Speichern Ihre Mitarbeiter Passwörter sicher?

Meta (Facebook) wurde mit einer Strafe von 91 Mio € belegt

Meta, der Konzern hinter Facebook, Instagram & WhatsApp, wurde kürzlich mit mehreren Bußgeldern von zusammen 91.000.000 € belegt. In erster Linie, weil sie 2019 Passwörter im Klartext gespeichert hatten und das der Aufsichtsbehörde nicht als Datenpanne gemeldet hatten. Selbst wenn Sie nicht, wie Meta, viele Kundenpasswörter speichern, ist Passwortsicherheit heutzutage ein Mindeststandard – Fehler können Ihnen neben Bußgeldern auch schnell Trojaner einhandeln, die Ihren Betrieb lahm legen. Wie also sollten Sie mit Passwörtern umgehen?

 

So sicher wie die EC-Karte

Passwörter sollten Sie mindestens so sicher wie Ihre EC- oder Kreditkarte aufbewahren. Also beispielsweise im Geldbeutel und diesen nicht offen liegen lassen; im Schwimmbad einschließen. Das gilt auch für Ihre Mitarbeiter in der Freizeit, wenn sie das Passwort für den Arbeitsplatzrechner (noch) nicht auswendig kennen und deshalb mit nach Hause nehmen.

 

Immer das gleiche Passwort!?

Apropos auswendig: Früher hat man Windows-Passwörter alle paar Monate geändert. Das hat sich als zu gefährlich erwiesen, weil die Mitarbeiter es dann zu oft aufschreiben und den Zettel am Schreibtisch liegen lassen oder an den Monitor kleben. Es ist besser, dafür dauerhaft das gleiche Passwort zu verwenden, aber für jeden anderen Zweck, jede andere Anmeldung konsequent je ein weiteres Passwort zu verwenden.

 

Wie komplex sollte das Passwort sein?

Derzeit sollte ein einfaches Passwort mindestens 8 Zeichen aufweisen, aber für die normalen Daten auf Arbeit sollten es 12 Zeichen sein. Darin sollten Klein- & Großbuchstaben, Ziffern und Sonderzeichen vorkommen. Sind Sonderzeichen nicht möglich, verlängern Sie es, beispielsweise fürs WLAN-Kennwort auf 20 Zeichen. Wenn Sie eine zentrale EDV haben, sollten Sie einstellen, dass unsichere Passwörter gar nicht genommen werden können. Passwörter, wie „Passwort“, „123456“ oder solche, die man sprechen kann, die also reale Wörter enthalten, sollte man nicht benutzen.

 

Wie verliert man nicht den Überblick?

Bitte lassen Sie sich von Ihrem Datenschutzbeauftragten beraten, was für Ihre Situation das Einfachste ist, um die Passwörter zu verwalten, die Sie brauchen. Hier ein paar Beispiele:

  • Wer nur ein, zwei Passwörter hat, kann sie vorübergehend im Geldbeutel aufbewahren, wenn er auf den gut aufpasst. Man kann sie zusammen mit dem Geldbeutel im Spind einschließen. Die PIN für die EC-Karte sollte natürlich nicht mit dieser zusammen aufbewahrt werden – jedenfalls nicht im Klartext. Sobald man die Passwörter auswendig kann, sollte man sie für den Fall, dass man sie zum Beispiel im Urlaub wieder vergisst, sicherer an einem festen Platz aufbewahren.

  • Wer nur wenige Passwörter von geringem Sicherheitsniveau hat, kann sich in einem ersten Schritt einfache, kurze Passwort-Kerne ausdenken und dann im Notizblock aufschreiben. Im zweiten Schritt muss er diese bei jeder Eingabe mit einem analogen Passwort-Schlüssel-Automaten verlängern und verschlüsseln. Er muss aber den Schlüssel-Automaten sicher aufbewahren und sollte davon an einem sicheren Ort eine Sicherungskopie vorhalten, falls er verloren geht. Sie können diesen analogen Automaten auch schon als Centartikel fertig als Kryptonizer kaufen, hier ein Video dazu.

  • Wer mehr Passwörter hat, und gut mit Office umgehen kann, kann seine Passwörter in eine aktuelle Excel-Datei (nur „*.xlsx“!) schreiben und diese mit einem eigenen Passwort speichern. Das ist nach aktuellem AES-Standard mit 256 Bit geschützt. Genauso können Sie auch eine ZIP-Datei mit AES-256-Bit verwenden.

  • Weniger fehleranfällig für Falschbenutzung ist ein Passwortmanager für alle Mitarbeiter. Der entwickelt sich immer mehr zum Standard.

  • Für höhere Sicherheit empfiehlt sich zusätzlich ein zweiter Faktor (Zwei-Faktor-Authentisierung)

 

Alternativen

Wer weniger Passwörter verwenden möchte, kann es mit einer Einmalanmeldung („Single Sign-on“) oder einer modernen Multifaktor-Authentifizierung („Passkey“) versuchen. Diese erfordert aber ein wenig Aufwand bei der Einführung.

 

Weiterführend

 

Autor: Thomas Hofmann, Data Privacy Consultant, 14.10.2024

Find out more here.

I will gladly advise you and look forward to receiving your questions.

Data Privacy Legal Consultant

Florian Thomas Hofmann