PasswortsicherheitDie richtige Strategie
Immer häufiger werden Behörden und Unternehmen Opfer von immer komplexer werdenden Cyber-Angriffen. Dabei fällt es den Organisationen schwer, effektive Sicherheitsrichtlinien umzusetzen. Schwache, mehrfach verwendete Passwörter stellen eine der häufigsten Sicherheitsbedrohungen dar und der laxe Umgang damit ist eine weit verbreitete schlechte Angewohnheit. Doch selbst wenn sie Passwort-Manager verwenden, haben Organisationen Schwierigkeiten oft zu quantifizieren, wie hoch ihr Risiko durch schlechte Passwortsicherheit ist. Ihnen fehlt der Einblick in das Verhalten ihrer Mitarbeiter. Und sie können nicht überprüfen, wo sie im Vergleich zu anderen Behörden oder vergleichbaren Organisationen stehen.
Einen fundierten Einblick gibt der aktuelle Globale Passwort-Sicherheits-Report des Unternehmens LogMeIn. Darin wurden die Passwortgewohnheiten der Mitarbeiter von 43.000 Unternehmen und Organisationen aller Größen und Sektoren analysiert, die den Passwort-Manager LastPass verwenden. Der Bericht zeigt nicht nur den Umgang mit Passwörtern auf, sondern bietet IT-Experten auch einen fundierten Vergleich, wie eine Organisation im Vergleich zu ähnlichen abschneidet und wie sich ihre Passwortsicherheit verbessern ließe. Der LastPass-Sicherheitswert ist ein Benchmark-Wert zwischen 0 und 100. Ermittelt wird er durch die Anzahl der mehrfach verwendeten Passwörter, die Anzahl der als nicht sicher eingestuften Seiten aufgrund von öffentlich bekanntgewordenen Datenschutzverletzungen, die Anzahl der schwachen Passwörter, die durchschnittliche Qualität jedes Passworts, die Qualität der freigegebenen Passwörter sowie den Multifaktor-Authentifizierungswert.
Sicherheitsstandards einhalten
Die Auswertung der LastPass-Daten belegt, dass die meisten Organisationen Passwortsicherheit mittelmäßig konsequent betreiben und das Passwortrisiko unabhängig von Größe, Branche und Standort ist. Je größer eine Organisation ist, desto niedriger ist aber ihr Sicherheitswert im Durchschnitt. Mehr Beschäftigte bedeuten mehr Passwörter und nicht genehmigte Apps und somit zusätzliche Gelegenheiten für Mitarbeiter, ein riskantes und gefährliches Passwortverhalten an den Tag zu legen. In größeren Unternehmen gestaltet es sich für die IT deshalb viel schwieriger, alle Beschäftigten dazu zu bringen, die Passwortsicherheitsstandards einzuhalten. In Organisationen mit kleinerem Mitarbeiterstamm ist es einfacher, sichere Passwörter und eine mehrstufige Authentifizierung für alle Mitarbeiter zu gewährleisten.
Ein gutes Beispiel für die Herausforderungen, die mit der Organisationsgröße wachsen, ist die gemeinsame Nutzung von Zugangsdaten. Im Durchschnitt teilt ein bestimmter Mitarbeiter etwa sechs Passwörter mit seinen Kollegen. Bereits in einem Unternehmen mit 100 Mitarbeitern sind die Auswirkungen dessen enorm. Die gemeinsame Nutzung von Passwörtern ist sowohl für Mitarbeiter als auch für IT-Administratoren frustrierend, da die Benutzer auf die Verwendung von schwachen, aber leicht einzuprägenden Passwörtern zurückgreifen, die potenzielle Einfallstore für Cyber-Angriffe darstellen. Da Teams immer verteilter und technologieabhängiger agieren, wird es für Unternehmen immer komplizierter, aber auch unerlässlich, gemeinsame Passwörter zu schützen, zu verfolgen und zu auditieren.
Höchste Werte für deutsche Behörden
Die gute Nachricht für deutsche Behörden: Sie erreichten im Passwort-Sicherheits-Report mit Abstand den höchsten Sicherheitswert 86. Auch für Europa ist der Sicherheitswert der deutschen Behörden ein Ausrufezeichen, liegt doch der Durchschnittswert bei europäischen Behörden bei 43. Zum Vergleich: Weit abgeschlagen ist in Deutschland die Banken- und Finanzbranche mit 38 Zählern. Grundsätzlich liegen die Sicherheitswerte aller befragten deutschen Organisationen über dem weltweiten Durchschnitt. Defizite zeigen sich nur in der Multifaktor-Authentifizierung: Gerade einmal drei Prozent nutzen diese Möglichkeit, Konten zu sichern. Dabei ist und bleibt diese die optimale Vorgehensweise gegen Kontozugriffe von außen. Hierbei sind die USA Vorreiter: 65 Prozent aller Unternehmen, die mit Multifaktor-Authentifizierung arbeiten, sind dort ansässig.
