Warum Sicherheits- und Sensibilisierungsschulungen schlechte Passwortgewohnheiten nicht beheben werden

Organisationen wissen, dass ihre Endbenutzer ein Cybersicherheitsrisiko darstellen. Sie machen Fehler, werden von Hackern angegriffen und handeln manchmal sogar böswillig gegen ihren Arbeitgeber. Sicherheits- und Sensibilisierungsschulungen sind ein Versuch, dieses Risiko zu verringern, indem eine Cybersicherheits-bewusste Kultur geschaffen wird, aber sie haben ihre Grenzen: Schulungen können zeitaufwändig sein, die Produktivität beeinträchtigen und werden von Endbenutzern oft vergessen.

Menschen nehmen nicht immer gute Ratschläge an, selbst wenn es in ihrem besten Interesse ist, dies zu tun. Wie IT-Sicherheitsteams wissen, gilt dies definitiv für Passwörter. Organisationen schulen Menschen seit langem, und dies hat schlechte Gewohnheiten wie die Wiederverwendung von Passwörtern nicht gestoppt. Bitwarden hat herausgefunden, dass 68 % der Internetnutzer Passwörter für über 10 Websites verwalten – und 84 % dieser Personen geben zu, diese Passwörter wiederzuverwenden.

Es ist sicherlich von Wert, Endbenutzer in Bezug auf Best Practices für die Passwortsicherheit zu schulen, aber Organisationen müssen wissen, wann sie eingreifen und eine starke Zugriffssicherheit mit Hilfe von Technologie durchsetzen müssen.

Warum funktionieren Schulungen nicht?

Die meisten Endbenutzer wollen ihren Arbeitgebern kein Risiko bringen. Und im Jahr 2025 werden sich viele der schlechten Passwortgewohnheiten bewusst sein, die es zu vermeiden gilt. Warum erstellen sie also immer noch schwache Passwörter und verwenden sie auf mehreren Websites und Anwendungen wieder? Für die Mehrheit wollen sie einfach nur ihre Arbeit erledigen, ohne sich mehrere verschiedene lange und komplexe Passwörter merken zu müssen. Die Wiederverwendung schwacher Passwörter ist nur ein Mittel, um ihre Arbeit schneller und mit minimalem Aufwand zu erledigen. Viele sind schuldig, eine „Das betrifft mich nicht“-Einstellung zur Cybersicherheit zu haben – es wird eine andere unglückliche Person sein, die am Ende das Opfer einer Sicherheitsverletzung wird.

Schulungen sind insofern wertvoll, als sie dazu beitragen, eine Kultur der Cybersicherheit zu schaffen – sie zeigen, dass das obere Management die Cybersicherheit ernst nimmt, und einiges davon wird in die Belegschaft einsickern. Die bittere Wahrheit ist jedoch, dass Endbenutzer immer absichtlich Abkürzungen nehmen und versehentliche Fehler machen werden, egal wie gut Ihre Schulung ist. Ein durchschnittlicher Endbenutzer wird wahrscheinlich nicht die gleiche Einstellung zur Passwortsicherheit haben wie ein CISO, selbst wenn er darüber aufgeklärt wurde, warum es wichtig ist.

Die LastPass-Studie ergab, dass 79 % der Personen, die eine Cybersicherheitsschulung erhalten hatten, diese als hilfreich empfanden. Die Leute setzen jedoch eindeutig nicht um, was sie gelernt haben. Von derselben Personengruppe gaben nur 31 % an, dass sie aufgehört hätten, Passwörter wiederzuverwenden. Dies ist ein Paradebeispiel dafür, dass Schulungen allein ein ernstes Sicherheitsrisiko nicht aufhalten können.

Passwortwiederverwendung – eine übersehene und riskante Gewohnheit

Trotz jahrelanger Schulungen ist die Wiederverwendung von Passwörtern weit verbreitet. Im Streben nach Bequemlichkeit wählen die Menschen oft den Weg des geringsten Widerstands. Viele Personen glauben fälschlicherweise, dass, wenn ihr Arbeitspasswort robust ist, es auch für persönliche Geräte und Anwendungen geeignet ist. Dieses Verhalten wird durch die Belästigung durch das Zurücksetzen von Passwörtern und die Angst vor dem Aussperren angetrieben, was ihre Produktivität beeinträchtigen kann.

Während Arbeitsplätze möglicherweise starke Passwörter erzwingen, steht es Endbenutzern frei, diese Passwörter auf persönlichen Anwendungen und Geräten mit schwächeren Sicherheitsmaßnahmen oder in ungesicherten Netzwerken wiederzuverwenden. Laut einer Umfrage von TechRepublic verwenden 53 % der Personen dasselbe Passwort für mehrere Konten, was Hackern eine goldene Gelegenheit bietet.

Ein Hacker, der sich unbefugten Zugriff auf einen Online-Shop verschafft, könnte eine vollständige Passwortdatenbank erhalten. Selbst wenn die Passwörter gehasht sind, kann der Angreifer Zeit damit verbringen, sie zu knacken. Nach erfolgreichem Knacken können sie die Personen hinter diesen Passwörtern identifizieren und feststellen, wo sie arbeiten. Wenn eines dieser Passwörter innerhalb der Organisation wiederverwendet wird, wird dies zu einem einfachen Weg für den Angreifer, in den Arbeitsplatz des Mitarbeiters einzudringen.

