,

Security Awareness – Sicherheit leben – Teil 1: Passwörter

AdobeStock | 733962657 | SutthiphongAdobeStock | 733962657 | Sutthiphong

In den bisherigen Artikeln (Teil1, Teil2 und Teil 3, Teil 4) hatten wir dargestellt, wie ein Security Awareness Konzept aussehen kann. Sie wandten sich somit eher an Verantwortliche, die Security Awareness im Unternehmen konzeptionell betreuen und strukturiert aufbauen wollen. In dieser neuen Folge von Blogbeiträgen sollen dagegen einzelne Themen adressiert werden, die sich als Inhalte für Awarenessmaßnahmen eignen könnten.

Authentizität bei der Anmeldung

Passwörter dienen dazu, die Authentizität bei der Anmeldung an ein System oder eine Anwendung sicherzustellen. Dieses Vorgehen setzt voraus, dass nur die berechtige Person selber das Passwort kennt, das mit dem genutzten Login verbunden ist. Aus diesem Grund verbieten auch die meisten Passwortrichtlinien die Weitergabe des eigenen Passwortes an andere Personen. Gemeint sind hier vor allem personalisierte Zugänge – also Anmeldeinformationen bzw. Konten, die genau einer Person zugeordnet sind. In seltenen Fällen kann es jedoch auch erforderlich sein, dass mehrere Personen sich ein Konto „teilen“ bzw. gemeinsam nutzen. Dies kann z.B. bei sehr alten Systemen der Fall sein, welche nicht in der Lage sind, zwischen verschiedenen Konten zu unterscheiden. Bei aktuellen Systemen sollte es aber in den meisten Fällen sehr wohl möglich sein, zwischen verschiedenen Konten bzw. verschiedenen Personen zu unterscheiden. Oder anders gesagt: die Nutzung von Konten durch mehrere Personen sollte eine absolute Ausnahme sein und nach Möglichkeit vermieden werden.

Hintergrund dieser strengen Formulierung ist das Schutzziel „Zurechenbarkeit“. Aktivitäten in Systemen werden in der Art protokolliert, dass der Kontoname aufgezeichnet wird, also der Login, mit dem eine Aktivität durchgeführt wird. Bei der Aufarbeitung von Vorfällen ist es meist wichtig, präzise zuordnen zu können, welche Person problematische Aktivitäten durchgeführt hat. Wenn ein Konto also von mehreren Personen genutzt werden könnte, ist diese eindeutige Zuordnung nicht mehr möglich.

Konten sollen also durch Passwörter geschützt werden – und diese Passwörter müssen stark sein. Durch die fortschreitende Entwicklung der Rechentechnik kann es möglich sein, ein eigentlich geheimes Passwort durch einfaches „Ausprobieren“ herauszufinden. Dieses Ausprobieren dauert umso länger, je länger ein Passwort ist. Interessanterweise ist der Zusammenhang zwischen der Passwortlänge und der zum Ausprobieren benötigten Zeit nicht etwa linear, sondern eher exponentiell: eine Verdopplung der Passwortlänge bedeutet daher keine Verdopplung der benötigten Zeit, sondern eher (sehr grob gesagt) eine Vervierfachung der Zeit. Ein Passwort kann man also dadurch stärker gestalten, dass man die Passwortlänge erhöht. Mit aktueller Standardhardware geht man derzeit davon aus, dass ein Passwort mindestens 8 Stellen haben sollte, um als sicher zu gelten. Allerdings darf die Länge gerne größer gewählt werden, um Angreifern das Leben schwerer zu machen …

Passwortschutz und Multifaktorauthentifizierung

Neue Technologien im Bereich Passwortschutz und Multifaktorauthentifizierung gehen heute weit über das klassische Passwort hinaus und bieten Unternehmen deutlich mehr Sicherheit bei gleichzeitig höherem Komfort für die Mitarbeitenden. Statt sich komplizierte Kombinationen merken zu müssen, setzen moderne Lösungen auf biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung, Sicherheitsschlüssel nach dem FIDO2-Standard oder als zeitgesteuerte Einmalfreigaben (TOTP) per App. Die Idee dahinter ist einfach: Es wird nicht mehr nur ein einzelner Faktor – wie das Passwort – abgefragt, sondern eine Kombination aus Wissen, Besitz und persönlichem Merkmal. So wird das Risiko von Angriffen wie Phishing oder gestohlenen Zugangsdaten erheblich reduziert. Für Unternehmen bedeutet dies nicht nur bessere Sicherheitsstandards, sondern auch eine spürbare Entlastung in der täglichen Praxis, da die Anmeldung schneller, bequemer und gleichzeitig zuverlässiger abläuft.

Was Sie auch interessieren könnte:

Seminar:

„Security Awareness – Sicherheit leben“

Weitere Seminare finden Sie unter https://anmatho.de/seminare diese können Sie auch als individuelles Inhouse-Seminar buchen. Sprechen Sie uns gern an KONTAKT.

Podcast:

Unser Podcast “Security on Air” beschäftigt sich mit den Themen Informationssicherheit und Datenschutz. In lockerer, informativer Form werden Sie zu allen Teilbereichen und gesetzlichen Neuerungen informiert. Sie finden uns auf “Apple Podcast”, “Spotify” und “Google Podcast” sowie natürlich auf unserer Website.

Hören Sie rein!

/von
Das könnte Dich auch interessieren
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Heute eLearning
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Heute die aktualisierten ISO Normen 27001 und 27002
Mann mit Kind auf SchulternAdobe Stock | #340945027 | Maria SbytovaSicheres Arbeiten im Home-Office – Es gibt viel zu tun!
Hand zeigt auf Hologramm mit ISO in der MitteAdobeStock | #241952169 | WrightStudioDatenschutz in ein bestehendes ISMS integrieren (Teil 2 – Pflichten des Verantwortlichen)
ANMATHO Podcast Logo "Security on Air".© ANMATHO AG + AdobeStock | #129965694 | frank peters (Micro)Podcast – Security on Air – Heute IT-SiG 2.0. und NIS2
Puzzle mit ISOAdobeStock | #50043045 | DOC RABE MediaEin kleiner Blick in die Familie der ISO 2700X – Heute: die neue ISO 27002

ANMATHO AG

Beratungsunternehmen für
Informationssicherheit & Datenschutz

Winterhuder Weg 82
22085 Hamburg

Tel: +49(0)4022947190
E-Mail: info@anmatho.de

Wir sind Mitglied im:

© ANMATHO AG

Impressum

Datenschutzhinweise

Veranstaltungsbedingungen

Cookie-Einstellungen