Verwaltung von Passwörtern und Minderung von Passwortrisiken
Veröffentlicht am: 5 Juli 2022
Zuletzt geändert am: 24 Juli 2025
Passwörter sind eine tragende Säule der Sicherheit, seit sich die menschliche Sprache entwickelt hat. Dieses gemeinsam genutzte Geheimnis kann dazu verwendet werden, sowohl physische als auch digitale Türen zu öffnen. Aber wie jedes Geheimnis kann es, wenn es an die falsche Person weitergegeben wird, für schändliche Taten verwendet werden.
Passwörter bieten Cyberkriminellen eine Möglichkeit, den Torwächter zu überwinden. Dieses Tor ist weit geöffnet, wenn ein Passwort unsicher ist, weitergegeben oder gefälscht wird. Die Verwaltung von Passwörtern trägt dazu bei, das Risiko in einem Unternehmen zu minimieren.
Hier sehen Sie einige der Risiken bei der Verwendung von Passwörtern und Tipps zur Verwaltung von Passwörtern.
Das Problem mit Passwörtern
Passwörter bleiben bestehen, weil die Benutzer sie verstehen; sie werden von Web- und App-Entwicklern verstanden und bieten grundlegende Sicherheit. Aus diesen Gründen werden Passwörter bestehen bleiben, selbst bei Initiativen wie dem passwortlosen System FIDO.
Ein sicheres Kennwort ist die grundlegendste Anmeldeinformation, aber Kennwörter sind alles andere als eine robuste Sicherheitsmaßnahme. Aufgrund der Türen, die ein Passwort öffnen kann, sind diese Anmeldedaten in den Fokus von Cyberangriffen geraten. Der Data Breach Investigations Report (DBIR) aus dem Jahr 2022 nennt den Diebstahl von Anmeldedaten als eine der vier wichtigsten Methoden, um in Daten einzudringen.
Der 2022 Annual Identity Exposure Report hat einige erschütternde Statistiken über Passwörter ermittelt:
● 1,7 Milliarden Zugangsdaten (Kombinationen aus E-Mail-Adresse und Passwort oder Benutzername und Passwort) wurden 2021 von Hackern ausgenutzt
● 70% der Benutzer benutzten ein Jahr später immer noch kompromittierte Passwörter
Die Nummer eins der wiederverwendeten Passwörter im Klartext (d.h. unverschlüsselt) war „password“.
● 60% der Benutzer verwenden Passwörter erneut. Eine Google-Umfrage ergab, dass 52% der Nutzer ihre Passwörter für mehrere Konten wiederverwenden.
● Nur 20% der Benutzer haben einen Passwort-Manager
Die Kosten für die Preisgabe von Passwörtern, Diebstahl und unbefugten Zugriff summieren sich. Der Bericht „Cost of Insider Threats“ des Ponemon Institute aus dem Jahr 2022 hat dies festgestellt:
● Die Kosten für den Diebstahl von Zugangsdaten stiegen um 65% von 2,79 Millionen Dollar im Jahr 2020 auf 4,6 Millionen Dollar im Jahr 2021/2022
● Die Eindämmung einer Insider-Bedrohung dauert etwa 85 Tage
● Vorfälle, deren Eindämmung mehr als 90 Tage dauerte, kosteten im Durchschnitt 17,19 Millionen Dollar
Wie Passwörter in die Hände von Cyberkriminellen gelangen
Einige der typischsten Arten, wie Passwörter gestohlen oder kompromittiert werden, sind:
Malware-Infektion
Malware, die darauf abzielt, Daten zu stehlen, sendet jede vom Benutzer eingegebene Kombination aus Passwort, Benutzername und E-Mail an die Cyberkriminellen, die die Malware kontrollieren.
