Zu klein. Zu uninteressant. Zu weit weg von wichtigen Ballungszentren. Vor allem kleinere und mittlere Unternehmen glauben vielfach, kein attraktives Ziel für Cyberkriminelle zu sein. Daher schieben sie das Thema IT-Sicherheit auf die lange Bank. Doch genau das ist auch der Grund, warum KMUs leichte Opfer für Internet-Betrüger sind. Und zwar weit häufiger, als vielfach angenommen. Was den Schutz der IT-Infrastruktur betrifft, besteht massiver Nachholbedarf.
Sichere Passwörter sind neben dem Einsatz von Virenschutzprogrammen eines der wichtigsten Schutzschilder gegen digitale Einbrüche. Doch in den meisten Unternehmen sind die von den Mitarbeitern verwendeten Passwörter eine echte Sicherheitslücke. Nicht nur, dass diese viel zu leicht zu knacken sind. Aktuelle Untersuchungen gehen auch davon aus, dass über 50% der Anwender Passwörter mehrfach verwenden. Das ist fatal. Denn wenn Hacker die Zugangsdaten erbeuten, versuchen sie fast immer, sich damit auch bei anderen Seiten einzuloggen. Schon heute gehen die durch Identitätsdiebstahl verursachten Kosten in die Milliarden. Trotzdem vertrauen allzu viele Unternehmen immer noch darauf, dass ihre Mitarbeiter starke Passwörter nutzen. In den vielen Fällen ist das ein gefährlicher Irrglaube. Doch die gute Nachricht ist, dass Sie bereits mit relativ wenig Aufwand Ihre IT-Sicherheit deutlich erhöhen können.
Wie zeigen auf, wie das in 3 einfachen Schritten gelingt.
Schritt 1: Sensibilisieren Sie Ihre Mitarbeiter
Selbst bei jenen Unternehmen, die das Thema IT-Sicherheit schon lange auf ihrer Agenda haben, fließt ein Großteil der Mittel in die Hardware und Ausbildung der IT-Mitarbeiter. Sie verfügen also zum Teil über recht gut administrierte Computersysteme mit entsprechenden Sicherheitsvorkehrungen und wähnen sich damit auf der sicheren Seite. Doch Cyberkriminelle haben sich längst ein neues Ziel für ihre Attacken ausgesucht: die Mitarbeiter. Als häufigste Einfallstore ins Unternehmen gelten heute E-Mail-Postfächer und Smartphones.
Vielen im Unternehmen ist diese Bedrohung nicht bewusst. Kein Wunder. Findet doch kaum eine entsprechende Bewusstseinsbildung der Mitarbeiter statt. Um die IT-Sicherheit in Ihrem Unternehmen zu erhöhen, sollten Sie daher in einem ersten Schritt bei den Mitarbeitern ansetzen. Machen Sie sie darauf aufmerksam, dass grundsätzlich jeder von ihnen Ziel eines Cyberangriffs werden kann. Informieren Sie Ihre Teams außerdem regelmäßig über aktuelle Sicherheitsbedrohung und die verschiedenen Risiken, wie Phishing-Mails, Ransomware oder klassische Malware. Und über sichere Passwörter! Sie sind wichtige Schlüssel, ohne die wir uns in der digitalen Welt heute kaum mehr bewegen können. Doch oftmals ist es Mitarbeitern nicht klar, wie einfach ihre Passwörter für einen Angreifer zu entschlüsseln sind und dass sie damit ein echtes Sicherheitsrisiko darstellen. Umgekehrt würden allzu viele Geschäftsführer ungläubig die Köpfe schütteln, wenn sie wüssten, wie sorglos mit Passwörtern umgegangen wird bzw. wie offenkundig diese an völlig unpassenden Plätzen (auf Post-ist, am Computer oder am Smartphone) aufbewahrt werden.
Auch kleine und mittlere Unternehmen sollten sich daher Gedanken über ein professionelles Passwort-Management machen bzw. sich Unterstützung von IT-Experten holen. Gemeinsam kann eine Lösung gefunden werden, die für alle Mitarbeiter simpel zu handhaben ist und trotzdem aktuellen Richtlinien in punkto Cyber-Security entspricht.
