Startseite Navigation Inhalt Kontakt Sitemap Suche

Pass­wort­richt­linie für KMU

Die Sicher­heit von Com­puter-Sys­temen und -Netz­werken hängt ent­schei­dend vom kor­rekten Umgang mit Pass­wör­tern ab. Eine imple­men­tierte Pass­wort­richt­linie, oder eben PW-Policy regelt im Unter­nehmen die Erstel­lung, Auf­be­wah­rung und Ver­wen­dung von Passwörtern.

Wich­tigste Merkpunkte:

  • Erstellen Sie eine Über­sicht über sämt­liche pass­wort­ge­schützten System- und Anwen­dungs­zu­gänge in Ihrem Unternehmen.
  • Legen Sie für alle iden­ti­fi­zierten System- und Anwen­dungs­zu­griffe in einer PW-Policy die Anfor­de­rungen an die Erstel­lung, Auf­be­wah­rung und Ver­wen­dung der Pass­wörter fest.
  • Prüfen Sie peri­odisch die strikte Ein­hal­tung der PW-Policy.
  • Sen­si­bi­li­sieren Sie alle Mit­ar­bei­tenden für die Gefahren durch unsach­ge­mässen Umgang mit Passwörtern.

Warum braucht es eine PW-Policy?

Die Kom­bi­na­tion von Benut­zer­name und Pass­wort ist noch immer die meist­ver­wen­dete Methode der Authen­ti­sie­rung und Auto­ri­sie­rung im digi­talen Arbeits­um­feld. Damit werden etwa beim Zugang zu Netz­werken, bei der Anmel­dung an Com­puter-Sys­temen oder bei der Nut­zung von Diensten und Anwen­dungen die Iden­tität der Benutzer fest­ge­stellt und der Zugriff­schutz imple­men­tiert. Benut­zer­namen und Pass­wör­tern kommt dadurch eine zen­trale Rolle für die Cyber­si­cher­heit zu.

Da erstaunt es nicht, dass Cyber­kri­mi­nelle Vieles dar­an­setzen, um mit­tels Hacking, Phis­hing oder Social Engi­nee­ring an diese wert­volle Infor­ma­tion her­an­zu­kommen und damit die digi­tale Iden­tität der betrof­fenen Person zu übernehmen.

Der Umgang mit Pass­wör­tern ist Benut­zern heute jedoch so ver­traut, dass sie sich oft der damit ver­bun­denen Gefahren zu wenig bewusst sind. Gerade im Unter­neh­mens­um­feld ist daher eine klare PW-Policy, welche die Benutzer genau anleitet und vor Feh­lern in diesem Zusam­men­hang bewahrt, unerlässlich.

Was ist eine PW-Policy und wie erstellt man eine wirk­same PW-Policy?

Unter einer PW-Policy ver­steht man ein Regel­werk, das die Cyber­si­cher­heit erhöhen soll, indem es die Mit­ar­bei­tenden dazu anhält, sichere Kenn­wörter zu erstellen, diese sorgsam auf­zu­be­wahren und ord­nungs­ge­mäss zu ver­wenden. Die PW-Policy ist Teil der offi­zi­ellen Regeln einer Orga­ni­sa­tion und sollte in die Schu­lung zum Sicher­heits­be­wusst­sein (Awa­re­ness-Pro­gramm) auf­ge­nommen werden.

Die PW-Policy soll mass­ge­schnei­dert auf die Bedürf­nisse (kom­plette Sys­tem­land­schaft) und Anfor­de­rungen (Sicher­heits­level) der betref­fenden Orga­ni­sa­tion aus­ge­legt werden, um mit ange­mes­senem Auf­wand eine opti­male Wir­kung zu ent­falten. In einem ersten Schritt muss daher eine Über­sicht über sämt­liche pass­wort­ge­schützten System- und Anwen­dungs­zu­gänge im Unter­nehmen erstellt werden sowie eine Abschät­zung des erfor­der­li­chen Schutz­le­vels erfolgen. Alle so iden­ti­fi­zierten Zugänge werden danach in der PW-Policy mit ent­spre­chenden Rege­lungen berücksichtigt.

Um der sich stetig ändernden Bedro­hungs­lage begegnen zu können, muss die Aktua­lität und Wirk­sam­keit der PW-Policy peri­odisch über­prüft werden.

Wel­ches sind die wich­tigsten Punkte der PW-Policy?

Die PW-Policy regelt umfas­send den Umgang mit Pass­wör­tern in der Unter­neh­mung. Den Benut­zern lie­fert sie kon­krete Hand­lungs­an­wei­sungen und macht Aus­sagen zu fol­genden Punkten:

1. Ver­wen­dung von Passwörtern

Wie oben erwähnt ist die Kenntnis eines Pass­worts häufig bereits aus­rei­chend, um die digi­tale Iden­tität einer Person voll­ständig zu über­nehmen. Gene­rell sind des­halb alle Vor­keh­rungen zu treffen, welche eine miss­bräuch­liche Ver­wen­dung dieser Infor­ma­tion verhindern.

Pass­wörter sind somit strikt per­sön­lich und unter­liegen der Geheim­hal­tung. Ins­be­son­dere gilt es fol­gende Punkte zu beachten:

  1. Pass­wörter dürfen weder aktiv wei­ter­ge­geben oder geteilt, noch offen zugäng­lich abge­legt werden.
  2. Ablage und Über­tra­gung von Pass­wör­tern müssen stets ver­schlüs­selt erfolgen.
  3. Bei der Ein­gabe von Pass­wör­tern ist darauf zu achten, dass der Vor­gang nicht durch Dritte ein­sehbar erfolgt.

