Ziel
Sie verstehen, warum «gute» & sichere Passwörter für Ihre persönliche ICT-Sicherheit und die Ihrer Unternehmung existenziell sind, kennen Ihre Verantwortung und verwenden deshalb ausschliesslich sichere Passwörter und im besten Fall dazu eine 2-Faktor-Authentifizierung.
Ausgangslage
«ICT-Security? Das ist doch nur was für Grossfirmen». Leider total falsch!
ICT-Sicherheit, Datenschutz und -Sicherheit werden immer noch zentraler, da Cyber-Angriffe laufend zunehmen. Opfer sind dabei keineswegs nur «grosse & solvente» Firmen, sondern jede(r), der einfach und ohne grosses Risiko angreifbar ist («weiches Ziel») - also durchaus auch Kleinfirmen und Privatpersonen! Da diese sich kaum oder oft nur dürftig um ICT-Security kümmern, sind sie inzwischen sogar ein bevorzugtes Ziel!
Mit der Verlagerung von Services & Produkten in die Cloud werden Systeme einfacher identifizierbar und deshalb auch angreifbar. Gleichzeitig lagern wir selber und freiwillig (und oft auch unbewusst) immer mehr Daten in die Cloud aus. Dies birgt ein grosses Risiko, dass Daten & Informationen (auch sensible) in die falschen Hände gelangen, manipuliert oder gestohlen werden können.
Die «letzte Bastion» zwischen Datensicherheit und «absolutem Daten-GAU» ist oft bloss Ihr Passwort!
Einfallstor Nr. 1: «Mensch»
Es werden deshalb weltweit enorme Anstrengungen unternommen, um die Sicherheit im Web (= Cloud) zu gewährleisten. Leider scheitern die teuersten und besten Sicherheitsstrategien und -systeme unter Umständen allesamt kläglich, wenn die BenutzerInnen keine Ahnung von ICT-Sicherheit haben und deshalb z. B. ausschliesslich «bequeme» statt sichere Passwörter verwenden und damit alle Anstrengungen gleich selber unterminieren. Leider ist dies tatsächlich die häufigste Ursache für erfolgreich Angriffe!
Es ist heute also von zentraler Bedeutung, dass sämtliche Benutzer von User-Accounts (egal ob privat bei bluewin.ch oder firmenintern bei der UBS) Kenntnis von ihrer persönlichen Verantwortung haben (Security-Awareness) und sichere Passwörter zu verwenden - ohne Ausnahme! Als Angestellte(r) fällt dies rechtlich sogar unter Ihre Sorgfalts- und Treuepflicht.
Die folgenden Tipps entstammen nicht den theoretischen Wunschvorstellungen von irgendwelchen «abgespaceten» Nerds oder ICT-Wissenschaftlern - sie kommen direkt aus der Praxis und beruhen auf konkreten Erfahrungen in unserem Alltag:
Umsetzung
Was macht ein gutes Passwort aus?
Es sind mehrere Faktoren zu beachten. Sichere Passwörter ...
- ... werden jeweils nur für ein einziges System verwendet
Stellen Sie sicher, dass Sie für jeden Account wie z. B. Bluewin, Gmx, Dropbox, E-Banking etc. ein anderes Passwort verwenden. Anders heisst nicht «einfach eine andere Nummer am Schluss». Unter keinen Umständen verwenden Sie geschäftlich das gleiche Passwort wie auf ihren privaten Systemen. Sie gefährden damit die ICT-Sicherheit Ihrer Unternehmung.
Warum braucht es zwingend überall ein anderes Passwort? Wird nur einer Ihrer Accounts bei einem Anbieter gehackt, hat der Angreifer sofort Zugriff zu allen Ihren anderen Accounts (und sie können darauf vertrauen, dass dieser Versuch gleich die nächste Handlung jedes erfolgreichen Angreifers sein wird). - ... werden regelmässig / (häufig) gewechselt (aber nur, wenn Sie dann auch sicher bleiben!)
Früher galt: Je häufiger Sie das Passwort wechseln, desto schwieriger wird es, das Passwort herauszufinden. Das ist nicht falsch - in der Theorie zumindest. Aber das Problem mit häufig wechselnden Passwörtern in der Praxis ist, dass man sich wegen der ständigen Wechselei bald mal genötigt fühlt, ein einfaches / schlechtes Passwort zu verwenden. Oder man verwendet deshalb eben überall das Gleiche - und noch schlimmer: Man schreibt es auf (das berühmte Post-It am Bildschirm oder das Zetteli im Portemonnaie - ein Security-Albtraum!).