Schaffen Sie eine IT-Sicherheitskultur im Unternehmen
In vielen Unternehmen beherzigt nur ein kleiner Teil der Mitarbeiter grundlegende Regeln der IT-Sicherheit. Das passiert nicht böswillig, sondern meist aus Unwissenheit. Solange sorglos und nachlässig mit Daten und Passwörtern umgegangen wird, helfen technische Schutzmaßnahmen wenig. Besser ist es, die Mitarbeiter anhand von Praxisbeispielen auf konkrete Risiken in ihrem Arbeitsalltag aufmerksam zu machen bzw. konkrete Handlungsanleitungen zu erstellen.
Schritt 2: Achten Sie darauf, dass sichere Passwörter erstellt werden
Was das Thema „sichere Passwörter“ betrifft, hat es in den letzten Jahren einen Paradigmenwechsel gegeben. Lange Zeit galten vor allem die Verwendung von Sonderzeichen sowie das regelmäßige Ändern der Passwörter als Nonplusultra in Sicherheitsfragen. Beides ist für Mitarbeiter wenig praktikabel. Und beides hat sich gegen Angriffe von außen nicht ausreichend bewährt.
Je länger, desto sicherer
Hacker sind in der Lage kurze, vermeintlich sichere Passwörter mit Sonderzeichen schnell zu knacken. Ihr Werkzeug sind sogenannte Brute-Force-Attacken. Dahinter steckt nichts anderes als ein Software-Algorithmus, der in kurzer Zeit verschiedene Zeichenkombinationen ausprobiert. Zuerst gängige Phrasen, dann Begriffe aus dem Wörterbuch und schließlich Sonderzeichen. Mit einem Hochleistungsrechner sind so selbst Passwörter mit Sternchen, Ruf- oder Prozentzeichen schnell durchschaut. Die neue Vorgabe in vielen Unternehmen lautet daher: Länge schlägt Komplexität! Mitarbeiter sollten angehalten werden, bei ihren Passwörter weniger Sonderzeichen zu verwenden, dafür die Passwörter auf bis zu 16 Zeichen auszudehnen. Acht gelten als absolutes Minimum, zwölf erhöhen die Sicherheit signifikant, für wichtige Konten sollten sogar 16 Buchstaben und Ziffern verwendet werden.
Eselsbrücken bauen
Kann sich das noch jemand merken? Ja! Vorausgesetzt er baut sich gute Eselsbrücken. IT-Sicherheitsexperten empfehlen, Anagramme zu nutzen und damit Sätze zu bilden. Überlegen Sie sich also einen Satz wie: „Im Urlaub schlafe ich immer lange und genieße die Aussicht auf das Meer.“ Nun nutzen Sie für ein gutes Passwort nur die ersten Buchstaben: „IUsiilugdAadM“. Wenn Sie jetzt noch das i (ich) durch die Ziffer 1 und das „und“ durch ein kaufmännisches & ersetzen, haben Sie Ihr sicheres Kennwort: „IUs1il&gdAadM.“ Auch durch die Aneinanderreihung von leicht zu merkenden Wörtern ohne logischen Zusammenhang können Sie sich ein sicheres Passwort basteln. Der Phantasie sind hier keine Grenzen gesetzt.
Passwörter anlassbezogen ändern
Eine weitere gute Nachricht für Mitarbeiter ist die Tatsache, dass die regelmäßige Passwort-Änderung von vielen Sicherheitsexperten mittlerweile eher kritisch gesehen wird. Es hat sich nämlich herausgestellt, dass die meisten Menschen dazu neigen, ihre Passwörter zu vereinfachen, wenn sie sie öfter ändern müssen. Damit werden sie unsicherer. Ein zweiter Punkt: um sich Passwörter leichter merken zu können, werden diese oft nur leicht variiert. Besteht jedoch ein Anlass, beispielsweise ein Verdacht, dass Ihr Unternehmen Opfer eines Cyberangriffs geworden ist, sollten alle Mitarbeiter unverzüglich Ihre Passwörter ändern.
Passwort-Manager: ein Safe für verschiedene Zugangsdaten
Eine gute Unterstützung, um sich unterschiedliche und längere Zugangsdaten merken zu können, sind Passwort-Manager. Wie in einem Tresor können Sie hier Ihre Kennwörter in verschlüsselten Datenbanken sicher aufbewahren. Sie müssen sich nur noch das sogenannte Master-Passwort merken, um auf alle anderen zugreifen zu können. Der Passwort-Manager übernimmt dann automatisch das Einloggen auf diversen Portalen.
