Sicherheitsfalle Passwort

Sicherheit (Pexels, allgemeine Nutzung)Der Spezialist für ein passwortloses Identitätsmanagement, Beyond Identity, hat in einer Studie 1.008 Mitarbeiter zu ihrem Umgang mit Passwörtern befragt. Die Ergebnisse zeigen, dass im Arbeitsalltag oft grob fahrlässig mit Sicherheitsbestimmungen umgegangen wird. Dadurch schützen Passwörter nicht länger vertrauliche Informationen, sondern werden selbst zur Sicherheitsfalle.


Anzeige

Hier der Kurzüberblick über die Grausamkeiten, die die Studie offengelegt hat.

  • 1 von 4 Mitarbeitern hat noch immer Zugang zu Konten von früheren Arbeitsplätzen.
  • 41,7 Prozent der Mitarbeiter teilen Passwörter am Arbeitsplatz.
  • 42,5 Prozent der Mitarbeiter sind der Meinung, dass die Weitergabe von Passwörtern am Arbeitsplatz ein Kündigungsgrund sein sollte.
  • 1 von 5 Mitarbeitern verwendet für arbeitsbezogene Konten dasselbe Passwort wie für private Bankkonten.

Der Sinn von Passwörtern ist es, bestimmten Benutzern den Zugriff auf Geräte, Anwendungen oder Webseiten zu ermöglichen. Passwörter sollen zudem sensible Firmeninformationen schützen, weshalb Passwörter geheim bleiben sollten. Die Praxis sieht jedoch häufig anders aus. In vielen Unternehmen ist es beispielsweise Usus, dass Mitarbeiter Passwörter gemeinsam nutzen. Als häufigster Grund dafür wurde die vereinfachte Zusammenarbeit im Team genannt, so das Ergebnis einer Befragung, die Beyond Identity unter 1.008 Mitarbeitern in unterschiedlichen Firmen durchführte. 41,7 Prozent der befragten Anwender räumten beispielsweise ein, dass sie Passwörter am Arbeitsplatz weitergegeben haben und gemeinsam mit den Kollegen nutzen. Angestellte in mittelständischen Unternehmen praktizieren dieses Vorgehen besonders häufig. Zwei Drittel der in diesem Umfeld befragten Angestellten gaben zu, ihre Passwörter mit Kollegen zu teilen.

Im Rahmen der Studie wurden die Teilnehmer zu ihren Passwortgewohnheiten und -tendenzen interviewt. Gefragt wurde u. a. danach, für wie sicher Passwörter gehalten werden, und wie die Nutzer den Überblick behalten, wenn sie für unterschiedliche Anwendungen verschiedene Passwörter nutzen. Demnach halten 45 Prozent ihre Passwörter für sicher, 26,3 Prozent sind sogar der Ansicht, dass ihre Passwörter sehr sicher sind. Allerdings gab die Mehrzahl der Befragten zu, dass sie sich ihre vermeintlich sicheren Passwörter durch nicht wirklich sichere Methoden merkten. So notieren 34 Prozent der Befragten ihre Passwörter ganz altmodisch in einem Notizbuch oder auf einem Stück Papier.

Passwort-Manager sind anfällig für Hackerangriffe

Auch die digitale Aufzeichnung der Passwörter ist eine beliebte Option. Mehr als ein Viertel der Mitarbeiter verließ sich ausschließlich auf ihr Gedächtnis, um den Überblick über die Passwörter zu behalten. Einen Passwort-Manager verwenden der Studie zufolge nur wenig mehr als 38 Prozent der Mitarbeiter. Die Option, Online-Anmeldedaten in einer Softwareapplikation zu speichern hilft, Passwörter automatisch zu generieren und Anmeldevorgänge zu beschleunigen. Zudem bleibt die Identität der Mitarbeiter geschützt. Allerdings sind Passwort-Manager auch anfällig für Hacker-Angriffe. Wird die Software infiltriert, hat ein Angreifer Zugang zu der gesamten Passwortsammlung eines Nutzers.


Anzeige

Bequemlichkeit ist im Umgang mit Passwörtern ein großer Risikofaktor für die Cybersicherheit. Deshalb müssen Unternehmen ihre Regeln zur Cybersicherheit klar und konkret formulieren, damit sie effektiv sind. Fast 73 Prozent der Befragten bewerten die Passwort-Protokolle und -Richtlinien in ihrem Unternehmen als richtig und ausreichend. 10,8 Prozent halten sie für zu lasch und 16,3 Prozent glauben, dass die Regeln in ihrer Firma zu streng sind. Mitarbeiter kleinerer Firmen waren am ehesten der Meinung, dass ihr Arbeitgeber die Sicherheitsregeln nicht streng genug durchsetzt. Diese Gruppe gab auch am häufigsten an, ihre Passwörter selten oder nie zu ändern. Ein Grund dafür sei, dass es dazu keine Verpflichtung gäbe, so die Befragten.

In vielen Unternehmen gibt es allerdings genaue Regeln dafür, wann und wie Passwörter aktualisiert werden müssen. Über 80 Prozent der Befragten gaben an, dass ihr Unternehmen über entsprechende Richtlinien verfügt und zur Information der Mitarbeiter automatisierte Erinnerungshilfen einsetzt.

