Passwortsicherheit in kleinen und mittelständischen Unternehmen bringt mehr als den Schutz sensibler Unternehmensdaten. Wie Sie Ihre Passwortsicherheit erhöhen und warum eine effektive Passwortpolitik ein Wettbewerbsvorteil sein kann, lesen Sie hier.
Darum ist Passwortsicherheit so wichtig
Kleine und mittlere Unternehmen (KMU) stehen seit einiger Zeit verstärkt im Visier von Hackerangriffen. Einer der Gründe: Im Unternehmensnetzwerk finden sich Einfallstore, die den Zugriff auf sensible Daten ermöglichen.
Eine repräsentative Studie des Digitalverbands Bitkom aus dem Jahr 2022 beziffert den Schaden, der Unternehmen durch Cyberangriffe entstand, auf insgesamt rund 203 Milliarden Euro. Zwar schrumpfte die Gesamtsumme im Vergleich zum Vorjahr leicht (2021: 223 Milliarden Euro), die Zahl der betroffenen Unternehmen war mit 84% jedoch alarmierend hoch.
Der Studie zufolge standen vor allem Daten Dritter im Fokus der Angreifer. In 68% der Fälle waren Kommunikationsdaten (z. B. E-MaiIs) Ziel der Angriffe. 45% der Cyberattacken zielten auf die Erbeutung von Kundendaten ab.
Passwörter häufig Ziel von Cyberattacken
Zu größeren finanziellen Schäden kam es besonders durch Angriffe auf Passwörter – durch Phishing und Malware. 25% der befragten Unternehmen gaben an, dass ihnen dadurch ein Schaden enstanden sei.
Um derartigen Verluste zu vorzubeugen, sollten Sie die Passwortsicherheit in Ihrem Unternehmen auf den Prüfstand stellen. Zusammengefasst ist eine starke Passwortpolitik für Ihr Unternehmen aus folgenden Gründen wichtig:
Schutz vor Datenverlust: Unternehmen verfügen über sensible Daten wie etwa Kundeninformationen und Geschäftsgeheimnisse. Mit starken Passwörtern können Sie Datenlecks minimieren und die Datensicherheit erhöhen. So erschweren Sie es Unbefugten erheblich, in Ihre IT einzudringen und verstärken Ihren Schutz gegen Cyberangriffe.
Schutz vor internen Gefahren: Auch menschliche Fehler können Datenlecks verursachen. Dem wirken Sie entgegen, indem Sie den Zugang zu Geschäftsdaten auf autorisierte Personen beschränken, Ihre Angestellten schulen und in diesem Zuge eine starke Passwortpolitik etablieren.
Einhaltung von Compliance-Vorschriften: Um die Vertraulichkeit von Daten zu gewährleisten, verlangt auch die Gesetzgebung angemessene Sicherheitsvorkehrungen. Dazu zählen unter anderem starke Kennwörter. Indem Sie die regulatorischen Anforderungen erfüllen, können Sie mögliche rechtliche Konsequenzen vermeiden.
Schutz Ihrer Reputation: Ein Datenleck wird wahrscheinlich das Vertrauen in Ihr Unternehmen erheblich beeinträchtigen. Mit einer starken Passwortpolitik sichern Sie nicht nur Ihre Firmendaten, sondern auch das Vertrauen Ihrer Stakeholder. Passwortsicherheit kann somit ein echter Wettbewerbsvorteil für KMU sein.
Sicheres Passwort erstellen: So geht’s
In kleinen und mittelständischen Betrieben bedarf es einer effektiven Passwortpolitik – unabhängig von der Zahl der Angestellten. Unterstützung dabei bietet beispielsweise ein Passwortmanager, der bei der Verwaltung von Zugangsdaten hilft. Folgende Schritte sollten Sie beim Erstellen von Passwörtern befolgen:
- Stellen Sie eine klare und umfassende Richtlinie für Ihr Unternehmen auf. Darin sollten die Mindestanforderungen an die Komplexität der Passwörter, deren Gültigkeitsdauer sowie ggf. die Verwendung einer Zwei-Faktor-Authentifizierung (2FA) definiert sein.
- Halten Sie in Ihrer Passwortrichtlinie fest, dass Ihre Belegschaft beim erstmaligen Log-in ein neues Passwort erstellt. So stellen Sie sicher, dass alle Angestellten im ersten Schritt sichere Zugangsdaten verwenden.
- Nutzen Sie einen digitalen Passwortmanager, der Ihre Belegschaft bei der Erstellung und Verwaltung starker Passwörter unterstützt. Auch die geschützte Weitergabe von Kennwörtern und die Verwaltung von Zugriffsrechten ist mit vielen dieser Programme möglich.
- Verwenden Sie Passwort-Hashes. Dabei handelt es sich um kryptografische Algorithmen, die aus einem Passwort eine eindeutige Zeichenkette erzeugen. Prüfen Sie, ob die Passwort-Hashes Ihrer Benutzerinnen und Benutzer ausreichend gesichert sind. Achten Sie darauf, dass Ihre IT dafür starke Verschlüsselungsalgorithmen verwendet.
So verbessern Sie die Kennwortsicherheit in Ihrem Unternehmen
Es gibt mehrere Möglichkeiten, die Kennwortsicherheit in Ihrer Firma zu verbessern. Nachfolgend ein Blick auf die gängigsten Maßnahmen.
