#ChangeYourPasswordDay: Worauf Unternehmen bei der IT-Sicherheit achten müssen

Kategorie der Pressemeldung: 
Mitteilung: 

Cyberangriffe und die illegale Verbreitung riesiger Passwort-Datenbanken im Internet nehmen stetig zu, zuletzt etwa durch bis zu 68 Millionen kompromittierte Dropbox-Accounts. Angesichts des heutigen „Change Your Password Day“ stellt sich gerade jetzt die praktische Frage danach, was Management, IT-Verantwortliche und Mitarbeiter tun können, um die Sicherheit des Passwort-Managements im Unternehmen zu steigern.

Das Management sollte zunächst mit gutem Vorbild vorangehen und die Wichtigkeit der Informationssicherheit im Unternehmen hervorheben. Ausgangspunkte können sein:

 Informationssicherheits-Management-Systeme nach ISO/IEC 27001
 Passwort-Management gemäß ISO/IEC 27002 bzw. IT-Grundschutz
 Passwort- oder Kryptographie Richtlinien
 Schulungen und Workshops zum sicheren Umgang mit Passwörtern

Den IT-Verantwortlichen kommt die Aufgabe der Implementierung sicherer, vorkonfigurierter IT-Prozesse und Anwendungen zu. Grundlegende Anforderungen lauten:

 Passwörter dürfen niemals im Klartext abgespeichert werden
 Passwörter sind mit anerkannten Verfahren zu hashen (z.B. SHA-256)
 Passwörter sind vor dem hashen mit einer zufälligen Zeichenfolge zu versehen, dem Salt, um die systematische Rückführung von Hashes zu erschweren
 Passwörter sollten von einer Mehr-Faktor-Authentifizierung begleitet werden

Auf der organisatorischen Seite ist den Mitarbeitern die notwendige Sensibilität für das Thema „Sichere Passwörter“ zu vermitteln und woran sich ein sicheres Passwort ausmacht:

 Mindestlänge von Passwörtern (z.B. 10 Zeichen)
 Komplexitätsanforderungen (z.B. Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen)
 Regelmäßige Änderung von Passwörtern (z.B. alle 90 Tage)
 Geheimhaltung von Passwörtern

Simone Rosenthal (Rechtsanwältin und Geschäftsführerin vo ISiCO Datenschutz):
„Das Fazit dürfte im Rahmen steigender Cyberangriffe stets ähnlich ausfallen: Statt in Aktionismus zu verfallen, sollten längerfristige Sicherheitsprozesse implementiert werden, die das Management selbst anstößt (z.B. ein ISMS nach ISO/IEC 27001). Risikobasierte Ansätze sind hierbei Pflicht, um sich gerade nicht vom vorgenannten Aktionismus treiben zu lassen („Schlagzeile: 100 Millionen gestohlene Passwörter bei Firma XYZ“), sondern von konkreten Risiken und Bedürfnissen der eigenen Organisation.“

Firmenporträt:
Die ISiCO Datenschutz GmbH ist ein führendes Beratungsunternehmen in den Bereichen Datenschutz und Datenschutz-Compliance sowie IT- Sicherheit. Wir beraten unsere Kunden bei der Umsetzung der nationalen, europäischen und internationalen Datenschutzbestimmungen im Unternehmen und der Implementierung von IT-Sicherheits- und Compliance-Systemen. Wir begleiten die Umsetzung von Informationssicherheits-Managementsystemen nach ISO27001 und deren Zertifizierungen. Für die ISiCO arbeiten Rechtsanwälte und IT-Fachberater in interdisziplinären Teams zusammen.

Kontakt:
ISiCO Datenschutz GmbH │Am Hamburger Bahnhof 4 │10557 Berlin Tel +49 (0)30 213002850 Fax +49 (0)30 213002899
│www.isico-datenschutz.de │Geschäftsführung: Simone Rosenthal │ E-Mail: berlin@isico-datenschutz.de │ PR-Anfragen: Deborah Reusch reusch@isico-datenschutz.de