IT-Sicherheit zu verbessern, ist eine kontinuierliche Aufgabe – effizienteres Passwort-Management dagegen lässt sich unabhängig von Größe, Branche und Standort vergleichsweise einfach umsetzen. Bereits ein Jahr nach der Implementierung eines Passwort-Managers, so die Analyse, können die meisten Organisationen ihren Sicherheitswert um durchschnittlich fast 15 Punkte verbessern. Außerdem werden die Produktivität, die Markenwahrnehmung und die Mitarbeiterzufriedenheit erhöht. Da immer mehr Unternehmen und auch Behörden BYOD-Richtlinien (Bring Your Own Device) umsetzen und Netzwerke für zuvor nicht genehmigte Geräte und Anwendungen öffnen, müssen IT-Führungskräfte ihre Einstellung zur Passwortsicherheit ändern. Transparenz ist der Schlüssel: Man kann Sicherheit nicht messen, wenn man kein System hat, das Einblicke in potenzielle Risikobereiche gewährt.
Leistungen des Passwort-Managers
Mit dem Log-in eines jeden Mitarbeiters bröckelt die Datensicherheit. Ein Passwort-Manager ist hierbei nicht nur ein sicheres Tor, das Hacker-Angriffe abhält, er hilft Behörden auch, die Wirksamkeit mittel- und langfristig zu beurteilen und zu kontrollieren. Ein Passwort-Manager sollte zufällige Passwörter generieren, rollenbasierte Berechtigungen auf Passwörter anwenden und Kontrolle über gemeinsam genutzte Zugangsdaten bieten. Zusätzliche Sicherheit erwirkt er durch die Multifaktor-Authentifizierung oder das Außerkraftsetzen von Zugangsdaten, wenn Mitarbeiter beispielsweise die Behörde verlassen.
Passwort-Management bedeutet Change Management. Um sie mit ins Boot zu holen, sollten Organisationen alle Mitarbeiter über Richtlinien und Best Practices informieren, den Passwort-Manager in das Sicherheitsschulungsprogramm integrieren und sicherstellen, dass alle neuen Mitarbeiter entsprechend geschult werden. Ferner sollte das Tool nebst Erläuterungen zu dessen Verwendung bereitgestellt und ein Kontakt genannt werden, an den sich die Nutzer bei Fragen wenden können. Der Fortschritt lässt sich mithilfe von Reporting-Tools überwachen. Diese decken potenzielle Sicherheitslücken wie schwache und mehrfach verwendete Passwörter, niedrige Sicherheits- und Passwortqualitätswerte oder inaktive Konten auf.
Baden-Württemberg/Bayern/Hessen: Kooperation für starke IT-Sicherheit
[11.12.2024] Die Cybersicherheitsagentur Baden-Württemberg, das bayerische Landesamt für Sicherheit in der Informationstechnik und Hessens CyberCompetenceCenter bündeln ihre Kräfte. Gemeinsam wollen sie eine schlagkräftige Allianz für mehr IT-Sicherheit bilden. mehr...
Sachsen: Tausende Cyberattacken auf Landesbehörden
[02.12.2024] Der Jahresbericht Informationssicherheit bilanziert den Stand der Cybersicherheit in der sächsischen Verwaltung. Angriffe auf Behörden nehmen demnach zu – so wurde rund die Hälfte der eingehenden Mails blockiert. Maßnahmen wie die NIS2-Umsetzung und eine 24/7-Bereitschaft beim SAX.CERT stärken den Schutz. mehr...
BSI: Bericht zur Lage der IT-Sicherheit
[12.11.2024] Die Bedrohungslage bliebt angespannt, die Resilienz gegen Cyberangriffe aber ist gestiegen. Das geht aus dem aktuellen Bericht zur Lage der IT-Sicherheit in Deutschland hervor, den das Bundesamt für Sicherheit in der Informationstechnik (BSI) nun vorgestellt hat. mehr...
BSI: Sachsen testet Telefonie-Lösung für Verschlusssachen
[11.11.2024] Sachsens Ministerpräsident Kretschmer und Landes-CIO Popp informierten sich bei einem Besuch des BSI-Standorts Freital über hochsichere Kommunikationstechnik. Ein Testbetrieb für die Verschlusssachen-Telefonie-Lösung ist im Freistaat geplant. mehr...