Insofern ist es viel smarter, ein gutes Passwort länger zu nutzen, als immer wieder andere schlechte zu verwenden. Das Optimum: Sie verwenden ein sicheres Passwort UND wechseln dieses auch regelmässig wieder durch ein ebenso sicheres aus ...Zwingend wechseln müssen Sie Ihr Passwort hingegen IMMER dann, wenn es zu seltsamen / auffälligen Vorgängen kommt oder wenn Sie Grund zur Annahme haben, dass jemand an Ihr Passwort gelangt sein könnte.
- ... sind nicht zu kurz (min. 8 Stellen)
In der Kürze liegt die Würze? Dies mag bei einer guten Ansprache gelten - jedoch nicht bei einem Passwort. Mathematische Tatsache ist: Je mehr Stellen ein Passwort hat, desto mehr Rechenleistung bzw. mehr Zeit wird benötigt, um es zu knacken.
- ... werden nirgends aufgeschrieben (und wenn, dann nur verschlüsselt!)
Und wenn, dann ganz sicher nicht in der Nähe des Computers aufbewahrt (oder gar auf Post-It an den Bildschirm geklebt). Auch keine gute Idee ist es, Passwörter in einer Excel-Tabelle, einem Word-Dokument oder in den Notizen Ihres Handys abzulegen (vor allem dann nicht, wenn Sie die Notiz nicht mal mit einem Passwort schützen).
So bequem es auch ist: Wir empfehlen auch, die eingebauten «Passwort-Stores» der Browser NICHT zu verwenden. Wenn Sie Passwörter irgendwo elektronisch ablegen wollen, tun Sie dies ausschliesslich in dafür vorgesehenen Passwort Apps mit starker Verschlüsselung (z. B. 1Password). Verwenden Sie dort auf jeden Fall ein absolut bombensicheres Hauptpasswort (welches Sie am besten physisch irgendwo in einen Safe legen), um alle anderen Passwörter abzusichern. Setzen Sie bei Ihrem PasswortApp ausschliesslich auf vertrauenswürdig (kostenpflichtige) Anbieter mit auffindbarem Firmensitz und Support-Organisation. Das muss es Ihnen Wert sein.
- ... bleiben grundsätzlich "top secret" / Ihr persönliches Eigentum
Sie alleine sind verantwortlich für Ihre Daten und Ihre Zugriffsrechte, die mit Ihrem Passwort geschützt sind. Geben Sie Ihr Passwort deshalb an Niemanden (auch nicht an die Arbeitskollegen) weiter. Für den Zugriff auf Ihre Mailbox (z. B. wegen längeren Abwesenheiten), die Übergabe an Nachfolger oder ähnliche Situationen gibt es in professionellen Umgebungen organisatorische / technische Möglichkeiten (Postfach-Delegation / Gruppenpostfächer).
ICT-Umgebungen, in denen alle von allen das (Admin-)Kennwort wissen (müssen), sind in den allermeisten Fällen nicht professionell aufgebaut und sollten dringend optimiert werden.
Beachten Sie auch, dass professionelle ICT-Administratoren Sie grundsätzlich nicht nach Ihrem Passwort fragen: Wenn Sie eine entsprechende Anfrage erhalten, ist immer Vorsicht geboten! - ... werden niemals per E-Mail und nie zusammen mit dem dazugehörigen Benutzernamen (User) kommuniziert
Sollten Sie aus irgendwelchen guten Gründen einmal doch jemandem Ihr Passwort mitteilen müssen (hinterfragen Sie dies prinzipiell immer!), tun Sie dies bitte auf keinen Fall per E-Mail.
Verwenden Sie dafür immer einen separaten Kanal (z. B. SMS oder verschlüsselte Messenger - WhatsApp und andere Meta-Datensammler-Dienste empfehlen wir dazu nicht), in welchem Sie ausschliesslich das Passwort selber und keinesfalls gleichzeitig auch den User kommunizieren. - ... sind nicht einfach herleitbar / ableitbar
Der Vorname der Gattin mit dem Hochzeitsjahr? Vorname / Geburtsdatum des Patenkindes? Name des Ferien-Chalets im Wallis oder der Lieblingsferieninsel? Name und Jahrgang des (verstorbenen) Hundes? Alles sehr schnell und einfach (bloss mit etwas «Social Engineering» *) zu knackende Passwörter / -bestandteile und deshalb absolut tabu!
