Cyber-Sicherheit: Warum Unternehmen eine Passwortrichtlinie brauchen

Im Arbeitsalltag nutzen wir ständig Passwörter – etwa um uns mit dem WLAN im Büro zu verbinden, unsere E-Mails abzurufen oder um Zugriff auf Daten zu erhalten. Oft ist es nur ein Kennwort, das sensible Daten vor Angreifern schützt. Umso wichtiger ist es, dass wir seine Bedeutung für die Sicherheit des Unternehmens verstehen. 

Passwörter sind zwar ein wirksames Instrument, um Unternehmen vor Cyber-Angriffen zu schützen. Gleichzeitig sind kompromittierte Passwörter nach wie vor eine der Hauptursachen für Datendiebstahl. In 80 Prozent dieser Fälle werden die Kennwörter gehackt, so der Data Breach Investigations Report 2020 von Verizon. Da Angestellte in der Regel eine Vielzahl an Passwörtern nutzen, ist die Angriffsfläche eines Unternehmens ziemlich groß. Außerdem zeigt die Studie „Psychologie der Passwörter“ von LastPass, dass 65 Prozent der Nutzer für diverse Konten dasselbe oder ein ähnliches Passwort verwenden. Dadurch steigt das Risiko für einen Hackerangriff noch zusätzlich. 

Abhilfe schafft eine effektive Passwortrichtlinie. Sie legt Regeln fest, die Mitarbeiter bei der Erstellung, Verwendung, Speicherung und Freigabe von Kennwörtern beachten müssen. Dazu zählt unter anderem, dass sie Passwörter nicht elektronisch an Kollegen senden dürfen und sie in regelmäßigen Abständen ändern müssen. Außerdem ist definiert, welche Konsequenzen der (absichtlich oder unabsichtlich) unsachgemäße Umgang mit Anmeldedaten hat. Eine effektive Passwortrichtlinie klärt die Mitarbeiter über bewährte Verfahren und eine gute Kennworthygiene auf – und stärkt auf diese Weise die Cyber-Abwehr des Unternehmens.

Eine wirksame Passwortrichtlinie …

• ist klar und verständlich und vermeidet technischen und juristischen Fachjargon, damit alle Nutzer sie verstehen können;
• ist im Mitarbeiterhandbuch oder Intranet des Unternehmens leicht zugänglich; 
• basiert auf bewährten Maßnahmen wie der Verwendung eines Passwortmanagers und der Zwei-Faktor-Authentifizierung und erfordert keine häufig wechselnden Passwörter oder Sicherheitsfragen;
• fördert mithilfe spezieller Technologie den richtigen Umgang mit Passwörtern im Arbeitsalltag, anstatt sich auf die Nutzer zu verlassen, von denen viele ungeübt im Erstellen von sicheren Passwörtern sind;
• bietet der IT-Abteilung eine zentrale Möglichkeit, die Passwortsicherheit im Unternehmen zu verwalten und zu überwachen;
• wird von der IT-Abteilung aktualisiert, wenn sich die Bedrohungslage ändert;
• wird den Mitarbeitern in regelmäßigen Schulungen nahegebracht. 

Die Passwortrichtlinie kann allerdings noch so gut formuliert sein – die eigentliche Herausforderung besteht in ihrer effektiven Umsetzung und Überwachung. Nur dann bietet sie einen wirksamen Schutz vor Cyber-Angriffen. In einem ersten Schritt sollten Unternehmen daher einen Plan erstellen, wie sie die Richtlinie in die bestehenden Strukturen integrieren können. Beispielsweise lassen sich im Verzeichnis- oder SSO-Dienst Einstellungen aktivieren, die die Passwortvorgaben des Unternehmens anzeigen.

Mithilfe eines Passwortmanagers wie beispielsweise LastPass Business können Unternehmen zudem die Überwachung der Passwortsicherheit zentralisieren und die entsprechenden Anforderungen festlegen. Das Tool stellt mehr als 100 Richtlinien zur Verfügung, die IT-Administratoren an ihr Unternehmen anpassen können. Mit einem effektiven Passwortmanager ist die Passwortrichtlinie mehr als die Niederschrift von Regeln. Denn damit haben die Mitarbeiter gar keine andere Wahl, als sichere Kennwörter für jede Anmeldung zu erstellen und zu verwenden.