Passwortrichtlinie für KMU

10.04.2023
8 Min.
Passwörter gehören zu unserem Alltag dazu. So sehr, dass wir oft nur wenige Gedanken daran verschwenden. Doch das kann verheerend sein. In diesem Artikel zeigt der Autor auf, wie wichtig eine strikt eingehaltene Passwort-Policy für Unternehmen ist.
 
 

Bildquelle AdobeStock

 
 
Die Sicherheit von Computer-Systemen und -Netzwerken hängt entscheidend vom korrekten Umgang mit Passwörtern ab. Eine implementierte Passwortrichtlinie, oder eben PW-Policy regelt im Unternehmen die Erstellung, Aufbewahrung und Verwendung von Passwörtern.
 

Wichtigste Merkpunkte:

  • Erstellen Sie eine Übersicht über sämtliche passwortgeschützten System- und Anwendungszugänge in Ihrem Unternehmen.
  • Legen Sie für alle identifizierten System- und Anwendungszugriffe in einer Passwort-Policy die Anforderungen an die Erstellung, Aufbewahrung und Verwendung der Passwörter fest.
  • Prüfen Sie periodisch die strikte Einhaltung der PW-Policy.
  • Sensibilisieren Sie alle Mitarbeitenden für die Gefahren durch unsachgemässen Umgang mit Passwörtern.
 

Warum braucht es eine Password-Policy?

Die Kombination von Benutzername und Passwort ist noch immer die meistverwendete Methode der Authentisierung und Autorisierung im digitalen Arbeitsumfeld. Damit werden etwa beim Zugang zu Netzwerken, bei der Anmeldung an Computer-Systemen oder bei der Nutzung von Diensten und Anwendungen die Identität der Benutzer festgestellt und der Zugriffschutz implementiert. Benutzernamen und Passwörtern kommt dadurch eine zentrale Rolle für die Cybersicherheit zu.
 
Da erstaunt es nicht, dass Cyberkriminelle Vieles daransetzen, um mittels Hacking, Phishing oder Social Engineering an diese wertvolle Information heranzukommen und damit die digitale Identität der betroffenen Person zu übernehmen.
 
Der Umgang mit Passwörtern ist Benutzern heute jedoch so vertraut, dass sie sich oft der damit verbundenen Gefahren zu wenig bewusst sind. Gerade im Unternehmensumfeld ist daher eine klare PW-Policy, welche die Benutzer genau anleitet und vor Fehlern in diesem Zusammenhang bewahrt, unerlässlich.
 
 

Was ist eine PW-Policy und wie erstellt man eine wirksame PW-Policy?

Unter einer Passwort-Policy versteht man ein Regelwerk, das die Cybersicherheit erhöhen soll, indem es die Mitarbeitenden dazu anhält, sichere Kennwörter zu erstellen, diese sorgsam aufzubewahren und ordnungsgemäss zu verwenden. Die PW-Policy ist Teil der offiziellen Regeln einer Organisation und sollte in die Schulung zum Sicherheitsbewusstsein (Awareness-Programm) aufgenommen werden.
 
Die PW-Policy soll massgeschneidert auf die Bedürfnisse (komplette Systemlandschaft) und Anforderungen (Sicherheitslevel) der betreffenden Organisation ausgelegt werden, um mit angemessenem Aufwand eine optimale Wirkung zu entfalten. In einem ersten Schritt muss daher eine Übersicht über sämtliche passwortgeschützten System- und Anwendungszugänge im Unternehmen erstellt werden sowie eine Abschätzung des erforderlichen Schutzlevels erfolgen. Alle so identifizierten Zugänge werden danach in der PW-Policy mit entsprechenden Regelungen berücksichtigt.
 
Um der sich stetig ändernden Bedrohungslage begegnen zu können, muss die Aktualität und Wirksamkeit der PW-Policy periodisch überprüft werden.
 
 

Welches sind die wichtigsten Punkte der PW-Policy?

Die PW-Policy regelt umfassend den Umgang mit Passwörtern in der Unternehmung. Den Benutzern liefert sie konkrete Handlungsanweisungen und macht Aussagen zu folgenden Punkten:
 

1. Verwendung von Passwörtern

Wie oben erwähnt ist die Kenntnis eines Passworts häufig bereits ausreichend, um die digitale Identität einer Person vollständig zu übernehmen. Generell sind deshalb alle Vorkehrungen zu treffen, welche eine missbräuchliche Verwendung dieser Information verhindern.
 
Passwörter sind somit strikt persönlich und unterliegen der Geheimhaltung. Insbesondere gilt es folgende Punkte zu beachten:
  • Passwörter dürfen weder aktiv weitergegeben noch geteilt oder offen zugänglich abgelegt werden.
  • Ablage und Übertragung von Passwörtern müssen stets verschlüsselt erfolgen.
  • Bei der Eingabe von Passwörtern ist darauf zu achten, dass der Vorgang nicht durch Dritte einsehbar erfolgt.
 
