Security Awareness der Mitarbeiter fordern und fördern, Teil 2

Sicherheitssensibilisierung am Beispiel der Passwörter

| Autor / Redakteur: Dirk Schadt, (ISC)²-zertifizierter CISSP / Stephan Augsten

In einigen Bereichen, beispielsweise beim Passwort-Management, muss man den Mitarbeitern eine Hilfestellung geben.
In einigen Bereichen, beispielsweise beim Passwort-Management, muss man den Mitarbeitern eine Hilfestellung geben. (Bild: trueffelpix - Fotolia.com)

Security Awareness ist kein Selbstläufer, sondern muss vom Unternehmen aktiv vermittelt werden. Wie eine entsprechende Kampagne aussehen kann, lässt sich gut an einem gängigen Beispiel durchspielen: Wie bringe ich meine Mitarbeiter dazu, starke Passwörter zu wählen und diese auch nur bei einem Zugang zu nutzen?

Viele Unternehmen sind der Meinung: Wir setzen Zertifikate, Einmal-Passwörter und Single-Sign-On ein – da wo es darauf ankommt, sind wir sicher. Wenn sie ehrlich zu sich selbst wären, würden sie schnell feststellen, dass das nicht zutrifft. Nur ein Teil der Systeme lässt sich über Zertifikate und Co. sichern.

Viele Systeme können schlicht nicht anderes als Username und Passwort verarbeiten und beeinflussen damit die vermeintlich so sicheren Authentisierungsstrukturen. Vergessen werden hier auch gerne die Systeme von Partnern und Dienstleistern, die man als Unternehmen nicht beeinflussen kann, aber die in Geschäftsprozessen doch genutzt werden müssen.

Als Schlussfolgerung lässt sich festhalten, dass sich der Themenkomplex Passwörter immer dazu anbietet, im Rahmen einer Security-Awareness-Kampagne behandelt zu werden. Wie solche Sensibilisierungstrainings grundlegend aufgebaut sind, haben wir bereits gelernt. Im Folgenden widmen wir uns der praktischen Umsetzung.

Zielgruppe, Zweck und Ziel

Als Zielgruppe werden üblicherweise alle Personen definiert, die sich im Unternehmen mit Passwörtern und Benutzerkennung an IT-Systemen anmelden müssen. Für Kundenportale o. ä. müssten andere Ansätze und Schlussfolgerungen gezogen werden.

Der Zweck ist, dass die Mitarbeiter ihre Passwörter nirgendwo im Klartext aufschreiben zu müssen. Nutzer erhalten dann trotzdem die Chance, komplexe Passwörter zu bilden, die sie sich merken können und Änderungen nachvollziehbar machen.

Das Ziel wäre erreicht, wenn in einem Audit festgestellt werden kann, dass auf unterschiedlichen Systemen auch unterschiedliche Passwörter mit ausreichender Komplexität verwendet werden und die angebotenen Hilfsmittel eingesetzt werden.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42827370 / Security Best Practices)