Das Phänomen „Passwörter auf Post-its“ stoppen

Andere Formen der elektronischen Identifizierung sind in den Vordergrund gerückt, beispielsweise Smartcards, Tokens und verschiedene biometrische Schlüssel, aber bis heute ist diese Technologie nicht so unkompliziert, benutzerfreundlich und praktisch wie das einfache Passwort.

Weil Technologie in unserem Leben eine zunehmend größere Rolle spielt – denken Sie nur an das Internet der Dinge – ist der Bedarf für Benutzerkonten, Passwörter und Antworten auf Sicherheitsfragen so hoch wie nie zuvor.

In solch einer Atmosphäre können Mitarbeiter leicht selbstgefällig werden, wie sie ihre Passwörter aufzeichnen und verwenden. Das hat zu einer Post-it-Kultur bei Passwörtern geführt, wobei 30 % der Mitarbeiter sogar ihre Passwörter aufschreiben. Auch wenn Schlüssel nicht wirklich auf kleine gelbe Zettel geschrieben und an Computerbildschirme geklebt werden, so könnten sie es doch ebenso gut sein.

Diese Kultur wird durch die umsetzungsorientierte Einstellung der Mitarbeiter in Unternehmen unterstützt, die in ihrer endlosen Effizienz in der Lage sind, Sicherheitsmaßnahmen zu umgehen. Eine Studie von Dell fand heraus, dass fast 70 % der IT-Mitarbeiter Lösungen, mit denen Mitarbeiter die Sicherheitsmaßnahmen der IT-Abteilung umgehen, als das größte Risiko für eine Organisation betrachten.

Wie IT-Abteilungen die digitale Sicherheit unterstützen können

Unternehmensweite Sensibilisierung für Unternehmensrichtlinien

Eine aufschlussreiche Statistik fand heraus, dass 61 % der Mitarbeiter die Passwort-Richtlinien ihres Unternehmens nicht kennen oder nicht wissen, ob es diese gibt. Ohne klar definierte Richtlinien für die Verwendung von Passwörtern kann die Bedeutung von Passwörtern leicht übersehen werden und es gibt keinen Anreiz für Mitarbeiter, nicht den Weg des geringsten Widerstands zu wählen – ein einfaches Passwort, das sich leicht merken und ebenso leicht erraten lässt.  

Es ist wesentlich wahrscheinlicher, dass Mitarbeiter ein Sicherheitsbewusstsein entwickeln, wenn eine strenge Richtlinie durch Schulungen zur Notwendigkeit und Funktionsweise von Sicherheitsmaßnahmen unterstützt wird. Mike Hanley, Program Manager bei Duo Security, plädiert dafür, „Sicherheitshygiene“ zu lehren, wobei allgemeine, unternehmensspezifische Sicherheitseinhaltungen demonstriert und von Mitarbeitern verinnerlicht werden, um den Druck auf die IT-Ressourcen zu reduzieren.

Wenn nur 39 % der befragten Mitarbeiter angeben, dass ihr Unternehmen eine klare Passwort-Richtlinie hat, ist es entscheidend, dass Organisationen strenge Richtlinien formulieren und diese in offiziellen Sitzungen an die Mitarbeiter weitergeben, um sicherzustellen, dass alle Teams an einem Strang ziehen. 

Mit dem Anstieg der digitalen Zugangspunkte von Mitarbeitern erhöht sich auch die Verwendung leicht zu erinnernder Passwörter sowie die Nutzung desselben Passworts für mehrere Konten. Das stellt eine enorme Bedrohung selbst für die besten Sicherheitssysteme dar. Richtlinien sollten Bequemlichkeit bei Passwörtern nicht zulassen und Mitarbeiter zwingen, komplexe Passwörter zu erstellen, die jeweils nur für ein Konto verwendet werden.

Kontinuierliche IT-Schulung

Die Online-Sicherheit von Unternehmen kann nur so gut sein wie die Mitarbeiter, die sich daran halten. Laut Cheryl Biswas, IT Coordinator bei JIG Technologies, führt das anhaltende Engagement für IT-Sicherheit dazu, dass es ein bekanntes und zugängliches Thema wird.

