Lesedauer ca. 5 Minuten
Ihre Mitarbeiter sollten grundsätzlich sichere Passwörter erstellen. Dies gilt sowohl für die Legitimierung des eigenen Rechners am Arbeitsplatz als auch für die Zugangsdaten von Benutzerkonten aus den Bereichen ERP, CRM und weiteren Unternehmenssystemen. Denn vergessen Sie eines niemals: Sie als Geschäftsführer haben an sicheren Passwörtern ein wesentliches Interesse. Schließlich müssen Sie im schlimmsten Fall die persönliche Haftung für fahrlässiges Handeln im Rahmen der IT Sicherheit übernehmen.

Deshalb müssen Sie auch die Voraussetzungen dafür schaffen, dass Ihre Mitarbeiter im Arbeitsalltag sichere Passwörter erstellen. Welche Schritte dazu im Detail berücksichtigt werden müssen, will ich Ihnen nun im Rahmen einer „Checkliste für das Erstellen sicherer Passwörter“ verraten.

Schritt 1: Je mehr Zeichen, desto besser

Die Vorgabe lautet: Das Passwort sollte mindestens acht Zeichen haben. Besser ist aber, wenn es noch länger ist. Der Grund dafür liegt darin, dass es eine Reihe von Möglichkeiten gibt, wie Passwörter generell geknackt werden können. Eine vergleichsweise einfache Methode ist das systematische Durchprobieren von Buchstaben- und Zahlenkombinationen – der sogenannte Brute-Force-Angriff (aus dem Englischen: Angriff mit roher Gewalt).

Spezielle Software-Programme sind nämlich in der Lage, pro Sekunde über zwei Milliarden verschiedene Schlüssel zu generieren. Wenn man seinen PC also zum Beispiel mit einem siebenstelligen Passwort – ausschließlich bestehend aus Kleinbuchstaben geschützt hat – gibt es insgesamt acht Milliarden Schlüssel. Das Programm knackt dieses also in gerade einmal vier Sekunden. Ist das Passwort nur ein Kleinbuchstabe länger, erhöht sich die Zeit, in der die Kombinationen ausprobiert werden, bereits um das 26-Fache! Und stellen Sie sich vor, Sie verwenden noch zusätzlich Sonderzeichen und Ziffern.

Aus mathematischer Sicht entscheidet daher die Länge des Passwortes über die Sicherheit der dahinter verborgenen Daten. Zusammengefasst gilt deshalb: Je mehr Zeichen ein Passwort hat, desto länger dauert eine Brute-Force-Attacke.

Schritt 2: Groß- und Kleinschreibung nutzen

Die Argumentation, die hinter dieser Bedingung steckt, ist eigentlich ganz logisch. Denn: Nicht nur die Länge entscheidet über die Dauer einer Brute-Force-Attacke, sondern ebenso die möglichen Kombinationen. Für ein achtstelliges Passwort, welches aus Groß- und Kleinbuchstaben sowie Ziffern besteht, wird unser Beispiel-PC rund einen ganzen Tag benötigen, um alle Kombinationen auszuprobieren. Der Einsatz von Sonderzeichen erhöht die Komplexität noch einmal zusätzlich und somit auch die Dauer des Suchvorgangs.

Schritt 3: Keine bekannten Namen oder Daten verwenden

Wenn Sie sichere Passwörter erstellen wollen, sind Namen von Familienmitgliedern, des Haustieres, des besten Freundes, des Lieblingsstars oder deren Geburtsdaten absolut tabu.Nachdem wir jetzt gelernt haben, dass Passwörter möglichst lang und komplex sein müssen, glauben Sie das Sammy1408! ein gutes Passwort ist? Na klar, dürften Sie jetzt zunächst denken. Ist doch alles wie gewünscht: Groß- und Kleinbuchstaben sind genauso enthalten, wie Zahlen und sogar ein Sonderzeichen ist dabei. Darüber hinaus hat das Passwort sogar zehn Stellen.

