Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Wieso IT-Security Schulungen wenig gegen den schlechten Umgang mit Passwörtern ausrichten können
Das Mitarbeiter ein Risiko für die IT-Sicherheit darstellen, wissen Unternehmen. Es werden Fehler gemacht, Hacker haben es mit Social Engineering-Angriffen auf sie abgesehen und manchmal sind sie sogar selbst der Grund für böswillige Aktivitäten gegen ihren Arbeitgeber. IT-Security Schulungen sind ein Versuch, dieses Risiko zu verringern, indem ein Bewusstsein für IT-Sicherheit geschaffen wird, aber sie haben ihre Grenzen: Schulungen können zeitaufwändig sein, die Produktivität stören und geraten oftmals in Vergessenheit.
Dazu kommt, dass Menschen nicht zwangsläufig gute Ratschläge befolgen, selbst wenn diese durchaus im eigenen Interesse sind. IT-Sicherheitsteams wissen, dass dies definitiv der Fall ist, wenn es um Passwörter geht. Organisationen schulen ihre Mitarbeiter schon seit langem, doch schlechte Angewohnheiten wie die Wiederverwendung von Passwörtern wurden dadurch noch nicht effektiv unterbunden. Bitwarden fand heraus, dass 68 % der Internetnutzer Passwörter für mehr als 10 Websites verwalten – und 84 % dieser Personen geben zu, dass sie Passwörter wiederverwenden.
Natürlich ist es sinnvoll, Anwender im Umgang und Schutz Ihrer Passwörter zu schulen, aber Unternehmen müssen auch erkennen, wann es Zeit ist, mit Hilfe von technischen Lösungen für mehr Sicherheit zu sorgen.
Warum funktionieren Schulungen nicht unbedingt?
Die meisten Benutzer beabsichtigen nicht, ihren Arbeitgebern zu schaden, im Gegenteil. 2024 werden viele von ihnen wissen, welche schlechten Gewohnheiten im Umgang mit Kennwörtern vermieden werden sollten. Warum also werden immer noch schwache Passwörter erstellt und auf mehreren Websites und in verschiedenen Anwendungen wiederverwendet? Die meisten Benutzer wollen einfach ihre Arbeit machen, ohne sich mehrere lange und komplexe Passwörter merken zu müssen. Die Wiederverwendung von schwachen Passwörtern ist nur ein Mittel, um ihre Arbeit schneller und mit minimalem Aufwand zu erledigen. Viele denken beim Thema Cybersicherheit nach dem Motto: “Mich wird es schon nicht treffen” – am Ende wird es schon ein anderer sein, der zu einer Sicherheitslücke wird.
IT-Security Schulungen sind insofern wertvoll, als sie dazu beitragen, Aufmerksamkeit und ein Bewusstsein für Cybersicherheit zu schaffen – sie zeigen, dass die Unternehmensleitung IT-Sicherheit ernst nimmt, und ein Teil davon wird in der Belegschaft übernommen. Die bittere Wahrheit ist jedoch, dass Endanwender Abkürzungen nehmen und versehentlich Fehler machen werden, egal wie gut Ihre Schulung ist. Es ist unwahrscheinlich, dass ein durchschnittlicher Nutzer die gleiche Einstellung zur Passwortsicherheit übernehmen wird wie ein CISO, selbst wenn er 100 mal über die Bedeutung des Themas unterrichtet wurde.
Untersuchungen von LastPass haben ergeben, dass 79 % der Personen, die an einer Cybersicherheitsschulung teilgenommen haben, diese als hilfreich empfunden haben. Allerdings setzen die Teilnehmer das Gelernte nicht in die Praxis um. Von der gleichen Gruppe von Personen gaben nur 31 % an, dass sie keine Passwörter mehr wiederverwenden. Dies ist ein Paradebeispiel dafür, dass Schulungen allein nicht ausreichen, um ein ernsthaftes Sicherheitsrisiko zu verhindern.
Wiederverwendung von Passwörtern – eine riskante Angewohnheit
Trotz jahrelanger Schulung ist die Wiederverwendung von Passwörtern weit verbreitet. In ihrem Streben nach Bequemlichkeit wählen die Menschen oft den Weg des geringsten Widerstands. Viele Menschen glauben fälschlicherweise, dass ihr berufliches Passwort, wenn es stark genug ist, auch für private Geräte und Anwendungen geeignet ist. Dieses Verhalten wird durch den Ärger über erzwungene Passwort-Resets sowie der Angst vor Lockouts verstärkt.
Warum ist das für organisationen gefährlich? Auch wenn am Arbeitsplatz der sichere Umgang mit Passwörtern möglich ist, besteht für Endanwender die Möglichkeit, diese Passwörter in persönlichen Anwendungen und Geräten mit schwächeren Sicherheitsmaßnahmen oder in ungesicherten Netzwerken wiederzuverwenden. Laut einer Umfrage von TechRepublic verwenden 53 % der Menschen dasselbe Passwort für mehrere Konten, was für Hacker eine einmalige Gelegenheit darstellt.
Ein Hacker, der sich unbefugt Zugang zu einem Online-Shop verschafft, könnte so eine umfangreiche Datenbank mit Passwörtern erlangen. Selbst wenn die Passwörter gehasht sind, kann der Angreifer in aller Ruhe offline daran arbeiten diese zu entschlüsseln. Sobald dies gelungen ist, kann er die Personen hinter diesen entschlüsselten Passwörtern identifizieren und herausfinden, wo sie arbeiten. Wird dann das Passwort auch für berufliche Accounts genutzt, kann dadurch der Angreifer problemlos Zugang zum Unternehmensnetzwerk erlangen.
