Welt-Passwort-Tag 2021: Digitalisierung vorangetrieben und neue Herausforderungen geschaffen

84% der Remote-Mitarbeiter gaben in einer Umfrage von CyberArk an, ein identisches Passwort in mehreren Applikationen zu verwenden

[datensicherheit.de, 06.05.2021] Auch Michael Kleist, „Regional Director DACH“ bei CyberArk, geht auf den „Welt-Passwort-Tag 2021“ ein: „Viele Unternehmen haben im letzten Jahr neue Arbeits-, Kollaborations- und Kommunikationsmethoden eingeführt. Dies hat zwar die Digitalisierung im Unternehmen vorangetrieben, aber auch neue Herausforderungen für Sicherheits- und IT-Experten geschaffen.“ Jede neue Unternehmensanwendung oder jedes neue Tool stelle ein potenzielles „Identitätssilo“ mit besonderen Anforderungen an das Passwort-Management dar. Dazu gehörten unter anderem die Komplexität oder die Häufigkeit, mit der Passwörter geändert werden sollten.

Foto: CyberArk

Michael Kleist: Noch zu oft ist ein Passwort die einzige Verifizierungsmethode

Welt-Passwort-Tag 2021 gute Gelegenheit, Best Practices zu etablieren

Häufig griffen Mitarbeiter auf schwache oder bereits verwendete Passwörter zurück. Tatsächlich hätten 84 Prozent der Remote-Mitarbeiter in einer Umfrage von CyberArk angegeben, ein identisches Passwort in mehreren Applikationen zu verwenden. Kleist: „Hinzu kommt, dass Passwörter oft die einzige Verifizierungsmethode sind. IT-Profis betrachten deshalb Passwörter auch als einen der Schwachpunkte in der Unternehmenssicherheit.“
Der „Welt-Passwort-Tag 2021“ biete IT-Administratoren und Sicherheitsteams nun eine gute Gelegenheit, „Best Practices“ zu etablieren und passwort-bezogene Risiken zu reduzieren:

1. Starkes Passwort verwenden!
   Starke Passwörter enthielten verschiedene Arten von Zeichen. Angreifer benötigten einen höheren Aufwand und mehr Zeit, um sie zu hacken. „Passwörter sollten mindestens zehn Zeichen umfassen und zum Beispiel eine Kombination aus Prozentzeichen, Klammern, Groß- und Kleinbuchstaben sowie Zahlen beinhalten.“
2. Individuelles Passwort für jedes Konto vorschreiben!
   Unternehmen sollten auf die Verwendung individueller Passwörter für alle Services und Konten bestehen. „Wenn Mitarbeiter die gleichen Passwörter für mehrere Websites oder Konten nutzen, reicht es aus, wenn eines der Konten kompromittiert wird, um die anderen Konten zu gefährden.“
3. Multi-Faktor-Authentifizierung nutzen!
   Um sich sicher anzumelden, seien mehrere Arten der Authentifizierung erforderlich; dabei reiche es nicht aus, nur ein Passwort einzugeben. „Im ersten Teil des Authentifizierungsprozesses gibt der Benutzer beispielsweise ein Passwort ein. Anschließend bekommt der Benutzer in einem zweiten Authentifizierungsschritt einen Code von einer Authentifizierungssoftware auf das Mobiltelefon gesendet oder ein Code wird von einer bestimmten Anwendung auf dem Telefon generiert.“ Selbst wenn Angreifer an das Passwort gelangen, hätten sie dann ohne den zweiten Teil der Authentifizierung keinen Zugriff auf das Konto.
4. Risiko lokaler Admin-Konten auf Workstations vermeiden!
   „Schwache Passwörter und Enduser mit lokalen Admin-Rechten auf ihren Workstations stellen ein erhebliches Sicherheitsrisiko für Unternehmen dar. Zahlreiche Angriffe beginnen zunächst auf Endpunkten, etwa wenn sich Angreifer durch eine Phishing-Attacke Zugang verschaffen oder wenn Mitarbeiter versehentlich eine schädliche Anwendung herunterladen und ausführen.“ In vielen Fällen zielten Angreifer gerade darauf ab, privilegierte Zugangsdaten auf den Workstations zu entwenden.

Welt-Passwort-Tag 2021 als Anlass, lokale Admin-Rechte von Enduser-Workstations ganz zu entfernen

Privilegierte Zugangsdaten wie Admin-Rechte ermöglichten Angreifern, sich seitwärts zu bewegen, bis sie sich Zugang zu Systemen mit sensiblen Informationen oder Geistigem Eigentum verschaffen können. „Um dieses Risiko zu verringern, sollten Unternehmen als wichtige Sicherheitsmaßnahme die lokalen Admin-Zugangsdaten – einschließlich des im Betriebssystem integrierten lokalen Accounts – in regelmäßigen Abständen ändern“, sagt Kleist.
Zudem sollten Unternehmen in Erwägung ziehen, lokale Admin-Rechte von Enduser-Workstations ganz zu entfernen, um das Angriffsrisiko vom Endpunkt aus weiter zu reduzieren.

Weitere Informationen zum Thema:

datensicherheit.de, 06.05.2021
G DATA CyberDefense: 5 Tipps zum Welt-Passwort-Tag 2021 / Änderung des Passworts aus wichtigem Grund erforderlich – aber nicht pauschal sinnvoll

datensicherheit.de, 04.05.2021
6. Mai 2021 ist Welt-Passwort-Tag: Avira gibt 4 Tipps für starke Passwörter / In 80 Prozent der Fälle gehackter Online-Konten schwaches Passwort Ursache

CYBERARK, Amy Burnis, 18.09.2018
Ten Steps for Securing Privileged Access