Strenge Regeln gefordert: Wie schwache Passwörter die Firmensicherheit gefährden

Bequemlichkeit und Unwissenheit führen häufig dazu, dass sich Unbefugte ganz einfach Zugang zu sensiblen Informationen aus dem Firmennetz verschaffen können. Um ihre IT vor unbefugtem Zugriff zu schützen, sollten Unternehmen deshalb strenge Regeln aufstellen.

Schwache Passwörter sind eine Einladung an Unbefugte, auf vertrauliche Informationen zuzugreifen (Foto: @nt - Fotolia.com).

Oft lassen Unternehmen schwache Passwörter zum Schutz von Benutzer-Accounts zu, obwohl sie rechtlich zu effektiveren Maßnahmen verpflichtet wären, so das Sicherheitsunternehmen Cyber Arck. Das Bundesdatenschutzgesetz schreibt Betreibern von IT-Anlagen mit personenbezogenen Daten oder Datenkategorien vor, den unautorisierten Zugriff auf seine Daten zu unterbinden Außerdem schreibt die EU-Richtlinie Basel II die Definition eines Regelwerks zum Umgang mit Passwörtern vor. Unternehmen, die an US-amerikanischen Börsen notiert sind, unterliegen zusätzlich dem Sarbanes-Oxley-Act und seinen Passwort-Vorschriften. Das Sicherheitsunternehmen rät daher dringend dazu Zugangsdaten und die mit ihnen verbundenen Kennwörter besonders zu schützen, um den Bestimmungen gerecht zu werden.

Passwörter müssen durch ihre Struktur schwer zu knacken und möglichst komplex aufgebaut sein. Sinnvoll ist es zudem einen zyklischen Wechsel des Passworts, beispielsweise jeden Monat, vorzunehmen, da das eine weitere Hürde für den Missbrauch von Passwörtern ist. Noch besser ist die Verwendung eines Kennwortgenerators mit Einmalpasswörtern, die nur einige Minuten gültig sind. Passwörter von privilegierten Accounts sollten nur an Personen ausgegeben werden, die sie für die Erfüllung ihrer Aufgaben tatsächlich benötigen. Zusätzlich lässt sich der Sicherheitsgrad durch die Vergabe von Einmal-Passwörtern im Single-Sign-On-Verfahren steigern. So kann sich ein Administrator anmelden, ohne das eigentliche Passwort zu kennen.

Darüber hinaus sollten Unternehmen jeden einzelnen Nutzer in die Pflicht nehmen. Bei neu erstellten Accounts mit vordefinierten Passwörtern sollten die Anwender diese unverzüglich selbst ändern. Das gilt besonders bei Funktions-Accounts wie dem Administrator oder dem Webmaster, da sich ein Gruppenpasswort für eine von vielen gleichzeitig verwendete Kennung nicht geheim halten lässt. Cyber Ark rät zudem dazu fehlerhafte Anmeldeversuche zu protokollieren, den Benutzer-Account bei einer gewissen Anzahl von Fehlversuchen zu sperren und die IP-Adresse, von der die Versuche ausgehen, zu speichern.

Für privilegierte Accounts wie die von Superusern und Systemadministratoren handelt sollten besondere Sicherheitsmaßnahmen gelten. Zusätzlichen Schu8tz bietet zum Beispiel ein System zur Verwaltung priviligierter Accounts.