Die PW-Policy legt die Richt­li­nien zur Ver­wen­dung von Pass­wör­tern im Sinne einer Wei­sung fest.

2. Pass­wort­stärke

Die Pass­wort­stärke ist ein Mass für die Schwie­rig­keit eines Angrei­fers, ein ihm nicht bekanntes Pass­wort durch blosses Erraten oder Aus­pro­bieren zu ermit­teln. Je unvor­her­seh­barer, kom­plexer und länger ein Pass­wort gewählt wird, desto stärker und damit sicherer ist es.

Eine gute PW-Policy legt Wert auf die Erstel­lung von starken Kenn­wör­tern, indem es die Benutzer anhält, ihre Pass­wörter länger und unvor­her­sehbar zu machen (Anlei­tung «Sichere Pass­wörter»).

Zudem sollte die Erstel­lung von starken Pass­wör­tern durch tech­ni­sche Hilfs­mittel, wie z.B. der Zur­ver­fü­gung­stel­lung eines Pass­wort­ma­na­gers unter­stützt und in der PW-Policy gere­gelt werden.

3. Ablauf von Passwörtern

Pass­wörter können ein­fach über­tragen werden. Dadurch können sie im Laufe der Zeit auch in fal­sche Hände geraten. Z.B. geben Mit­ar­bei­tende gele­gent­lich Pass­wörter unüber­legt an Dritte weiter oder notieren solche an unge­schützten Orten. Es können sich aber auch Daten­pannen ereignen, bei denen Pass­wörter von Nut­zern unge­wollt offen­ge­legt werden. Ein Rückruf von einmal abge­flos­sener Infor­ma­tion ist grund­sätz­lich nicht möglich.

In sol­chen Fällen stellt das Ändern von Pass­wör­tern die ein­zige wirk­same Mass­nahme zur Wie­der­her­stel­lung der Cyber­si­cher­heit dar, da die abge­flos­sene Infor­ma­tion dadurch unbrauchbar wird.

Die Erneue­rung und Ver­wal­tung von Pass­wör­tern sollte durch tech­ni­sche Hilfs­mittel, wie z.B. der Zur­ver­fü­gung­stel­lung eines Pass­wort­ma­na­gers unter­stützt und in der PW-Policy gere­gelt werden.

4. Pass­wort-His­torie

Benutzer ten­dieren oft dazu, die Anzahl der zu mer­kenden Pass­wörter zu redu­zieren, z.B. indem sie früher schon gebrauchte Pass­wörter wie­der­ver­wenden. Cyber­kri­mi­nelle machen sich dieses Ver­halten zu Nutze, indem sie bei ihren Angriffen regel­mässig auch Listen mit alten Pass­wör­tern ein­setzen. Um dies zu ver­meiden, sollten Benutzer daran gehin­dert werden, alte Pass­wörter zu reaktivieren.

Die PW-Policy sorgt dafür, dass die Sys­teme eine Pass­wort-His­torie der Benutzer führen und bei Pass­wort­wech­seln eine Über­prü­fung auf Wie­der­ver­wen­dung stattfindet.

5. Pass­wor­t­än­de­rung

Benut­zern sollte es mög­lich sein, ihre Pass­wörter jeder­zeit und selb­ständig zu ändern. Hierbei muss jedoch sicher­ge­stellt sein, dass Pass­wor­t­än­de­rungen aus­schliess­lich vom legi­ti­mierten Eigen­tümer und nicht etwa von einem Angreifer ver­an­lasst werden.

Die PW-Policy legt die tech­ni­schen und orga­ni­sa­to­ri­schen Rah­men­be­din­gungen fest, welche eine sichere Pass­wor­t­än­de­rung ermög­li­chen. So kann z.B. die Ein­füh­rung einer Zwei-Faktor-Authen­ti­fi­zie­rung den Pro­zess der Pass­wor­t­än­de­rung wesent­lich sicherer machen.

Pass­wörter sind nach wie vor die meist­ver­wen­deten Sicher­heits­ele­mente beim Zugriffs­schutz im digi­talen Umfeld. Da erstaunt es nicht, dass Cyber­kri­mi­nelle Vieles dar­an­setzen, um mit­tels Hacking, Phis­hing oder Social Engi­nee­ring an die begehrte Infor­ma­tion heranzukommen.

Eine Pass­wort­richt­linie (PW-Policy) sorgt für Klar­heit und Sicher­heit im Umgang mit Passwörtern!

Was möchten Sie weiter zum Thema Sicherheit beim E-Banking wissen?

Jetzt für einen Kurs
anmelden und mehr lernen:

Grund­kurs

Lernen Sie die aktu­ellen Bedro­hungen im Internet kennen und wie Sie sich mit ein­fa­chen Mass­nahmen davor schützen und E-Ban­king sicher anwenden.

wei­tere Informationen

Online-Kurs Mobile Ban­king / Payment

Lernen Sie Mobile Ban­king und Mobile Pay­ment kennen und wie Sie solche Apps sicher nutzen.

wei­tere Informationen

Online-Kurs für unter 30-jährige

Lerne dein Smart­phone sicher zu ver­wenden. Neben Basics zeigen wir dir, was bzgl. Social Media, Clouds, Mobile Ban­king und Mobile Pay­ment wichtig ist.

wei­tere Informationen

Kurs für KMU

Ist Ihr Unter­nehmen genü­gend sicher? Lernen Sie, mit wel­chen Mass­nahmen Sie die Infor­ma­ti­ons­si­cher­heit in Ihrem Unter­nehmen deut­lich erhöhen.

wei­tere Informationen