Warum unsichere Passwörter so gefährlich sind 5 praktische Tipps zur Passwortsicherheit

Autor / Redakteur: Nils Schwarz / Peter Schmitz

Im Zeitalter des Datenschutzes und der DSGVO sind unsichere Passwörter leider noch immer bei vielen kleinen und mittelständischen Unternehmen ein Problem. Die meisten Nutzer finden sie lästig und unterschätzen das enorme Risiko, das von unsicheren Passwörtern ausgeht.

Firmen zum Thema

Passwortsicherheit ist bei vielen KMUs noch immer ein absolutes Fremdwort.
Passwortsicherheit ist bei vielen KMUs noch immer ein absolutes Fremdwort.
(Bild: gemeinfrei / Pixabay )

Unsere Welt hat sich durch den Siegeszug des World Wide Webs in den letzten 25 Jahren komplett geändert - vieles läuft heute online: Shopping, Datenspeicherung, Informationsbeschaffung. Doch wo wichtige Daten lagern und Geld zu holen ist, wird auch kriminelle Energie geweckt. Die Möglichkeiten zum Datenmissbrauch werden immer ausgefeilter, jedoch stammt das Konzept des passwortbasierten Logins immer noch aus den Anfängen des Webs. Und die Anmeldung über Benutzername und Passwort gilt immer noch als Standard.

Jedes Jahr erstellt die Firma SplashData eine Liste der häufigsten und schlechtesten Passwörter - die Daten stammen aus Datenlecks von gehackten Websites. Im vergangene Jahr waren wieder Klassiker wie 123456 oder qwerty dabei, aber auch “kreative” Varianten wie 1q2w3e4r solcher gelangweilter Tastatureingaben.

Auch aus der Praxis lassen sich solche Erfahrungen bestätigen, nicht nur bei kleinen Firmen, sondern auch bei mittelständischen Betrieben oder Arztpraxen. “Der Schönheitschirurg mit dem Passwort botox123 oder der Messerhersteller mit richtigscharf1 begegnet uns im Alltag leider in ähnlichen Fällen immer wieder” gibt Geschäftsführer Christos Papadopoulos der Digitalagentur Aweos zu bedenken.

Jeder Nutzer, der ein solch fahrlässig einfaches Passwort verwendet, kann über kurz oder lang Opfer von Datenmissbrauch werden. Hacker kennen Listen mit häufigen Passwörtern ebenfalls und laufen sie automatisiert in Kombination mit gängigen Benutzernamen oder E-Mail-Adressen durch (Brute-Force-Attacke). Stellen Sie sich zum Beispiel vor, jemand bestellt auf Ihre Kosten für vier- oder fünfstellige Beträge, weil Ihr PayPal-Konto ein solches Passwort verwendet hat.

Schlimmer noch: Sie speichern auf Ihrem Server wichtige Kunden- oder Patientendaten und durch ein schlechtes Passwort von Ihnen oder einem Teammitglied gelangen sensible Daten an die Öffentlichkeit. Ein solcher Vorfall kann Ihre ganze wirtschaftliche Existenz bedrohen, da nicht nur der Vertrauensverlust enorm ist, aber auch spätestens seit Inkrafttreten der DSGVO die finanziellen Strafen für Versäumnisse beim Datenschutz gestiegen sind. Vorgesehen sind Strafen von bis zu 10 Millionen Euro oder 2 Prozent des weltweiten Jahresumsatzes - je nachdem was höher ist.

Inhaber von Unternehmen sollten sich daher des finanziellen Risikos bewusst sein, das Cyberkriminalität darstellt. In den letzten Jahren sind die Kosten für Vorfälle immer weiter gestiegen und lagen im Jahr 2018 durchschnittlich bei 13 Millionen Euro.

Wie kann ich meine Website besser absichern? 5 praxiserprobte Tipps

Für Website-Betreiber ist es nicht immer leicht herauszufinden, wo die Schwachstellen lauern. Gerade beim Thema IT-Sicherheit gibt es viel Nachholbedarf: „Sobald wir ein Projekt übernehmen, klären wir unsere Kunden über das Thema Sicherheit auf, vergeben neue, sichere Passwörter und implementieren weitere Sicherheitsfunktionen“, erläutert AWEOS-Gründer Christos Papadopoulos. Mit diesen fünf in der Agenturpraxis erprobten Tipps, verbessern Sie die Sicherheit deutlich.

  • 1. Verwenden Sie nur sichere Passwörter: Sie mögen lästig und schwer zu merken sein, aber Hacker beißen sich bei einer ansonsten sicheren Website immer noch die Zähne an einem starken Passwort mit 16 Zeichen oder mehr aus. Dieses sollte keine echten Wörter enthalten und am besten eine zufällige Kombination aus Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen sein.
  • 2. Ändern Sie alle Passwörter, auch die Ihrer Mitarbeiterinnen und Mitarbeiter: Eine Grundregel der IT-Sicherheit: sie ist immer nur so gut, wie das schwächste Glied. Ändern Sie daher auch alle Passwörter aller Teammitglieder, insbesondere wenn diese Administratorzugriff auf Ihre Website haben.
  • 3. Verwenden Sie Passwörter immer genau ein mal: Der Tipp mag trivial klingen, aber die Erfahrung mit Datenlecks zeigt, dass die selben Passwörter für unterschiedliche Accounts immer wieder genutzt werden.
  • 4. Nutzen Sie Zwei-Faktor-Authentifizierung (2FA): Viele Dienste haben 2FA schon zur Pflicht gemacht und auch für Unternehmenswebsites mit gängigen Content-Management-Systemen gibt es Lösungen, z. B. in Form eines WordPress-Plugins.
  • 5. Begrenzen Sie die Zahl der möglichen Anmeldeversuche bei Ihrer Website: So genannte Brute-Force-Angriffe beruhen darauf durch ein Computerprogramm alle möglichen Kombinationen aus Benutzernamen und Passwort durchzuprobieren. Begrenzen Sie also die Zahl der Anmeldeversuche pro Stunde auf 5-10, bremsen Sie damit Angreifer stark aus.

IT-Sicherheit zu Ende gedacht

Natürlich endet Sicherheit von Web-Anwendungen nicht beim Passwort. Jede Website ist anders und daher auch die Herausforderungen, die damit einhergehen. Eine individuelle Prüfung der Gegebenheiten sei immer hilfreich, meint Papadopoulos, denn nur so ließen sich Schwachstellen finden. Daher empfiehlt der Experte die eigene Website von einer Agentur oder einem IT-Dienstleister prüfen zu lassen um böse Überraschungen zu vermeiden. “Entsprechende Sicherheitsmaßnahmen sollten vom Profi durchgeführt werden, der auch andere Einfallstore kennt und eine Website ganzheitlich betrachtet”, ergänzt der Agenturchef.

Über den Autor: Nils Schwarz ist Bachelor of Science der Medieninformatik. Er hat als Selbstständiger IT-Dienstleister zahlreiche Web-Projekte betreut und arbeitet seit 2018 als Webdesigner und Projektmanager bei der Digitalagentur Aweos.

(ID:47035634)