Automatisierung befeuert Produktivität

Die Befragung durch Beyond Identity belegt, dass ein schnelles und komfortables Verfahren zu Authentifizierung und Identifizierung von Nutzern ein wichtiges Werkzeug im Kampf gegen die Cyberkriminalität im Firmennetz sein kann. Mitarbeiter, die sich nicht erst durch ein umständliches Regelwerk arbeiten müssen, um Zugang zu Daten und Informationen zu bekommen, sind produktiver und halten sich an die Regeln zur IT-Sicherheit. Das passwortlose Authentifizierungssystem von Beyond Identity bietet eine solche einfache Lösung für jede IT-Umgebung an. Das System verhindert Sicherheitsprobleme und Schäden, die durch den unachtsamen oder missbräuchlichen Umgang mit Passwörtern entstehen können.

Hintergrund zur Umfrage

An der Befragung zum ihren Passwort- und Sicherheitspraktiken nahmen 1.008 Mitarbeiter unterschiedlicher US-Unternehmen teil. Von den Befragten waren 57,6 Prozent Männer und 42 Prozent Frauen. Vier Teilnehmer waren nicht-binär. Das Durchschnittsalter der Befragten lag bei 37,9 Jahren. „Unsere Erfahrungen aus der Praxis zeigen, dass die US-Werte sich auch auf die Anwender anderer Industrienationen übertragen lassen, denn die Verhaltensweisen ähneln sich weltweit", erklärt Tom Jermoluk, CEO und Mitbegründer von Beyond Identity und betont: „Cybersicherheit geht uns alle an."


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

11 Antworten zu Sicherheitsfalle Passwort

  1. Luzifer sagt:

    Ich frag mich da welche neue Erkenntnis dabei rausgekommen sind, hab jetzt nichts neues in dem Artikel gefunden, sondern nur altbekanntes das man eigentlich seit Jahren schon kennt. Das das "unnötige" PW ändern einen Sicherheitsgewinn bringt ist längst widerlegt … führt häufiges PW ändern doch genau dazu das man sich eher leicht merkbar (und damit erratbare) PW nutzt oder die sonst wo notiert.
    Also wieder mal eine Studie die keine Neuen Erkenntnisse bringt, so nach dem Motto: Hauptsache eine Studie gemacht.

    • Dat Bundesferkel sagt:

      Das ist keine Studie. Es ist eine als "News getarnte Werbung.". Dieser Kram ist leider mittlerweile viel zu sehr verbreitet. In Germanistan nennt man es auch "Schleichwerbung", im Englischen auch unter "Native Advertising und Advertorials" bekannt.

      "Das passwortlose Authentifizierungssystem von Beyond Identity bietet eine solche einfache Lösung für jede IT-Umgebung an."

      Derlei Erzeugnissen kann und sollte man nur auf eine einzige Art und Weise begegnen: Ignoranz. Jede Auseinandersetzung (auch Kritik) erreicht letztlich das gewünschte Ergebnis der Werbetreibenden.

  2. Janami25 sagt:

    Ich kann nur für mich sprechen. Inzwischen ist es so schlimm mit den permanenten Passwort Änderungen in unserer Firma geworden, das man sich die eben nicht so einfach alle merken kann, und diese auch aufschreiben muss. Wo dann das ganze dann noch sicher sein soll, ist mir ein Rätsel. 90% der Leute beschweren sich darüber, wie die Situation momentan ist.

    Wir pendeln ständig zwischen Produktion (im Arbeitsanzug) und Rechner (eingaben) hin- und her, natürlich muss man sich dann persönlich einloggen (3 Rechner, 10 Leute anwesend!). Wir dürfen weder Smartphones in unserem Bereich nutzen, und sollen Passwörter wenn möglich auch nicht notieren, so der Chef. ;)

    Sowas können sich wirklich nur Bürokraten ausdenken, die nicht in der Realität leben, die 8h vor dem PC sitzen, Ihren Passwort Manager am Smartphone griffbereit haben, und keinen gemeinschaftlichen Rechner nutzen müssen, an dem ständig jemand anderes der Mitarbeiter eingeloggt ist, denn wir haben nun mal kein Büro dafür.

    Tja, und dann natürlich einmal im Monat für sämtliche Zugänge alle Passwörter ändern…Wenn man dann noch mitarbeitender Vorgesetzter ist, wie Ich, hat man damit schon 1,5h zu tun. Wenn das ganze nur noch alle 3 Monate geändert werden müsste, wäre schon gut geholfen. Aber hier kocht inzwischen jeder Zugang bzw. "Service" sein eigenes Süppchen, weil vieles ausgegliedert wurde. Und jeder hält sich für Über-Wichtig, natürlich der Sicherheit wegen.

    Ich wollte dazu nur anmerken, ob Werbung oder nicht, ich finde der Bericht stimmt komplett, und ich sehe da persönlich null Mehrwert an Sicherheit, wenn man so oft und regelmässig die Passwörter ändern muss. In einem absolut kritischen Bereich könnte ich es ja noch verstehen, aber den gibt es bei uns ganz bestimmt nicht.

