizierung

Multi-Faktor-Authentifizierung (MFA) erfordert, dass der Benutzer zwei (oder mehr) Formen der Verifizierung bereitstellt, um auf ein Konto zuzugreifen. MFA kann beispielsweise verlangen, dass sich der Benutzer mit seinem Benutzernamen und Passwort anmeldet und dann ein Einmalpasswort (OTP) per SMS an sein Telefon sendet. Der Benutzer muss sowohl sein Passwort als auch das Einmalpasswort angeben, um auf das Konto zuzugreifen, was eine zusätzliche Sicherheitsebene bietet.

Es gibt verschiedene Arten von MFA:

OTPs und zeitbasierte OTPs

OTPs sind eine starke Form der MFA und können über Authentifizierungs-Apps, Passwort-Manager oder Textnachrichten (SMS) gesendet werden. Sobald das Passwort verwendet wurde, ist es für eine erneute Verwendung nicht mehr gültig. Zeitbasierte Einmalpasswörter (TOTPs) bieten eine zusätzliche Sicherheitsebene, da sie nur für eine begrenzte Zeit gültig sind.

Die Verwendung von OTPs und TOTPs mit einer Authentifizierungs-App oder einem Passwort-Manager ist sicherer als der Empfang per SMS. Textnachrichten sind anfällig für SIM-Hacking, Abhörangriffe und Social Engineering.

E-Mail-MFA

Bei der E-Mail-MFA wird die zweite Form der Authentifizierung des Benutzers an seine E-Mail-Adresse gesendet. Diese Form der MFA ist zwar einfach und für Benutzer zugänglich, birgt jedoch ähnliche Risiken wie SMS-OTPs, wenn ein Hacker Zugriff auf das E-Mail-Konto hat, an das der Code übermittelt wird.

Biometrische MFA

Biometrische MFA-Anwendungen Gesichtserkennung, ein Fingerabdruck-Scan oder ein Iris-Scan zur Überprüfung der Identität des Benutzers und kann eine starke Form der Authentifizierung sein. Es wird häufig auf Mobiltelefonen verwendet, da der Benutzer biometrische Daten konfigurieren kann, anstatt eine persönliche Identifikationsnummer (PIN) zum Entsperren des Telefons zu verwenden, und sie sogar für den Zugriff auf sichere Apps wie Authentifizierungs- und Personal-Banking-Apps verwenden kann.

Obwohl die biometrische MFA eine der robusteren Formen der Authentifizierung ist, können Benutzer dennoch anfällig sein, wenn ihre biometrischen Daten gestohlen werden. Im Gegensatz zu Passwörtern können diese Daten nicht zurückgesetzt oder geändert werden.

Mitarbeiterschulung und Durchsetzung von Richtlinien

Eines der Haupthindernisse für eine verbesserte Passwortsicherheit ist das Risiko menschlicher Fehler. Die Schulung der Mitarbeiter ist von entscheidender Bedeutung, um sicherzustellen, dass jeder im Unternehmen die Risiken kennt, die mit einer fehlerhaften Passwortverwaltung verbunden sind, und seine Verantwortung für die Cybersicherheit kennt. Es ist jedoch auch wichtig, Lösungen bereitzustellen, die es den Mitarbeitern ermöglichen, sich auf ihre Arbeit zu konzentrieren und eine Passwort-Müdigkeit zu vermeiden.

Cybersicherheitstraining

Die Investition in Cyber-Sensibilisierungsschulungen für Mitarbeiter kann dazu beitragen, die Sicherheit des Unternehmens zu gewährleisten und sicherzustellen, dass Mitarbeiter in der Lage sind, andere Risiken wie versuchte Phishing-Angriffe zu erkennen und zu melden. Viele spezielle Schulungsplattformen ermöglichen es Unternehmen, unternehmensweit Kurse durchzuführen, zu überwachen, wer die erforderliche Schulung abgeschlossen hat, und automatisch E-Mail-Erinnerungen an Nachzügler zu senden.

Kennwortrichtlinie

Entwickeln Sie eine Passwortrichtlinie, die auf Best Practices abgestimmt ist, und kommunizieren Sie diese Richtlinie im gesamten Unternehmen. Dies kann zusammen mit Cybersicherheitsschulungen erfolgen, um jedem im Unternehmen zu helfen, die Entscheidungsfindung hinter der Richtlinie zu verstehen und die Einhaltung der Richtlinie durch die Mitarbeiter zu verbessern.

Richtlinien könnten die Mindestlänge des Passworts, die Komplexität, zulässige Zeichentypen und andere Elemente festlegen. Wie bereits erwähnt, kann das IT-Team die Geräte der Mitarbeiter auch so einrichten, dass nach einem bestimmten Zeitraum, beispielsweise 90 Tagen, Updates erforderlich sind.

Wie ISO 27001 und andere Frameworks helfen können

Informationssicherheitsrahmen wie ISO 27001 und Vorschriften wie die DSGVO verlangen von Unternehmen, Maßnahmen zur Passwortsicherheit zu ergreifen.

