/ Vergiss 123456! Mehr Passwortsicherheit für dein Unternehmen
20 Feb 2025
Nordpass, ein Anbieter eines Passwort-Managers, ermittelt Jahr für Jahr Passwörter, die Menschen privat und beruflich nutzen. Das ernüchternde Ergebnis: Die Plätze 1, 2 und 3 werden von den Kombinationen 123456, 123456789 und 12345678 belegt.
Auch nicht besser: Auf Platz 4 befindet sich ein Wort - password.
Hacker benötigen weniger als eine Sekunde, um diese Passwörter zu knacken. Vielleicht fühlst du dich gerade ein wenig unwohl, weil auch du schon einmal eine dieser Kombinationen genutzt hast - oder immer noch nutzt? Schon klar, sich für jedes Programm ein eigenes, möglichst sicheres Passwort auszudenken, ist aufwendig. Aber mit Kombinationen wie 123456 spielst du russisches Roulette mit deiner digitalen Sicherheit und riskierst, deinem Unternehmen grosse Schäden zuzufügen. Lass uns deshalb jetzt einen Blick darauf werfen, was sichere Passwörter für Unternehmen ausmachen und wie du sie effizient verwalten kannst.
Hacker haben in der Regel nur ein Ziel: Sie möchten sich Zugang zu Daten verschaffen. Diese werden dann für verschiedene Zwecke weitergenutzt, zum Beispiel verändert, verschlüsselt oder verkauft. Am häufigsten gelingt der Zugriff auf sensible Informationen über geknackte Passwörter. Dafür nutzen Hacker unterschiedliche Strategien.
Eine davon ist der Ankauf gestohlener Zugangsdaten. Immer wieder gelingt es Cyberkriminellen, Kombinationen aus Benutzername und Passwort von grossen Plattformen wie Facebook abzugreifen. Anschliessend werden diese Daten oftmals im Darknet verkauft. Andere Hacker erhalten so nachweislich funktionierende Passwortkombinationen, die sie systematisch auf weiteren Plattformen ausprobieren können - denn Hand aufs Herz, für wie viele unterschiedliche Programme nutzt du dasselbe Passwort? Der Fachbegriff hierfür ist übrigens Credential Stuffing.
Eine weitere Methode für Cyberangriffe durch schwache Passwortsysteme in Unternehmen sind sogenannte Brute-Force-Angriffe. Dabei nutzen Hacker Tools, die automatisiert in kürzester Zeit verschiedene Kombinationen von Benutzernamen und Passwörtern ausprobieren. Je einfacher das Passwort dabei aufgebaut ist - zum Beispiel Buchstaben, die ein sinnvolles Wort ergeben, Tastaturkombinationen oder eben aufeinanderfolgende Zahlen - desto schneller führt diese Methode zum Erfolg.
Entwickler haben allerdings auf die Brute-Force-Angriffe reagiert. Viele Programme werden nun bei gehäuften Login-Versuche misstrauisch und sperren bei zu vielen Fehlversuchen die Anmeldemöglichkeit. Daraufhin haben Hacker eine andere Strategie entwickelt, die auf der Ausnutzung einfacher Passwörter basiert, das sogenannte Passwort Spraying. Dabei vertrauen die Cyberkriminellen darauf, dass in einem grossen Unternehmen mindestens eine Person ein Standard-Passwort nutzt - 123456 zum Beispiel. Oft reicht das schon, um sich Zugang zu verschaffen. Wenn nicht, versuchen es die Hacker einfach mit dem nächsten, bis sie erfolgreich sind.
Es gibt noch einige weitere Methoden, mit denen sich Hacker Zugriff zu sensiblen Daten verschaffen. Sie alle haben aber dieselbe Grundlage: die Ausnutzung einfacher Passwörter. Welche Gefahren das für Unternehmen birgt, erfährst du im nächsten Abschnitt.
Die Risiken unsicherer Passwörter und dem daraus resultierenden Zugriff von Hackern auf firmeninterne Daten sind vielfältig. Einige besonders prominente Beispiele zeigen, wie gravierend die Folgen sein können. Im Jahr 2021 wurde beispielsweise Colonial Pipeline, eine Betreiberfirma der grössten Pipeline in den USA, gehackt. Infolgedessen wurden die Rohre vorsorglich vom Netz genommen; die Öl- und Benzinversorgung musste mit Tanklastern erfolgen. Im Fernseher konnte man Menschen sehen, die verzweifelt Sprit in alle möglichen Kanister füllten, weil nicht absehbar war, wann die Benzinversorgung wieder hergestellt sein würde. Den Zugriff hatten sich Hacker über ein schwaches Passwort verschafft - und Colonial Pipeline musste mit mehr als 4 Millionen US-Dollar dafür bezahlen.
Ebenfalls im Jahr 2021 deckte das Hacker-Kollektiv Zerforschung gleich mehrmals Sicherheitslücken in Corona-Testzentren auf. Mit erschreckend wenig Aufwand aufgrund schwacher Passwörter gelang es den ehrenamtlichen Hackern, mehr als 80.000 Testergebnisse einzusehen - gemeinsam mit den dazugehörigen Namen, Adressen und Telefonnummern. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland zeigte sich entsetzt, wie fahrlässig die Verantwortlichen mit Gesundheitsdaten umgingen.
