Startseite > Security > Reste von gestern

Veraltete IT-Security-Tipps

Reste von gestern

22. Februar 2023, 7:00 Uhr | Corey Nachreiner/wg

Mit geeigneten Security-Lösungen hat man die weltweite Bedrohungssituation jederzeit im Blick.

Beim Thema Cybersecurity sind vor allem diejenigen Unternehmen im Nachteil, die sich nicht weiterentwickeln und auf einem veralteten Status quo verharren. Denn einige allseits bekannte Praktiken, die vor zehn, fünf oder auch nur zwei Jahren sinnvoll waren, sind heute überholt. Hier folgen die Top 8 der Security-Tipps, die man besser in Rente schicken sollte.

1. Passwörter sollten mindestens acht Zeichen lang sein: Einer der ersten Sicherheitstipps, den ein durchschnittlicher Benutzer hört, ist der zur Verwendung eines möglichst langen Passworts. Vor zehn Jahren sollte ein Kennwort mindestens acht Zeichen umfassen. Daraus ließen sich Hunderte von Milliarden möglicher Kombinationen erstellen. Für heutige Computer mit leistungsstarken Grafikprozessoren ist die Entschlüsselung von acht Zeichen jedoch ein Klacks. In Sekundenschnelle lassen sich Abermillionen von Kombinationen durchprobieren. Aufgrund dieser technischen Entwicklung sollten aktuelle Passwörter eher zwölf oder – noch besser – 16 und mehr Zeichen lang sein. Allerdings ist es mittlerweile auch nicht mehr zielführend, sich nur auf die Passwortstärke allein zu konzentrieren.

2. Man sollte Passwörter regelmäßig ändern: Ein weiterer veralteter Tipp zielt auf das regelmäßige Ändern von Passwörtern ab – oder die Aufforderung an die Benutzer, dies zu tun. Diese Praktik war durchaus sinnvoll, solange diese Passphrasen noch die einzige Schutzmöglichkeit darstellten. Klar ist: Immer mehr Passwort-Datenbanken werden gestohlen, geleakt oder geknackt. Schätzungen zufolge gibt es mehr als 24 Milliarden gestohlene Zugangsdaten im Dark Web. Da viele Benutzer zudem oft dasselbe Passwort oder dieselbe Kombination an Passwörtern verwenden, könnten Angreifer damit auch das Kennwort des Unternehmens erfahren. Ob eine Kompromittierung vorliegt, ließ sich in der Vergangenheit nur bei Bekanntwerden einer Sicherheitslücke herausfinden (was meistens nicht der Fall ist). Aus diesem Grund galt es als gute Praxis, Passwörter regelmäßig zu ändern, um für den Fall der Fälle gewappnet zu sein.

Das Problem ist nur: Die meisten Menschen haben Schwierigkeiten damit, lange und komplexe Passwörter zu verwenden. Und selbst wenn sie es tun, ändern sie diese nicht gern. Das führt dazu, dass ein dahingehender Zwang Benutzer dazu verleitet, das System zu umgehen. Sie tauschen zum Beispiel nur eine Ziffer aus oder nehmen andere triviale (und leicht zu erratende) Änderungen vor. Die Lösung dafür besteht in der Ein-führung einer zusätzlichen Schutzschicht per Multi-Faktor-Authentifizierung (MFA). Mit MFA kann ein Unternehmen auf die periodische Änderung von Passwörtern verzichten – vorausgesetzt, es gibt keinen eindeutigen Hinweis darauf, dass ein bestehendes Login kompromittiert wurde.

3. Starke Passwörter sind ein Muss: Dieser Punkt ist zugegebenermaßen kontrovers. Denn ungeachtet dessen, was in den beiden vorangegangenen Abschnitten Thema war, ist es veraltet und eine Zeitverschwendung, darauf zu bestehen, dass Benutzer die bewährten Verfahren für sichere Kennwörter befolgen. Aus technischer Sicht ist die Sicherheitsmaßnahme zweifelsfrei gut – aber nur auf dem Papier. Denn in der Konsequenz bedeutet es, für jede Website ein anderes, völlig zufällig generiertes 24-Zeichen-Passwort zu verwenden. Da sich aber kein normaler Mensch Hunderte solcher Zeichenfolgen merken kann, sollte man eine MFA-Lösung mit einem Passwort-Manager kombinieren. Damit lässt sich nicht nur unternehmensweit eine starke Passwort-Richtlinie durchsetzen. Bei einem Leak lassen sich automatisch spezifische oder gar alle Zugangsdaten ändern. Anstelle vieler Passwörter muss sich der Anwender künftig nur noch jenes für den Passwort-Manager selbst merken. Ein „Passwortsatz“ mit Leerzeichen und Satzzeichen bietet die für die Sicherheit notwendige Länge und Komplexität, zudem lässt er sich leicht merken.

4. Obacht bei Links und Anhängen von Fremden: Dieser Tipp ist nicht veraltet, weil er falsch ist, sondern weil er nicht umfassend genug ist. Nutzer sollten allen Links und Anhängen skeptisch gegenüberstehen – selbst wenn diese von Personen kommen, die sie kennen. Denn bösartige Akteure versuchen oft, sich als Bekannte auszugeben oder die Konten von Kollegen zu hacken, um direkt darüber Korrespondenz zu versenden. Argwohn ist daher immer angebracht. Gerade Dokumente von Führungskräften, die unerwartete Inhalte enthalten und zu unüblichen Arbeitszeiten verschickt wurden, verdienen ein gesundes Maß an Misstrauen. In solchen Fällen sollte der Endanwender den Vorgang immer über einen anderen Kanal hinterfragen.