Niedersachsen: NIS2-Richtlinie umgesetzt
[04.11.2024] Niedersachsen setzt als eines der ersten Bundesländer die NIS2-Richtlinie der EU zur Cybersicherheit in der Verwaltung um. Die neue Verwaltungsvorschrift, die Benennung einer zuständigen Behörde für Cybersicherheit und die Einrichtung eines Notfallteams sollen die IT-Sicherheit in besonders kritischen Bereichen stärken. mehr...
Hessen: Höhere Cybersicherheit
[01.11.2024] Mit dem Aktionsprogramm Kommunale Cybersicherheit sollen hessische Kommunen umfassender in der IT-Sicherheit unterstützt und auf künftige Cyberangriffe vorbereitet werden. mehr...
Thüringen: Datenschutzbericht übergeben
[30.10.2024] Thüringens Ministerpräsident Bodo Ramelow traf sich am Dienstagnachmittag, den 24. September, mit dem Landesbeauftragten für Datenschutz und Informationsfreiheit (TLfDI) des Freistaats Thüringen, Tino Melzer. Im Rahmen des Gesprächs überreichte Melzer seinen Tätigkeitsbericht für das Jahr 2023 an den Ministerpräsidenten. mehr...
Sachsen-Anhalt: Mehr IT-Sicherheit für Kommunen
[29.10.2024] Um die Cybersicherheit in Sachsen-Anhalts Kommunen zu stärken, startete das Land gemeinsam mit dem BSI das Pilotprojekt „SicherKommunal“. Durch das Projekt sollen Städte, Landkreise und Gemeinden gezielt bei der Verbesserung ihrer IT- und Informationssicherheit unterstützt werden. mehr...
it-sa: So steht es um die Cybernation Deutschland
[25.10.2024] Zum Stand der Initiative „Cybernation Deutschland“, den BSI-Grundschutz der Zukunft und über die NIS2-Richtlinie informierte die BSI-Präsidentin Claudia Plattner auf der Kongressmesse it-sa in Nürnberg (22. bis 24. Oktober 2024). mehr...
Utimaco/genoa: Sichere Telearbeit für VS-NfD-Umgebungen
[23.10.2024] Utimaco und genua haben die genusecure-Suite entwickelt, um den Anforderungen an sicheres mobiles Arbeiten in VS-NfD-Umgebungen gerecht zu werden. Die Lösung kombiniert Festplattenverschlüsselung und VPN-Technologie, zugelassen vom BSI, um Behörden und Unternehmen datenschutzkonforme Telearbeitsplätze zu bieten. mehr...
Bayern: Cyberabwehr gemeinsam stärken
[21.10.2024] Bei einer gemeinsamen Übung haben Bayerns Cybersicherheitsbehörden ihre Reaktionsfähigkeit auf komplexe Cyberangriffe getestet. Im Fokus standen übergreifende Kommunikation und die Entwicklung gemeinsamer Lösungen, um Kritische Infrastrukturen und Verwaltung besser zu schützen. mehr...
Bundesdruckerei: Cybersicherheit für das Quantenzeitalter
[18.10.2024] Die Bundesdruckerei erprobt neue kryptografische Methoden, um die Kommunikation der öffentlichen Verwaltung auch im Quantenzeitalter sicher zu gestalten. Unterstützt vom BSI testet sie eine quantensichere Public-Key-Infrastruktur, die künftig für sichere Identifikation und verschlüsselte Kommunikation sorgen soll. mehr...
Rheinland-Pfalz: Landesverwaltung setzt NIS2 um
[10.10.2024] Bis zum 17. Oktober müssen die EU-Mitgliedstaaten die NIS2-Richtlinie in nationales Recht umsetzen. Mit der Verabschiedung einer Verwaltungsvorschrift hat das Land Rheinland-Pfalz jetzt die entsprechenden rechtlichen Regelungen hierfür getroffen. mehr...
Bayern: Gemeinsam gegen Cybercrime
[26.09.2024] Die Bedrohungslage im Bereich Cybersicherheit hat sich in Bayern weiter verschärft. Laut dem neuen Cybersicherheitsbericht 2024 des Freistaats werden immer mehr kleine und mittelständische Unternehmen sowie Behörden Opfer von Cyberangriffen. mehr...
Niedersachsen: Sicherheit im Cyberspace
[25.09.2024] Eine neue Cybersicherheitsstrategie soll das Land Niedersachsen besser vor digitalen Bedrohungen schützen. Das jetzt von der Landesregierung verabschiedete Konzept umfasst zwölf Handlungsfelder und bindet alle gesellschaftlichen Akteure ein. mehr...