Zwei-Faktor-Authentifizierung (2FA): Wo möglich, sollten Sie 2FA implementieren. Da hierbei neben dem Passwort ein zweiter Bestätigungsfaktor wie beispielsweise eine Eingabe über das Smartphone erforderlich ist, führen Sie so eine weitere Sicherheitsebene für Zugangsdaten ein.
Überprüfen Sie die Einhaltung Ihrer Passwortrichtlinie. Achten Sie darauf, dass Ihre Beschäftigten ihre Kennwörter regelmäßig aktualisieren und die Sicherheitsstandards einhalten.
Sensibilisieren Sie Ihre Kolleginnen und Kollegen dafür, wie wichtig sichere Passwörter sind und welche Kriterien diese erfüllen müssen. Erläutern Sie die Risiken schwacher Kennwörter und werben Sie mit Best-Practice-Beispielen für mehr Passwortsicherheit.
Führen Sie regelmäßige Sicherheitsaudits durch, um die Passwortsicherheit in Ihrem Unternehmen fortlaufend beurteilen zu können. Dadurch identifizieren Sie mögliche Schwachstellen und können ggf. geeignete Maßnahmen ergreifen, um diese zu beheben.
Bewerten Sie die Passwortstärke, indem Sie beispielsweise eine Software implementieren, um die Stärke der Kennwörter in Ihrem Unternehmen zu testen. Solche Tools analysieren nicht nur die Komplexität der Zugangsdaten, sondern auch deren Sicherheitsniveau.
Überwachen Sie die Anmeldeprotokolle. Monitoren Sie die Logfiles hinsichtlich verdächtiger Aktivitäten. Dazu zählen unter anderem häufige fehlgeschlagene Anmeldeversuche, die ein Hinweis auf einen möglichen Angriff sein können.
Führen Sie Penetrationstest durch, um potenzielle Schwachstellen bei Passwörtern und Authentifizierungssystemen zu erkennen. Durch regelmäßige und umfassende Sicherheitstests zur Identifizierung von Sicherheitslücken können Sie Ihre Passwortsicherheit verbessern und etwaige Einfallstore schließen.
Erkennen Sie Anomalien. Setzen Sie Systeme ein, die verdächtige Aktivitäten erkennen. Stellen diese ungewöhnliche Anmeldeversuche bzw. verdächtige Passwortänderungen fest, können diese Systeme automatisch Sicherheitsmaßnahmen einleiten.
Diese Angriffe gefährden Ihre Passwörter
Brute-Force-Angriffe, Phishing und Credential-Stuffing: Hinter diesen teils martialisch klingenden Namen verbergen sich reale Cyberbedrohungen, die auch Ihr Unternehmen betreffen können. Im folgenden Abschnitt erfahren Sie mehr über diese Angriffe und mit welchen Maßnahmen zur Cybersicherheit sie diese abwehren können.
Brute-Force-Angriffe: Erkennen und abwehren
Das sind Brute-Force-Angriffe: Attacken, bei denen Unbefugte systematisch sämtliche Kombinationen für Zugangsdaten ausprobieren, um ein Passwort oder eine PIN zu erraten.
So erkennen Sie Brute-Force-Angriffe: Wiederholt fehlgeschlagene Anmeldeversuche, eine ungewöhnlich hohe Netzwerkaktivität sowie verdächtige Zugriffsanfragen sind typische Anzeichen für einen Brute-Force-Angriff.
So wehren Sie Brute-Force-Angriffe ab: Zum Schutz vor Cyberbedrohungen dieser Art sollten Sie komplexe Passwörter verwenden und Zugriffsbeschränkungen implementieren, die nach mehreren Fehlversuchen eine Sperrung auslösen. Auch der Einsatz sogenannter Captchas oder die Verwendung von IP-Sperren kann dazu beitragen, Brute-Force-Angriffe abzuwehren.
Phishing: Feststellen und vorbeugen
Das ist Phishing: Durch Phishing versuchen Unbefugte, sensible Informationen zu stehlen, indem sie etwa E-Mails mit schädlichen Links versenden. Klicken Sie auf solche Links, landen Sie meist auf gefälschten Webseiten, wo Sie aufgefordert werden, sensible Daten einzugeben, die von den Angreifenden erfasst werden.
So stellen Sie Phishing fest: Anzeichen für Phishing sind verdächtige E-Mails von unbekannten Absendern bzw. unerwartete Aufforderungen zur Aktualisierung von Kontoinformationen oder vermeintlich dringende Handlungsanweisungen.
So beugen Sie Phishing vor: Als Unternehmerin oder Unternehmer treten Sie Phishing entgegen, indem Sie Ihre Mitarbeitenden beispielsweise in Phishing-Schulungen aufklären und einen starken E-Mail-Filter in Ihrer Unternehmenskommunikation einsetzen.
Credential-Stuffing: Identifizieren und verhindern
Das ist Credential-Stuffing: Ein Angriff, bei dem gestohlene Kombinationen aus Benutzername und Passwort von einem Dienst an einem anderen Dienst ausprobiert werden, um sich unberechtigten Zugang zu sensiblen Daten zu verschaffen.
So identifizieren Sie Credential-Stuffing: Anzeichen für Credential-Stuffing können ungewöhnlich viele fehlgeschlagene Anmeldeversuche derselben IP-Adressen sein, aber auch verdächtige Benutzeraktivitäten insgesamt oder vermehrte Kontosperrungen.
So verhindern Sie Credential-Stuffing: Führen Sie eine Zwei-Faktor-Authentifizierung ein, um Credential-Stuffing zu erschweren. Zudem sollten Sie verdächtige Aktivitäten in Benutzerkonten proaktiv überwachen.