Die PW-Policy legt die Richtlinien zur Verwendung von Passwörtern im Sinne einer Weisung fest.
 

2. Passwortstärke

Die Passwortstärke ist ein Mass für die Schwierigkeit eines Angreifers, ein ihm nicht bekanntes Passwort durch blosses Erraten oder Ausprobieren zu ermitteln. Je unvorhersehbarer, komplexer und länger ein Passwort gewählt wird, desto stärker und damit sicherer ist es.
Eine gute PW-Policy legt Wert auf die Erstellung von starken Kennwörtern, indem es die Benutzer anhält, ihre Passwörter länger und unvorhersehbar zu machen (mind. 12 Zeichen lang, aus Ziffern, Gross- und Kleinbuchstaben sowie Sonderzeichen bestehend).
 
Zudem sollte die Erstellung von starken Passwörtern durch technische Hilfsmittel, wie 
z. B. der Zurverfügungstellung eines Passwortmanagers unterstützt und in der PW-Policy geregelt werden.
 

3. Ablauf von Passwörtern

Passwörter können einfach übertragen werden. Dadurch können sie im Laufe der Zeit auch in falsche Hände geraten. Beispielsweise geben Mitarbeitende gelegentlich Passwörter unüberlegt an Dritte weiter oder notieren solche an ungeschützten Orten. Es können sich aber auch Datenpannen ereignen, bei denen Passwörter von Nutzern ungewollt offengelegt werden. Ein Rückruf von einmal abgeflossener Information ist grundsätzlich nicht möglich.
 
In solchen Fällen stellt das Ändern von Passwörtern die einzige wirksame Massnahme zur Wiederherstellung der Cybersicherheit dar, da die abgeflossene Information dadurch unbrauchbar wird. Die Erneuerung und Verwaltung von Passwörtern sollte durch technische Hilfsmittel, wie z. B. der Zurverfügungstellung eines Passwortmanagers unterstützt und in der PW-Policy geregelt werden.
 

4. Passwort-Historie

Benutzer tendieren oft dazu, die Anzahl der zu merkenden Passwörter zu reduzieren, beispielsweise indem sie früher schon gebrauchte Passwörter wiederverwenden. Cyberkriminelle machen sich dieses Verhalten zu Nutze, indem sie bei ihren Angriffen regelmässig auch Listen mit alten Passwörtern einsetzen. Um dies zu vermeiden, sollten Benutzer daran gehindert werden, alte Passwörter zu reaktivieren.
 
Die PW-Policy sorgt dafür, dass die Systeme eine Passwort-Historie der Benutzer führen und bei Passwortwechseln eine Überprüfung auf Wiederverwendung stattfindet.
 

5. Passwortänderung

Benutzern sollte es möglich sein, ihre Passwörter jederzeit und selbständig zu ändern. Hierbei muss jedoch sichergestellt sein, dass Passwortänderungen ausschliesslich vom legitimierten Eigentümer und nicht etwa von einem Angreifer veranlasst werden.
 
Die PW-Policy legt die technischen und organisatorischen Rahmenbedingungen fest, welche eine sichere Passwortänderung ermöglichen. So kann z. B. die Einführung einer Zwei-Faktor-Authentifizierung den Prozess der Passwortänderung wesentlich sicherer machen.
 
 

Lesetipps

«eBanking – aber sicher!»
Auf der Website www.ebas.ch/kmu der Hochschule Luzern – Informatik finden Sie weitere praxisnahe Informationen zu Cyber-Sicherheit in KMU und notwendigen Massnahmen für mehr Informationssicherheit in Ihrem Unternehmen.
 
Informationssicherheitshandbuch für die Praxis
Auflage 9/2021
 
 
Im «Informationssicherheitshandbuch für die Praxis» beschreiben anerkannte Schweizer Sicherheitsexperten verständlich, wie Sie Informationssicherheit in Ihrem KMU mit technischen und organisatorischen Massnahmen umsetzen und kontrollieren.
 
Sie erhalten 30 % Rabatt mit dem Code «topsoft2023» (bei Bemerkungen angeben) für Bestellungen bis Ende Mai 2023 – Sie bekommen so z. B. die Print-Ausgabe für CHF 68.– anstelle CHF 98.–
 

 

Der Autor

 
Maurizio Tuccillo ist Professor, Programmleiter und Dozent an der Hochschule Luzern – Informatik, sowie Experte IT-Forensik und Informationssicherheit bei der FORINCO AG, Rotkreuz. www.hslu.ch

Der Beitrag erschien im topsoft Fachmagazin 23-1

 

Das Schweizer Fachmagazin für Digitales Business kostenlos abonnieren

Abonnieren Sie das topsoft Fachmagazin kostenlos. 4 x im Jahr in Ihrem Briefkasten.