Es ist jedoch wichtig, die Schuld für schlechte Passwortgewohnheiten nicht allein den Endbenutzern zuzuschieben. Die zunehmende Verbreitung von Software-as-a-Service (SaaS) bedeutet, dass sich die Menschen mehr Passwörter merken müssen als je zuvor. Laut einer Studie von LastPass gibt der durchschnittliche Mitarbeiter 154 Mal pro Monat seine Anmeldedaten ein, um sich bei Websites und Apps anzumelden. Dieselbe Studie ergab, dass ein durchschnittliches Unternehmen mit 250 Mitarbeitern schätzungsweise 47.750 Passwörter verwaltet, was zahlreiche Möglichkeiten für Kompromittierungen schafft.

Es ist unwahrscheinlich, dass sich die Einführung von SaaS in absehbarer Zeit verlangsamen wird. Was können Organisationen also zusätzlich zu Schulungen tun, um den schlechten Passwortgewohnheiten der Endbenutzer entgegenzuwirken?

So erzwingen Sie eine starke Passwortsicherheit

Es ist wertvoll, Menschen zu schulen, um die Bedeutung starker Passwörter zu verstehen. Aber wenn es darum geht, eine starke Passwortrichtlinie durchzusetzen, ist es besser, sich von der Technologie helfen zu lassen, als sich darauf zu verlassen, dass sich die Endbenutzer an die Best Practices erinnern und sie anwenden.

Schwache Passwörter blockieren

Zu verhindern, dass Menschen schwache Passwörter erstellen, ist der Schlüssel zur Verhinderung von Brute-Force-Angriffen, die darauf beruhen, Software zu verwenden, um schnell gängige Passwörter zu erraten. Eine gute Richtlinie sollte nicht nur sehr kurze Passwörter blockieren, sondern alle Iterationen gängiger Passwörter, Tastaturabfolgen wie „qwerty“ und Passwörter, die in früheren Sicherheitsverletzungen gefunden wurden. Organisationen sollten auch benutzerdefinierte Wörterbücher einrichten, um Wörter zu blockieren, die für ihr eigenes Geschäft und ihre Branche spezifisch sind.

Regelmäßige Scans nach kompromittierten Passwörtern

Wie wir dargelegt haben, ist die Wiederverwendung von Passwörtern ein ernstes Problem, das dazu führen kann, dass starke Arbeitspasswörter kompromittiert werden. Das Scannen nach kompromittierten Passwörtern in Ihrem Active Directory sollte daher eine regelmäßige Aufgabe sein. Es ist wichtig, dass Organisationen über Tools verfügen, um nach Endbenutzern zu suchen, die kompromittierte Passwörter verwenden – aber die besten Lösungen werden kontinuierlich scannen und Endbenutzer benachrichtigen, wenn festgestellt wird, dass sie ein kompromittiertes Passwort verwenden.

Benutzererfahrung berücksichtigen

Wenn die Cybersicherheit die Benutzererfahrung berücksichtigt, werden die Menschen die Sicherheitsmaßnahmen ihrer Organisation eher akzeptieren. Hier sind drei Möglichkeiten, um Ihren Endbenutzern eine bessere Passwortsicherheit zu bieten:

• Anpassbare Benachrichtigungen: Es kann frustrierend sein, wenn die Arbeit durch ein erzwungenes Zurücksetzen des Passworts unterbrochen wird. Das Anpassen von Benachrichtigungen kann bessere Erklärungen dafür geben, warum ein Zurücksetzen erforderlich ist.
• Längenbasiertes Altern: Sie können Endbenutzer dazu ermutigen, stärkere Passwörter zu erstellen, indem Sie sie mit längeren Zeiten zum Zurücksetzen „belohnen“, wenn sie lange, starke Passwörter erstellen.
• Dynamisches Feedback: Es kann auch frustrierend sein, wenn ein neues Passwort erstellt wird und eine generische Fehlermeldung „Passwort entspricht nicht den Kriterien Ihrer Organisation“ angezeigt wird. Dynamisches Feedback auf dem Passwortänderungsbildschirm hilft Endbenutzern, in Echtzeit ein starkes, einprägsames Passwort zu erstellen.

Lösen Sie die Passwortwiederverwendung endgültig – probieren Sie Specops Password Policy aus

Specops Password Policy mit Breached Password Protection bietet automatisierten, fortlaufenden Schutz für Ihr Active Directory. Es schützt Ihre Endbenutzer vor der Verwendung von mehr als 4 Milliarden eindeutigen, bekannten, kompromittierten Passwörtern, einschließlich Daten aus bekannten Lecks sowie aus unserem eigenen Honeypot-System, das Passwörter sammelt, die in echten Passwort-Spray-Angriffen verwendet werden.

Unsere neue kontinuierliche Scanfunktion überprüft alle Active Directory-Passwörter einmal täglich anhand der Breached Password Protection API auf Kompromittierung. Die API wird täglich mit neu entdeckten kompromittierten Passwörtern aus unserem Passwort-Honeypot-System sowie mit neu entdeckten Passwortlecks aktualisiert, wenn diese auftreten. Administratoren können die Ergebnisse des letzten kontinuierlichen Scans in den Domänenverwaltungstools einsehen.

Automatisierte Passwortsicherheit muss nicht nur IT-Teams zugute kommen. Sie können Endbenutzern auch eine bessere Erfahrung mit längenbasiertem Altern, dynamischem Feedback zur Passwortänderung und anpassbaren Endbenutzerbenachrichtigungen bieten. Finden Sie heraus, wie Specops Password Policy in Ihre Organisation passen könnte.