Einem Bericht von SpyCloud zufolge wurde im Jahr 2021 die Malware „RedLine Stealer“ weit verbreitet, um Anmeldeinformationen und andere Daten von Windows-Nutzern zu stehlen. Die Malware konnte über eine dunkle Website für 800 Dollar oder ein Malware-as-a-Service-Abonnement für 200 Dollar pro Monat erworben werden.
Datenpanne
Datenschutzverletzungen bieten Cyberkriminellen die Möglichkeit, auf gestohlene Passwörter und Benutzernamen oder E-Mail-Paare, d.h. Anmeldedaten, zuzugreifen. Bei der Datenschutzverletzung von Collection 1-5 im Jahr 2019 wurden beispielsweise 2,2 Milliarden Passwörter und E-Mail-Adressen offengelegt.
Datenschutzverletzungen entstehen in der Regel durch unbefugten Zugriff auf eine Datenbank, durch eine falsche Sicherheitskonfiguration, die die Datenbank angreifbar macht, durch versehentliches Aufdecken von E-Mail-Fehlzustellungen oder durch vorsätzliches Hacken. In einem Kreislauf der Cyberkriminalität gibt eine kompromittierte Datenbank dann weitere Anmeldedaten frei, um weitere Angriffe auszuführen.
Phishing
Eine beliebte Methode zum Stehlen von Passwörtern ist Phishing. Im DBIR von 2022 wurde Phishing als eine der vier häufigsten Methoden genannt, um an Anmeldedaten zu gelangen. Spear-Phishing ist ein besonderes Problem für Systemadministratoren und privilegierte Benutzer, die wegen ihrer privilegierten Zugangsdaten angegriffen werden.
Drittanbieter sind Ziele für Hacker bei passwortbezogenen Angriffen. Im Fall des Ransomware-Angriffs auf Colonial Pipeline im Jahr 2021 war beispielsweise ein einziges gestohlenes Passwort eines ehemaligen Mitarbeiters mit dem Angriff verbunden, der dazu führte, dass die Hälfte der Treibstofflieferungen in den USA vorübergehend eingestellt wurde.
Unbeabsichtigte Exposition und Insider-Bedrohungen
Mitarbeiter teilen ihre Passwörter gerne mit Kollegen und verwenden sie auch gerne wieder. Eine kürzlich durchgeführte Umfrage ergab, dass fast 42 % der Mitarbeiter ihre Passwörter mit Kollegen teilen. Dieselbe Studie ergab, dass 1 von 4 Mitarbeitern auch nach dem Ausscheiden aus dem Unternehmen noch Zugang zu alten Konten hatte.
Die versehentliche Preisgabe von Passwörtern oder der unbefugte Zugriff auf diese ist ein wichtiger Faktor bei Cyberangriffen und Datenschutzverletzungen. Der DBIR von 2022 stellt fest, dass 82 % der Angriffe von einem Menschen ausgehen.
Fünf schnelle Tipps zur Verwaltung von Passwörtern
Hier sind fünf Tipps zur Verwaltung von Passwörtern und zur Verringerung des Risikos:
Einrichten und Durchsetzen von Passwortrichtlinien
Passwortrichtlinien sind der erste Schritt, um das Risiko bei der Verwendung von Passwörtern zu verringern. Passwortrichtlinien umfassen alles, was mit der Verwaltung von Passwörtern und der Sicherheit von Passwörtern zu tun hat. Eine Richtlinie sollte zum Beispiel die sichere Aufbewahrung von Passwörtern und die Häufigkeit der Änderung von Passwörtern beinhalten.
In den Passwortrichtlinien sollte auch klar festgelegt sein, wie die Mitarbeiter Passwörter erstellen und verwalten sollen. Die Richtlinien sollten an die Mitarbeiter verteilt werden, und die Verwaltung der Richtlinie sollte während des gesamten Lebenszyklus der Richtlinie automatisiert werden, um sicherzustellen, dass sie im gesamten Unternehmen akzeptiert und verstanden wird.