Das ist ja auch richtig und ein Brute-Force-Angriff für sich alleine betrachtet, würde dafür auch über zwölf Jahre dauern. Aber eine Gegenfrage: Wie lange würde ein Arbeitskollege oder ein Bekannter dafür benötigen? Ihr Hund heißt vielleicht Sammy und Sie sind am 14.08. geboren? Ich denke, Sie wissen, worauf ich hinaus möchte: Ihr berufliches oder privates Umfeld kann solche Passwörter nämlich mit Leichtigkeit erraten. Verzichten Sie daher lieber auf solche Bestandteile.

Schritt 4: Das Passwort sollte nicht in Wörterbüchern vorkommen

Eine weitere Methode, wie man ein Passwort knacken kann, ist der sogenannte Wörterbuchangriff (dictionary attack). Dieses Verfahren wird angewandt, wenn der Angreifer davon ausgeht, dass das Passwort aus einer sinnvollen Zeichenkombination besteht. Wenn Ihr Passwort also in einem Wörterbuch zu finden ist, sollten Sie dieses möglichst bald abändern. Denn: Das Risiko eines erfolgreichen Angriffs – und den verbundenen negativen Konsequenzen für Sie ganz persönlich – nimmt damit nämlich stark zu.

Schritt 5: Keine gängigen Wiederholungs- oder Tastaturmuster

Beispiele hierfür wären die Kombinationen asdfgh oder 1234abcd. Darüber hinaus ist es ebenfalls nicht empfehlenswert, einfache Ziffern am Ende des Passwortes anzuhängen oder eines der üblichen Sonderzeichen $ ! ? # am Anfang oder Ende eines ansonsten simplen Passwortes zu ergänzen. Ganz einfach deswegen, weil ein solches Verhalten vorhersehbar ist und von Angreifern im Übrigen bereits berücksichtigt wird.

Schritt 6: Ein Passwort pro Benutzerkonto

Der Grund liegt darin, dass die obigen Angriffsmethoden nur dann funktionieren, wenn beispielsweise keine Kontosperrung implementiert wurde. Denn für gewöhnlich werden nach einer bestimmten Anzahl an Fehlversuchen Konten gesperrt. Dazu kommt noch, dass die Angriffe recht „laut“ sind. Mit anderen Worten: Der Eindringling hinterlässt Spuren in den Protokolldateien des Servers. Wenn Sie aber das gleiche Passwort bei fünf verschiedenen Accounts nutzen und nur bei einem einzelnen Dienst keine Kontosperrung implementiert ist und ein Angriff unbemerkt bleibt, was passiert dann? In diesem Fall könnten Ihre Benutzerkonten von allen fünf Diensten kompromittiert sein.

Schritt 7: Setzen Sie Passwort Manager ein

In der Realität ist es für die meisten Menschen fast unmöglich, alle obigen Punkte zu befolgen und sich mehrere so komplexe Passwörter zu merken. Die Konsequenz wird sein, dass die obigen Regeln nicht befolgt oder Passwörter unsicher notiert werden. Verwenden Sie daher einen Passwort-Manager, um Ihre möglichst komplexen Passwörter adäquat zu verwalten. Letztendlich tragen Sie auf diese Weise zum Vertrauen Ihrer Kunden und Dienstleister in Ihre innerbetrieblichen Prozesse entscheidend bei.

Fazit

Wenn Sie sich an unsere „Checkliste zur Erstellung von sicheren Passwörtern“ konsequent halten, reduzieren Sie die Wahrscheinlichkeit eines erfolgreichen externen Angriffs auf Ihr Netzwerk. Zudem müssen Sie eine persönliche Haftung Ihrerseits für die IT Sicherheit weniger fürchten, schließlich sind Sie angemessen auf eine Attacke zum Knacken von Passwörtern vorbereitet.

(Der Artikel ist im Original am 9. März auf BRANDMAUER IT Security erschienen)

TitelbildPetrBonek / iStock / Thinkstockphotos
Eric Weis
Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!