„Digitale Kompetenz – sichere Passwörter”

Ing. Norbert Palecek

Arbeitet man bei einer großen Firma oder einem Konzern, so werden hier oft schon Schutzmechanismen vorgegeben. Das Passwort für den Zugang zum Firmennetzwerk muss beispielsweise eine bestimmte sichere Form haben und alle 3 Monate geändert werden. Dabei macht die IT oft auch Vorschriften über die Zusammensetzung des Passwortes (Länge, Art der zu verwendenden Buchstaben, Sonderzeichen etc.), um die Sicherheit zu erhöhen. Sehr wichtig hierbei ist, dass diese Regeln für alle gelten – vor allem auch für jene, die mit streng vertraulichen Daten arbeiten. Ich denke hier ganz bewusst an den Vorstand, Aufsichtsräte und Geschäftsführer.

Das Thema berührt nicht nur Computer, sondern natürlich auch mobile Geräte wie Smartphones oder Tablets. Erhalte ich vertrauliche Emails am Firmenhandy? Oder verwende ich ein privat angeschafftes Smartphone und empfange darauf diese Emails? Was passiert, wenn das Smartphone gestohlen oder verloren wird und diese Daten in falsche Hände geraten? Beschäftigt man sich mit solchen Worst Case-Szenarien, so wird einem schnell klar, dass man alle Kommunikationsgeräte zwingend durch Passwörter oder gleichwertige biometrische Mechanismen schützen sollte. Wichtig ist es auch, die Daten auf den Geräten zu verschlüsseln, da sie dadurch für unbefugte Nutzer ohne entsprechende Autorisierung wertlos sind. Bei modernen Smartphones mit Betriebssystemen der letzten Generation erfolgt diese Verschlüsselung bereits meist automatisch.

Nachfolgend einiges zu sicheren Passwörtern.

Passwörter sollten

• niemals in einer unverschlüsselten Datei auf Ihrem Computer oder in Ihrem Emailpostfach
gespeichert werden;

• mindestens eine Länge von 10 bis 12 Zeichen haben, Groß- und Kleinbuchstaben, Ziffern
sowie Sonderzeichen enthalten und nicht aus Namen oder Wörtern bestehen, die in einem Wörterbuch vorkommen. Grund dafür ist, dass moderne Computer mehrere Millionen Kombinationen pro Sekunde ausprobieren können. Gängige Wortkombinationen sind dadurch leicht zu knacken.

Eine gute Möglichkeit wäre es beispielsweise, sich einen Satz zu merken wie etwa: „Ich gehe mit meinem Hund Bello 3 mal täglich eine kleine Runde spazieren!“ Mögliches Passwort daraus wäre: IgmmHB3xt1

• für jede Webseite oder Onlineapplikation, in denen sie eingesetzt werden, verschieden sein.
Habe ich nur ein Passwort für alle Dienste, so hätte jeder Unbefugte damit Zugriff auf alle Daten, ähnlich dem Verlust eines Zentralschlüssels in einem Hotel;

• in regelmäßigen Abständen geändert werden.

Wie kann ich Passwörter verschlüsselt abspeichern?

Für Computer und Smartphones gibt es Password Manager, das sind Programme, die Passwörter für die verschiedenen Webdienste encrypted, also verschlüsselt, abspeichern und auf Wunsch auch generieren. Dann muss man sich nur mehr ein Masterpasswort merken. Das Password Manager Programm gleicht einem sicheren Tresor, das Masterpasswort entspricht dem Tresorschlüssel. Populäre Programme sind etwa Lastpass, KeePass, 1Password. Diese funktionieren auf allen Plattformen (Windows, OSX, iOS, Android, …).

Um für ein bedrohliches Szenario wie einen Feuerausbruch gewappnet zu sein, führen wir Brandschutzübungen und Probealarme zur Vorbereitung auf den Ernstfall durch.

Was unternehmen wir, um uns für einen Datendiebstahl vorzubereiten? Werden Mitarbeiterinnen und Mitarbeiter genug geschult? Werden Sicherheitstrainings angeboten? Sind Verantwortlichkeiten im Dienstvertrag festgehalten? Gibt es einen CSO (Chief Security Officer), also einen Sicherheits- und Datenschutzverantwortlichen?

Zögern Sie also nicht danach zu fragen, wie die Sicherheitspolitik in Ihrer Firma aussieht und wer für die Einhaltung verantwortlich ist. Ebenso sinnvoll ist es, hier Beratung und Coaching in Anspruch zu nehmen, um den gesetzlichen Vorschriften zu entsprechen und die digitale Transformation SICHER umzusetzen.

Internet Tipp:

http://www.passwort-generator.org/ zum Generieren von sicheren Passwörtern.

http://www.sicherheit-macht-schule.de/Hintergruende/Privatsphaere/1232_Passwortpruefer.htm zum Überprüfen, wie sicher mein Passwort ist.

(Security) Training

„Willst du, dass einer in der Gefahr nicht zittert, dann trainiere ihn vor der Gefahr.“

Lucius Annaeus Seneca (4 v.Chr. – 65 n.Chr.), röm. Philosoph u. Dichter

Ing. Norbert Palecek ist Unternehmensberater (PalCon Unternehmensberatung e.U., norbert.palecek@palcon.at) und begleitet Unternehmen bei der digitalen Transformation. Er ist Gründungsmitglied der Digital Society und unterstützt diese als Experte. Die Digital Society ist eine in Österreich registrierte NGO, deren Ziel es ist, die Digitalisierung in Österreich voranzutreiben. Mehr dazu: www.digisociety.at