Weniger glimpflich kam die Luftfahrtgesellschaft British Airways im Jahr 2018 weg. Aufgrund einer Sicherheitslücke - auch hier ging es um die Ausnutzung einfacher Passwörter - konnten sich Cyberkriminelle Zugriff auf knapp 400.000 Kundendaten verschaffen, zu denen auch Kreditkarteninformationen gehörten. Den Angriff hätte das Unternehmen verhindern können - zu diesem Schluss kam das Information Commissioner's Office in London. Deshalb musste British Airways eine Geldstrafe von umgerechnet 22 Millionen Euro bezahlen.
Diese Beispiele zeigen: Wenn sich Hacker Zugriff auf Unternehmensdaten verschaffen, nimmt das meist ein böses Ende. Sie greifen sensible Informationen ab und verkaufen sie, verschlüsseln sie und geben sie erst nach einer Lösegeldzahlung wieder frei, sie können sich Zugang zu Bankkonten verschaffen, Schadprogramme im gesamten Unternehmen verteilen oder die Server lahmlegen. Um diesem Schicksal zu entgehen, solltest du alles daran setzen, sichere Passwörter für dein Unternehmen zu etablieren.
Als Inhaber eines kleineren oder mittleren Unternehmens (KMU) hoffst du, dass du für Hacker eher uninteressant bist? Leider nicht, Kleinunternehmen werden häufiger angegriffen als Grosskonzerne. Doch was genau kannst du tun? Was erhöht den Passwortschutz für KMU?
Lange wurde von Experten empfohlen, möglichst komplexe Passwörter zu verwenden und das Passwort regelmässig zu wechseln. Das führte dazu, dass sich Mitarbeiter drei oder vier Kombinationen ausdachten und nacheinander einsetzten. Je komplexer die Kombination, desto höher war allerdings auch die Wahrscheinlichkeit, dass diese für mehrere Programme genutzt wird - wer kann sich schliesslich schon 20 verschiedene Passwörter aus unzusammenhängenden Buchstaben-Zahlen-Sonderzeichen-Kombis merken? Deshalb gilt diese Empfehlung nicht mehr.
Das BSI in Deutschland gibt einige Tipps zur Erstellung sicherer Passwörter für KMU. Dazu gehört der dringende Aufruf, für jedes Programm ein eigenes Passwort zu verwenden. Die eingesetzten Kombinationen sollen einzigartig, aber nicht komplex sein. Beispiele sind Aneinanderreihungen von beliebigen Wörtern wie HundSchrank-Avocado.
Wer auf komplexe Passwörter nicht verzichten möchte, sollte in einen Passwort-Manager investieren. Das ist ein Tool, das für jedes Programm ein kompliziertes und dadurch sicheres Passwort erstellt. Das Beste: Der Passwort-Manager merkt sich alle Kombinationen automatisch, der Mitarbeiter muss sich nur noch mit einem Masterpasswort einloggen.
Eine weitere Massnahme, die zu höherer Passwortsicherheit beiträgt, ist die Multi-Faktor-Authentifizierung. Mitarbeiter müssen sich bei diesem Ansatz zusätzlich zur Passworteingabe durch ein weiteres Verfahren legitimieren, beispielsweise durch einen SMS-Code, eine Ziffernfolge in einer speziellen Authentifizierungsapp oder eine Information, die per E-Mail verschickt wurde. Selbst wenn es Hackern gelingt, Passwörter zu knacken, bleibt ihnen der Zugriff auf Unternehmensdaten mit dieser Methode verwehrt.
Passwortsicherheit ist längst kein Nice-to-have mehr, dafür sorgt eine Regelung in der Datenschutz-Grundverordnung (DSGVO). In Paragraph 32 wird dort gefordert, dass Unternehmen geeignete Massnahmen ergreifen müssen, um den Datenschutz im Unternehmen zu gewährleisten. Wie der erwähnte Vorfall der Luftfahrtgesellschaft British Airways gezeigt hat, können Verstösse mit hohen Geldstrafen geahndet werden.
Experten sind sich jedoch einig, dass Passwort-Manager und Multi-Faktor-Authentifizierungen gut geeignet sind, um die Anforderungen der DSGVO zu erfüllen und einen hohen Passwortschutz für KMU einzuhalten.
Passwortsicherheit ist ein wichtiges Thema - auch und gerade für Klein- und Kleinstunternehmen. Wer hier zu nachlässig oder sorglos agiert, öffnet Hackern Tür und Tor zu sensiblen internen Daten - und riskiert damit hohe finanzielle Verluste und Imageschäden. Zahlreiche Tools wie Passwort-Manager und die Multi-Faktor-Authentifizierung stehen Unternehmern zur Verfügung, um einen hohen Passwortschutz in ihren KMU zu etablieren.
Wir von Faktly haben uns auf IT-Sicherheit spezialisiert - insbesondere in kleineren und mittleren Unternehmen. Hast du genug von 123456? Dann melde dich unverbindlich bei uns und wir entwickeln gemeinsam Strategien, mit denen wir die Passwortsicherheit in deinem Unternehmen auf ein neues Niveau heben!
Jetzt für mehr Sicherheit im Unternehmen sorgen
Quellenangaben:
Und keine Neuigkeiten mehr verpassen
Beantworte einfach ein paar Fragen und finde direkt heraus, wie sicher dein Unternehmen wirklich ist.
Wie gut ist dein Unternehmen gegen Cyberangriffe geschützt? Finde es heraus - mit einem Pen Test! Was das ist, erfährst du hier!
Starke Passwörter machen Hackern das Leben schwer(er). Erfahre hier, was eine sichere Passwortverwaltung im Unternehmen bedeutet.
Die meisten Hackerangriffe bedrohen KMU - warum das so ist und wie du dein Unternehmen schützen kannst, erfährst du hier!