Also bitte keine Begriffe mit einem persönlichen Bezug zu Ihnen selber oder zu nahestehenden Personen / Tieren, Hobbies, Gegenständen, Lieblingsessen -Reisezielen etc. etc. verwenden! Bitte wirklich einfach nicht.
* Social Engineering? Wie ein herkömmlicher Einbrecher auch, können Angreifer im Cyberspace sich zunächst über Sie und Ihre Umgebung informieren (Sie dabei evtl. sogar «unbemerkt» ausfragen) und deshalb offensichtliche Kombinationen zuerst versuchen. - ... sind einfach zu merken und gleichzeitig schwer zu knacken
Wenn Sie in zu kompliziertes / langes Passwort verwenden, geraten Sie eher in Versuchung, dieses zu speichern oder gar irgendwo aufzuschreiben. Sie müssen sich auch nicht zwingend eine kryptische Zahlenkombination ausdenken («kryptisch» ist diese ohnehin nur für uns Menschen).
Verwenden Sie am besten ein phonetisches Passwort, also eines, das «aussprechbar» ist und Ihnen so viel besser in Erinnerung bleibt - und dabei aber trotzdem nicht zu offensichtlich zu Ihnen gehört! Wenn das Wort dazu noch nicht in einem Wörterbuch vorkommt (Tipp: Mundart / Dialekt), Gross- / Kleinschreibung, eine Zahl und ein Sonderzeichen enthält und nicht in einem aktuellen Kontext steht (also nicht Selen$ki99, Covid-22, Malediven23 etc.), sind Sie auf jeden Fall auf gutem Weg! :-) -
... sehen ähnlich aus wie z. B. diese Inspirationen:
(selbstverständlich aber bitte nicht 1 : 1 übernehmen!)- LaninoPusowu73!
- H@ker.$int.dohF57
- Röschti.metSpäck99
- €nSt@rche$chlössu10
- 20sadoqo-Kifuro
- Klavo.brihe.wono.xroke20
- Zwornedcheibekompliziert-deföraber40lang
- Eggsperto.cr€dite!
- MoreTouchy2-a
- Oder verwenden Sie die Anfangsbuchstaben eines Zitates oder Spruches (z. B. der alten Gitarrensaiten-Eselsbrücke: Eine Alte Dame Ging Hering Essen) und kombinieren Sie diese mit einer Zahl und einem Sonderzeichen => EaDgHe*99)
Seien Sie selber kreativ - Sie werden sehen: Es kann sogar richtig Spass machen, ein gutes Passwort auszutüfteln!
Kreieren Sie doch z. B. eines (z. B. mit Dialektwörtern), dass Ihnen bei jeder Eingabe ein Lächeln aufs Gesicht zaubert. Gibt es eine bessere Voraussetzung, um glücklich mit der Arbeit zu starten? :-)
- ... und sind am besten zusätzlich mit einer 2-Fach-Authentifizierung abgesichert
Ein hoher Schutz bietet die Aktivierung von 2-fach- oder 2-Faktor-Authentifizierung (auch 2-Schritt-Anmeldung oder «Bestätigung in 2 Schritten»), bei welcher Sie die Eingabe Ihres Passwortes zusätzlich auf einem weiteren Gerät bestätigen müssen.
Dabei müssen Sie nach der Eingabe des Passwortes z. B. auf einer Authenticator-App auf Ihrem Smartphone (z. B. Google Authenticator, Microsoft Authenticator) zusätzlich einen nur für kurze Zeit gültigen Code eintippen, bevor Sie angemeldet werden. Oder Sie erhalten eine PopUp-Meldung auf einem Ihrer weiteren Geräte (z. B. bei Apples iCloud), dies Sie kurz bestätigen müssen, um eingeloggt zu werden.
Dadurch beugen Sie dem Fall vor, in dem Ihr Passwort bei einem Angriff auf Sie oder einen Anbieter geknackt oder geleakt wird: Obwohl Ihr Passwort durch das Leak «öffentlich» ist, kann der Angreifer sich ohne den 2. Sicherheitsschritt nicht mit Ihrem Account anmelden. Deshalb wird die «2-fach-Auth» heute von den meisten (Cloud-)Services mindestens angeboten, z. T. sogar bereits vorgeschrieben.
Obwohl dieser Zusatzschritt zunächst vielleicht etwas «umständlich» scheint: Die Aktivierung einer 2-Faktor-Authentifizierung ist für sensiblen Zugänge (z. B. Accounts mit Administratoren-Rechten) Pflicht!
Passwort, Account, Security, Sicherheit, Datenschutz, Datensicherheit, 2-fach-Authentifzierung
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.