Einzelne Sicherheitsthemen sollten in Schulungseinheiten aufgeteilt werden. Beispielsweise könnte sich eine Schulung damit beschäftigen, wie man verdächtige Links erkennt und potenzielle Bedrohungen können mit Tools wie URLQuery.net analysiert werden.

Monatliche Newsletter können kleinere Artikel oder Tipps zur IT-Sicherheit verbreiten, die die Informationen aus den Schulungen ergänzen. Das Gelernte kann dann in regelmäßigen Tests überprüft werden, um die Nutzersensibilisierung gegebenenfalls zu verbessern. 

Unternehmen müssen ein Verständnis dafür entwickeln, dass sich digitale Sicherheit nicht nur auf geteilte Links bezieht, sondern auch auf bewährte Praktiken online und das entsprechend an die Mitarbeiter weitergeben.

Anmeldeverhalten durchsetzen

Das Passwortverhalten einzelner Mitarbeiter kann verbessert werden, wenn die IT-Teams die Online-Umgebung optimieren und bestimmte Sicherheitsmaßnahmen einrichten, wie beispielsweise Kontosperrung und Throttling. Systeme sollten so konfiguriert sein, dass Nutzer bei der Passworteingabe eine beschränkte Anzahl an Versuchen haben, bevor ihr Konto gesperrt wird.

Eine schwarze Liste mit Passwörtern kann eine effektive Sicherheitsmaßnahme sein, während die Schutzüberwachung auch der Abwehr von Brute-Force-Attacken dient und eine realistische Alternative zur Kontensperrung sein kann.

Mobile Nutzer

Die Verbreitung der Cloud-Technologie, Telearbeit und eine beliebige Anzahl von Mobilgeräten bedeutet, dass die Mobilitätsrichtlinie jetzt ganz besonders wichtig für Organisationen ist, die ihre IT-Sicherheit maximieren wollen. Etwa 55 % der US-Unternehmen verfügen jetzt über eine solche Richtlinie für Nutzer von Privatgeräten (Bring You Own Device, BYOD), ein Trend, der sich fortsetzen wird, da am Arbeitsplatz häufiger mit Smartphones, Tablets und Computern gearbeitet wird.

Die Sicherheit sollte für externe Mitarbeiter oder Nutzer von Privatgeräten verbessert werden, z. B. durch Zwei-Stufen-Authentifizierung. Leider werden Sicherheitsmaßnahmen als Behinderung der Produktivität betrachtet. IT-Abteilungen sollten sich dessen bewusst sein und darauf achten, dass sie die Fähigkeit von Nutzern entfernen, Sicherheitsfunktionen zu deaktivieren.

Überlegen Sie, ein System einzurichten, das externen Mitarbeitern den sicheren Zugriff auf das Netzwerk Ihrer Organisation ermöglicht. Technologien, wie z. B. Virtual Private Network (VPN) Software, verschlüsseln die Daten von externen Mitarbeitern und können neben Tools laufen, die sicherstellen, dass externe Computer aktuelle Sicherheitspatches haben und richtig konfiguriert sind.

Aktuelle Verbesserungen der VPN-Technologie erlauben ein höheres Maß an Verschlüsselung und die Technologie steht auf wesentlich mehr Hardware zur Verfügung. Die Entscheidung für ein SSL-VPN ermöglicht Nutzern den sicheren Zugriff, ohne sperrige Client Software installieren zu müssen. Allerdings könnte die Kompatibilität mit alten Betriebssystemen oder alter Hardware ein Problem darstellen. Informieren Sie sich deshalb über potenzielle Kompatibilitätsprobleme, bevor Sie sich für eine Lösung entscheiden.

Schlussfolgerung

Die Cybersicherheit von Organisationen beschränkt sich nicht nur auf die Verwendung von Passwörtern, sondern sie ist auch auf die Zusammenarbeit aller Gruppen innerhalb eines Unternehmens angewiesen, sich neue Techniken und Einstellungen anzueignen, die die Online-Sicherheit erhöhen.

Mit Schulungen und einem verbesserten Sicherheitsbewusstsein können Unternehmen gesunde und fundierte Einstellungen zur Sicherheit fördern, die für alle Beteiligten wichtig ist.