Beispielsweise verlangt die DSGVO von Unternehmen, personenbezogene Daten mithilfe „geeigneter technischer und organisatorischer Maßnahmen“ sicher zu verarbeiten ISO 27001:2022 Annex A Control 5.17 verlangt, dass Authentifizierungsinformationen sicher aufbewahrt werden. In den Kontrollleitlinien heißt es außerdem, dass Benutzer schwer zu erratende, sichere Passwörter in Übereinstimmung mit Industriestandards wählen sollten:

● Passwörter sollten nicht auf leicht zugänglichen persönlichen Informationen wie Namen oder Geburtsdaten basieren.
● Passwörter sollten nicht auf leicht zu erratenden Informationen basieren.
● Passwörter dürfen keine häufig vorkommenden Wörter oder Wortfolgen enthalten.
● Verwenden Sie in Ihrem Passwort alphanumerische Zeichen und Sonderzeichen.
● Passwörter sollten eine Mindestlänge aufweisen.

Fünf Schritte zur Verbesserung der Passwortrichtlinie

1) Überprüfen Sie die aktuelle Passwortrichtlinie

Überprüfen Sie die bestehende Passwortrichtlinie der Organisation. Muss es aktualisiert oder verbessert werden? Wenn keine aktuelle Passwortrichtlinie vorhanden ist, entwickeln Sie eine, die den Industriestandards entspricht.

2) Kommunizieren Sie im gesamten Unternehmen

Stellen Sie sicher, dass alle Mitarbeiter über neue oder aktualisierte Passwortrichtlinien informiert sind. Definieren Sie die Richtlinie und warum sie wichtig ist, und erwägen Sie die gleichzeitige Schulung der Mitarbeiter. Organisationen sollten sich auch mit der Schulung von Managern befassen, damit diese die Richtlinie anderen empfehlen können.

3) Implementieren Sie Passwortverwaltungstools

Wählen Sie zugelassene Tools zur Passwortverwaltung. Der Einsatz eines Verwaltungstools erleichtert das Merken verschiedener Anmeldeinformationen für verschiedene Konten und erhöht so die Wahrscheinlichkeit, dass die Mitarbeiter sie übernehmen.

4) Verwenden Sie MFA

Implementieren Sie MFA als zusätzliche Möglichkeit, Benutzer zu authentifizieren und das Phishing-Risiko zu verringern.

5) Investieren Sie in die Mitarbeiterschulung

Schulen Sie Ihre Mitarbeiter darin, eine neue oder aktualisierte Passwortrichtlinie einzuhalten, und schulen Sie sie in der Verwendung von Passwortverwaltungs- und MFA-Tools. Dies kann die Akzeptanz steigern und den Mitarbeitern helfen, die Bedeutung einer guten Passwortverwaltung zu verstehen.

Es ist Zeit, Maßnahmen zu ergreifen

In unserer digitalen Welt ist es für Unternehmen wichtiger denn je, eine Bestandsaufnahme ihrer Cybersicherheit vorzunehmen. Der Global Change Your Password Day dient als Aufruf zum Handeln für Führungskräfte aus der Wirtschaft. Jetzt ist es an der Zeit, Schwachstellen, einschließlich schlechter Passwortrichtlinien, proaktiv zu identifizieren und das Risiko zu verringern, das Cyber-Bedrohungen für Unternehmen, Daten und damit auch für Menschen darstellen.

Sind Sie bereit, Maßnahmen zu ergreifen, um Ihr Unternehmen zu schützen und Ihr Passwortmanagement zu verbessern? Erfahren Sie, wie unsere Lösung für das Informationssicherheitsmanagementsystem (ISMS) Ihrem Unternehmen dabei helfen kann, den Sicherheitsstatus zu verbessern und Passwortrichtlinien an leistungsstarke Informationssicherheits-Frameworks anzupassen.

Christie Rae

Christie ist Content-Marketing-Spezialistin bei ISMS.online. Mit über sieben Jahren Erfahrung möchte sie informative, ansprechende Inhalte schreiben und hat in einer Reihe von Branchen gearbeitet, darunter Cybersicherheit, Software as a Service, Technologie und Pharmazie.

Lesen Sie mehr von Christie Rae

Internet-Sicherheit 29 December 2025

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Rechtsbranche

Der Bericht „State of Information Security 2025“ verdeutlichte die komplexen Herausforderungen und Chancen im Bereich Cybersicherheit, mit denen sich Sicherheitsverantwortliche in den letzten 12 Jahren konfrontiert sahen.

Christie Rae

Internet-Sicherheit 17 December 2025

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Fertigungs- und Versorgungsindustrie

Der diesjährige Bericht zum Stand der Informationssicherheit legte die vielfältigen Herausforderungen und Chancen offen, mit denen Sicherheitsverantwortliche in den letzten zwölf Monaten konfrontiert waren...

Christie Rae

Internet-Sicherheit 10 December 2025

Bericht zum Stand der Informationssicherheit: 11 wichtige Statistiken und Trends für die Finanzbranche

Der dritte jährliche State of Information Security Report von IO enthüllte die wichtigsten Herausforderungen, denen sich Sicherheitsverantwortliche im Jahr 2025 gegenübersehen, von KI-gestützten Angriffen bis hin zu ...

Christie Rae