Auch wenn es bis jetzt so klingt, als ob allein der Endanwender dafür verantwortlich ist, ist es wichtig solches Fingerpointing zu vermeiden. Durch die zunehmende Einführung von Software-as-a-Service (SaaS) müssen sich die Menschen mehr Passwörter denn je merken. Laut einer Studie von LastPass tippt ein durchschnittlicher Angestellter 154 Mal im Monat seine Anmeldedaten ein, um sich bei Websites und Anwendungen anzumelden. Dieselbe Studie ergab, dass ein Unternehmen durchschnittlicher Größe mit 250 Mitarbeitern heute schätzungsweise 47.750 Passwörter verwendet, was zahlreiche Möglichkeiten für kompromittierte Credentials darstellt.
Es ist unwahrscheinlich, dass sich die Verbreitung von SaaS in nächster Zeit verlangsamen wird. Was also können Organisationen neben IT-Security Schulungen tun, um dem schlechten Umgang mit Passwörtern entgegenzuwirken?
So erzwingen Sie starke Passwörter
Es ist sinnvoll, den Mitarbeitern die Bedeutung sicherer Passwörter zu vermitteln. Aber wenn es darum geht, eine wirksame Kennwortrichtlinie zu erzwingen, ist es sinnvoller, technische Unterstützung zu nutzen, anstatt sich darauf zu verlassen, dass die Nutzer sich schon an die Vorgaben halten werden.
Schwache Passwörter verhindern
Der Schlüssel zur Verhinderung von Brute-Force-Angriffen, die auf dem Einsatz von Software zum schnellen Erraten gängiger Passwörter beruhen, besteht darin, die Erstellung schwacher Passwörter zu verhindern. Eine gute Richtlinie sollte nicht nur sehr kurze Passwörter blockieren, sondern alle Iterationen gebräuchlicher Passwörter, wie Tastaturmuster wie “qwertz” und Passwörter, die bereits bei vergangenen Datenschutzverletzungen veröffentlicht wurden. Benutzerdefinierte Wörterbücher helfen außerdem dabei, branchen- und unternehmensspezifische Begriffe zu verhindern.
Regelmäßige Kontrollen auf kompromittierte Passwörter
Wie bereits erwähnt, ist die Wiederverwendung von Passwörtern ein ernsthaftes Problem, das dazu führen kann, dass starke Kennwörter aus dem beruflichen Umfeld kompromittiert werden. Regelmäßige Überprüfungen Ihres Active Directories auf kompromittierte Passwörter sollte daher eine Selbstverständlichkeit sein. Organisationen müssen über Instrumente verfügen, mit denen sie nach kompromittierten Passwörtern suchen können und die besten Lösungen tun dies regelmäßig und warnen die Benutzer, wenn sie ein kompromittiertes Passwort verwenden.
Benutzerfreundlichkeit berücksichtigen
Je benutzerfreundlicher die IT-Sicherheit umgesetzt ist, desto größer ist die Bereitschaft der Mitarbeiter, die Sicherheitsmaßnahmen ihres Unternehmens zu unterstützen. Diese drei Features erlauben Ihren Anwendern einen besseren Umgang mit Kennwörtern:
- Individuelle Benachrichtigungen: Es ist frustrierend, wenn die tägliche Arbeit scheinbar grundlos durch einen ungeplanten Passwortreset unterbrochen wird. Mithilfe von individuellen Benachrichtigungen können Sie besser erklären, warum eine Änderung des Passworts nötig ist.
- Längenbasierte Ablaufdaten für Kennwörter: Belohnen Sie Ihre Nutzer für die Erstellung von starken und langen Kennwörtern, indem Sie diese mit längeren Zeitspannen bis zum nächsten Reset “honorieren”.
- Sofortiges Feedback bei der Passworterstellung: Nichts ist frustrierender als generische Fehlermeldungen wie “Kennwort entspricht nicht den Kriterien Ihrer Organisation”. Dynamisches Feedback bei der Passworterstellung hilft Benutzern dabei zu erkennen, welchen Teil der Passwortrichtlinie sie noch nicht erfüllt haben.
Schützen Sie Ihre Organisation vor riskanten Kennwörtern mit Specops von Outpost24
Neben einmaligen Scans mit dem Specops Password Auditor können Sie mit Specops Password Policy Ihr Active Directory regelmäßig und automatisiert auf über 4 Milliarden kompromittierte Passwörter überprüfen. Darunter befinden sich sowohl Daten aus bekannten Lecks als auch aus unserem eigenen Honeypot-System, sowie mit Infostealern gestohlene Credentials. Admins können die Ergebnisse der letzten Scans in den Domain Administration Tools überprüfen.
Wie bereits oben angesprochen, darf die Benutzerfreundlichkeit von Passwortrichtlinien nicht nur auf die IT-Teams begrenzt sein, sonder muss auch für die User entsprechende Vorteile bieten. Dank längenbasierten Ablaufdaten, dynamischem Feedback bei der Passwortänderung und Passwortvergabe sowie individualisierbaren Benachrichtigungen und Kennwortrichtlinien auf Gruppenebene, können Sie auch Ihren Kollegen den Umgang mit starken Kennwörtern schmackhaft machen. Wir beraten Sie gerne, wie Sie mit Specops Password Policy zusätzlich zu IT-Security Schulungen für mehr Sicherheit in Ihrer Organisation sorgen können. Kontaktieren Sie uns.
(Zuletzt aktualisiert am 13/02/2024)