    Bürokratismus Pur.

    • Dat Bundesferkel sagt:

      Vor gefühlt 347 Jahren gab es (auch vom deutschen Anbieter) ReinerSCT die Möglichkeit, sich mit Smartcards anzumelden.

      Selbst Windows liefert diese Schnittstelle noch mit. Kombiniert mit einer PIN-Eingabe ist das eine durchaus sichere Möglichkeit, sich zu authentifizieren.

      Aber hey, lieber ein bißchen Trallala und Trullala machen. Sowas nennt man blinden Aktionismus. Eigentlich kennt man das nur aus der Politik (zuletzt bei der Corona-Pandemie), inzwischen scheint es aber auch private Unternehmen befallen zu haben.
      Liegt wohl am Lehrstoff der BWL'ler, daß so unüberlegte, völlig sinnfreie und inkonsequente Lösungen rausgerotzt werden.

      K.I.S.S. – das ist die einzig sichere Option. Alles andere wird über kurz oder lang so kompliziert, daß man a) nachlässig wird oder b) keine Übersicht mehr hat. In beiden Fällen ist jedwede erwünschte Sicherheit am Ar… .

  3. Walter G. sagt:

    Ich traue einem passwortlosen Identitätsmanagement genauso wenig wie einem Passwort-Manager. Bei jedem Programm, das als Passwort-Manager bekannt ist, weiß ein Angreifer genau, dass er darin alle nötigen Angaben findet, die er begehrt. Warum nicht ein simples anderes Programm anwenden, das dies nicht so einfach erkennen lässt? Ich nutze seit Jahren "Steganos LockNote", das mit AES256 verschlüsselt und habe der EXE-Datei einen unverdächtigen Namen verpasst. Es läuft ohne Installation (und nur unter Windows) und kann auch irgendwo in den Tiefen der Ordnerstruktur stehen – dort, wo es keiner vermutet. Wer es noch sicherer möchte, packt diese Datei noch in eine verschlüsselte ZIP-Datei und kann damit seine Daten mit 2 unterschiedlichen Passwörtern schützen. Bei Änderungen muss sowohl in der EXE- als auch in der ZIP-Datei gespeichert werden.

    LockNote bietet als simpler Text-Editor zwar weniger Komfort, den Nachteil nehme ich für mehr Sicherheit aber gern in Kauf.

    Seit meiner Umstellung auf Linux greife ich auf LockNote mit einer von Internet abgeschotteten Windows-VM zu – auch kein Problem.

    • Freizeitadmin sagt:

      > … habe der EXE-Datei einen unverdächtigen Namen verpasst. Es läuft ohne Installation (und nur unter Windows) und kann auch irgendwo in den Tiefen der Ordnerstruktur stehen – dort, wo es keiner vermutet …

      Tipp dazu: Windows merkt sich aufgerufene EXE Dateien, man kann sie in der Registry nachlesen oder mit z.B. ExecutedProgramsList von nirsoft schön auflisten.

      nirsoft.net/utils/executed_programs_list.html

    • 1ST1 sagt:

      Ich nutze einfach KeePass für meine Passwortsammlung. Klar, das ist so ein Tool nach dem jeder Hacker auf der Platte suchen würde, wenn er nach Passwörtern sucht, aber es ist ja selbst passwortgeschützt und wurde bisher nicht geknackt. Schick dabei ist, dass es von nirsoft ein Tool gibt, welches alle im Browser und System (WLAN-PW) gespeicherte Passwörter in einer CSV exporiert, mit ein bischen Handarbeit kann man dass wieder in KeePass importieren und hat sie nullkommanix gesichert.

      Für verschlüsselte ZIPs gabs mal Passwortknacker, ob das noch geht, weiß ich aber nicht mehr. Habe aber auch schon mitbekommen, dass Leite ihre Passwörter in einem verschlüsselten Tab von OneNote (immerhin AES256) notieren.

      • Luzifer sagt:

        das musst du auch gar nicht knacken, da reicht es einen keylogger auf dein System zu bringen, nutzt du dann regulär deinen PC –> Bingo! alle PW freihaus!

        PW haben auf dem Rechner für den sie sind nix zu suchen egal ob verschlüsselt oder nicht!

    • Schrägar der Heckliche sagt:

      Yep, „Steganos LockNote" verwende ich auch seit Jahren. Läuft leider nur unter Windows. Für Linux muß dann halt "Brain.2.0" (ohne *.exe) herhalten. Funktioniert dafür aber auch ohne Internet und sogar ohne Strom! :D

  4. Featmyday sagt:

    Ich hab bis zur Rente vor 3 Jahren beim US Militär gearbeitet und deren IT-Infrastruktur und IT-Abteilung war nicht von GI-Joe gewartet, sondern von Profis. Logisch für ein Miltärnetz, das hunderttausende Attacken pro Jahr überstehen muss.

    Wir hatten (und es ist immer noch so) Smart-Cards, was einen fliegenden Wechsel am selben Rechner möglich macht und auch sicher ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.