Zur Suche
Cybersicherheit

Zugänge und Rechte

Ihr Passwort ist 12345? Qwertz? Passwort? Der Name Ihres Mannes? Wie das Ihrer Mitarbeiter:innnen, denn alle benutzen dasselbe? Das ist nicht gut, denn Passwörter sollen nicht leicht zu merken, sondern schwer zu knacken sein. Das funktioniert am besten, wenn jeder einen persönlichen Zugang hat – und nur die Zugangsrechte, die er wirklich braucht.

Lesedauer
© dusanpetkovic / GettyImages

1. Individuelle Mitarbeiterzugänge einrichten

Jeder Mitarbeiter sollte einen eigenen Benutzeraccount mit eigenem Passwort bekommen. So können Administratoren genau definieren, welche Berechtigungen ein Mitarbeiter hat und welche nicht. Zudem kann bei einem Angriff mit einzelnen Nutzeraccounts besser nachvollzogen werden, wie ein Eindringling in das Netzwerk gelangen konnte. Viele Betriebe nutzen nur einen Zugang pro Computer, der dann als Sammelzugang verwendet wird. Sammelaccounts sind ein potenzielles Einfallstor, da so nicht kontrolliert werden kann, wie die Passwörter weitergegeben werden. Ehemalige Mitarbeiter hätten so auch weiterhin Zugang zu Daten, wenn solche Passwörter nicht ständig geändert werden.

2. Komplexe Passwörter erzwingen

Einfach zu erratende Passwörter sind eines der häufigsten Einfallstore für Angreifer. Trotzdem sind die meisten Menschen dabei immer noch erstaunlich unkreativ: Das häufigste Passwort weltweit ist „123456“, gefolgt von „password“ und „12345678“, wie aus einer Liste der Sicherheitsfirma Splash Data hervorgeht. Um es Hackern nicht zu leicht zu machen, sollte es einen Mindeststandard für Passwörter geben.

Diese sollten beispielsweise eine bestimmte Passwortlänge (zum Beispiel mindestens acht Zeichen) vorschreiben oder die Nutzer dazu verpflichten, mindestens eine Zahl oder ein Sonderzeichen für ihr Passwort zu verwenden. Das Bundesamt für Sicherheit in der Informationstechnik gibt folgende Empfehlungen:

  • Das Passwort sollte mindestens acht Zeichen lang sein, je länger desto besser.
  • Das Passwort sollte aus Groß- und Kleinbuchstaben sowie Sonderzeichen und Ziffern (?!%+…) bestehen.
  • Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten sollten nicht verwendet werden. Auch in Wörterbüchern sollte das Passwort nicht 1:1 vorkommen.
  • Es soll nicht aus gängigen Varianten und Wiederholungs- oder Tastaturmustern bestehen, also nicht qwertz, asdfgh oder 1234abcd.
  • Ein einfaches Passwort allein um eine Ziffer oder ein Sonderzeichen wie $ ! ? oder # zu verwenden, ist auch nicht empfehlenswert.

Ein Administrator kann solche Passwortbedingungen technisch erzwingen: Vergisst ein Mitarbeiter bei der Anpassung des Passworts das geforderte Sonderzeichen, kann er sein Passwort nicht erstellen.

Auch eine sogenannte Zwei-Faktor-Authentifizierung bei kritischen Zugängen sollte erwogen werden: Dies bedeutet, dass neben der Eingabe eines einzelnen Kennworts zusätzlich noch ein weiterer Identitätsnachweis benötigt wird, zum Beispiel über das Handy oder eine Chipkarte. Die bekannteste Zwei-Faktor-Authentifizierung ist wohl das MobileTAN-Verfahren beim Online-Banking (mTAN). So müssen sich Bankkunden mit ihrem persönlichen Passwort einloggen, zusätzlich wird eine Transaktionsnummer per SMS ans Handy geschickt.

3. IT-Administratorenzugänge einrichten und sparsam nutzen

Ein Computer, nur ein Benutzerprofil und im Ernstfall ein ganz großes Problem: Wer seinen Computer einrichtet, sollte unbedingt ein Administratorprofil mit gesondertem Kennwort einrichten und dieses Profil nur dann benutzen, wenn neue Programme eingerichtet oder das Betriebssystem konfiguriert werden. Für die alltägliche Arbeit sollte immer ein Zugang mit weit weniger Rechten genutzt werden. Der einfache Grund: Fängt sich ein Benutzer mit einem einfachen Zugang einen Virus ein, kann dieser häufig nur begrenzten Schaden anrichten, selbst wenn der Schädling die Kontrolle übernimmt – ohne Administratorenkennwort kann sich der Virus weit weniger ausbreiten.