6 Tipps, wie Sie ein sicheres Passwort erstellen
- Tipp 1: Wählen Sie ein Passwort, das aus mindestens 8 Zeichen besteht. Grundsätzlich gilt: je länger, desto sicherer.
- Tipp 2: Verwenden Sie Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen.
- Tipp 3: Nutzen Sie eine Strategie, die Ihnen dabei hilft, sich Ihr Passwort leicht zu merken.
- Tipp 4: Vermeiden Sie Wörter, Namen, Geburtstage oder Muster (12345, abcdef,…).
- Tipp 5: Niemals ein und dasselbe Passwort für verschiedene Konten verwenden.
- Tipp 6: Nutzen Sie einen Passwort-Manager.
Schritt 3: Installieren Sie eine Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung (2FA) ist im Grunde genommen so etwas wie ein zusätzliches Sicherheitsschloss. Es ergänzt die Eingabe von Benutzernamen und Passwort wie der Name schon sagt durch einen zweiten, unabhängigen Faktor, also einen weiteren Sicherheitscode. Sobald Sie Ihr Passwort wie gewohnt eingetippt haben, werden Sie nach einem weiteren PIN gefragt. Diesen Code, der nur einmal verwendet werden kann, bekommen Sie in der Regel als SMS auf Ihr Handy. Auch eigene Smartphone-Apps können Sie nutzen. Der große Vorteil dieses Systems liegt darin, dass Hacker mit Ihrem Passwort alleine nicht weit kommen. Zusätzlich würden sie Ihr Smartphone benötigen, um den Sicherheitscode zu knacken. Gerade für Konten mit wichtigen und sensiblen Daten empfiehlt sich daher eine Zwei-Faktor-Authentifizierung. Außerdem ist es für Mitarbeiter praktikabel. Die meisten haben schließlich ihr Smartphone immer dabei.
Neben sogenannten Einmal-Kennwörtern gibt es zwei weitere Möglichkeiten, um einen zweiten Faktor ins Spiel zu bringen: Kryptographische Token und biometrische Systeme. USB-Token oder Chipkarten werden eher von größeren Unternehmen und Behörden genutzt, in denen sich Nutzer sehr häufig anmelden müssen. Biometrische Systeme überprüfen ein zuvor erfasstes, einzigartiges körperliches Merkmal, beispielsweise einen Fingerabdruck.
IT-Experten sind sich darüber einig, dass man mit einem zweiten Faktor die Sicherheit massiv steigert. Immerhin reicht dann das Wissen über das Passwort eines Nutzers nicht mehr aus, um Zugriff zu den Daten zu bekommen. Gleichzeitig werden Sie benachrichtigt, wenn auf einem anderen Gerät Ihre Log-in Daten verwendet werden. Dann können Sie schnell reagieren und beispielsweise Ihr Konto sperren.
Warum Sie sensible Daten mit einer 2-Faktor-Authenfizierung schützen sollten
Eine 2-Faktor-Authentifizierung bedeutet, dass Sie die Anmeldung an einem System oder Konto mit zwei unterschiedlichen Komponenten schützen. Faktor 1 ist in der Regel ein Passwort. Faktor 2 beispielsweise ein PIN, der auf Ihr Handy geschickt wird und den Sie zusätzlich eingeben müssen. Der große Vorteil besteht darin, dass Passwörter, die gestohlen oder entschlüsselt wurden, nicht ausreichen, um sich Zugang zu einem System zu verschaffen. Nur wer im Besitz des zweiten Faktors ist, erhält Zugriff auf die Daten.
Fazit
Die Daten in Ihrem Unternehmen sind Ihr digitales Kapital und müssen entsprechend geschützt werden. Informieren Sie sich und Ihre Mitarbeiter daher regelmäßig über aktuelle Risiken und typische Einfallstore von Cyberkriminellen. Mit der Hilfe externer Experten bleiben Sie nicht nur up-to-date. Sie garantieren auch, dass die Verhaltensregeln, die Sie für Ihre Mitarbeiter beispielsweise in punkto Passwort ausgeben, ebenso sicher wie alltagstauglich sind.