Verwenden Sie einen Passwort-Manager
Passwort-Manager wie Lastpass und Passwort-Generatoren verringern die Ermüdung durch Passwörter und können daher dazu beitragen, die Wiederverwendung und Weitergabe von Passwörtern zu verhindern. Wenn Sie einen Passwort-Manager verwenden, müssen Sie sich technisch gesehen nur einen Satz von Anmeldedaten merken – das Master-Passwort für die Anmeldung bei Ihrem Passwort-Manager.
Sobald Sie sich mit Ihrem Master-Passwort beim Passwort-Manager angemeldet haben, erledigt der Passwort-Manager den Rest – er speichert, generiert, synchronisiert und aktualisiert Passwörter. Ihr Master-Kennwort wird verwendet, um die gespeicherten Kennwörter in Ihrem Kennwort-Tresor zu verschlüsseln.
Aber Passwort-Manager werden in Unternehmen immer noch zu wenig genutzt. Es gibt eine Vielzahl von Passwortmanagern, aber Cloud-basierte Dienste können einfacher zu implementieren und zu verwalten sein. Suchen Sie nach einem Passwort-Manager, der auch betriebssystemübergreifend funktioniert und andere Datentypen, einschließlich Passwörter, schützt.
Verwenden Sie einen zweiten Faktor (2FA/MFA)
Die Verwendung eines zweiten Faktors, z. B. eines mobilen Authentifizierungscodes, ist eine nützliche Möglichkeit, den Zugriff auf eine Anwendung um eine weitere Sicherheitsebene zu erweitern. Sie sollten sich jedoch nicht darauf verlassen, dass 2FA eine 100%ig risikofreie Zugangskontrolle bietet.
Cyberkriminelle arbeiten bereits an Möglichkeiten, die Zwei-Faktor-Authentifizierung zu umgehen. Wenn Sie die Möglichkeit haben, implementieren Sie 2FA, aber unterstützen Sie diese Maßnahme mit den folgenden zwei Tipps, um das Risiko von Passwörtern zu verringern:
Mitarbeiter über Passwort-Hygiene schulen
Passwortrichtlinien sollten die Standards der Cybersicherheitsbranche für die Erstellung, Verwendung und Verwaltung von Passwörtern widerspiegeln. Um diese Richtlinie durchzusetzen, müssen die Mitarbeiter jedoch verstehen, warum sichere Passwörter so wichtig sind.
Schulungsprogramme zum Thema Cybersicherheit enthalten in der Regel Module zur Erstellung sicherer Passwörter und zur Aufbewahrung von Passwörtern.
Verwenden Sie Phishing-Simulationen, um den Passwortdiebstahl zu verringern
Phishing ist eine der wichtigsten Methoden, um Passwörter und andere Anmeldedaten zu stehlen. Wenn Sie Ihre Mitarbeiter darin schulen, wie Phishing funktioniert und wie die verräterischen Zeichen einer Phishing-Nachricht aussehen, kann ein Unternehmen den Diebstahl von Zugangsdaten durch Phishing verhindern.
Phishing-Simulationsplattformen bieten eine zentralisierte und konfigurierbare Möglichkeit, simulierte Phishing-Nachrichten an Mitarbeiter zu versenden. Eine fortschrittliche Phishing-Simulationsplattform ermöglicht es Ihnen auch, die simulierten Phishing-Nachrichten auf die verschiedenen Rollen in Ihrem Unternehmen zuzuschneiden.
Unternehmen werden wahrscheinlich noch eine Weile mit Passwörtern arbeiten, was das Risiko eines Cyberangriffs erhöht. Wenn Sie jedoch die fünf hier aufgeführten Tipps befolgen, können Sie das Risiko der Verwendung von Passwörtern durch Ihre Mitarbeiter verringern. Diese Tipps tragen dazu bei, Datenschutzverletzungen und Ransomware-Infektionen zu verhindern und helfen Ihrem Unternehmen, die Datenschutzbestimmungen einzuhalten.
