Suchen

Security Awareness der Mitarbeiter fordern und fördern, Teil 2 Sicherheitssensibilisierung am Beispiel der Passwörter

| Autor / Redakteur: Dirk Schadt, (ISC)²-zertifizierter CISSP / Stephan Augsten

Security Awareness ist kein Selbstläufer, sondern muss vom Unternehmen aktiv vermittelt werden. Wie eine entsprechende Kampagne aussehen kann, lässt sich gut an einem gängigen Beispiel durchspielen: Wie bringe ich meine Mitarbeiter dazu, starke Passwörter zu wählen und diese auch nur bei einem Zugang zu nutzen?

Firmen zum Thema

In einigen Bereichen, beispielsweise beim Passwort-Management, muss man den Mitarbeitern eine Hilfestellung geben.
In einigen Bereichen, beispielsweise beim Passwort-Management, muss man den Mitarbeitern eine Hilfestellung geben.
(Bild: trueffelpix - Fotolia.com)

Viele Unternehmen sind der Meinung: Wir setzen Zertifikate, Einmal-Passwörter und Single-Sign-On ein – da wo es darauf ankommt, sind wir sicher. Wenn sie ehrlich zu sich selbst wären, würden sie schnell feststellen, dass das nicht zutrifft. Nur ein Teil der Systeme lässt sich über Zertifikate und Co. sichern.

Viele Systeme können schlicht nicht anderes als Username und Passwort verarbeiten und beeinflussen damit die vermeintlich so sicheren Authentisierungsstrukturen. Vergessen werden hier auch gerne die Systeme von Partnern und Dienstleistern, die man als Unternehmen nicht beeinflussen kann, aber die in Geschäftsprozessen doch genutzt werden müssen.

Als Schlussfolgerung lässt sich festhalten, dass sich der Themenkomplex Passwörter immer dazu anbietet, im Rahmen einer Security-Awareness-Kampagne behandelt zu werden. Wie solche Sensibilisierungstrainings grundlegend aufgebaut sind, haben wir bereits gelernt. Im Folgenden widmen wir uns der praktischen Umsetzung.

Zielgruppe, Zweck und Ziel

Als Zielgruppe werden üblicherweise alle Personen definiert, die sich im Unternehmen mit Passwörtern und Benutzerkennung an IT-Systemen anmelden müssen. Für Kundenportale o. ä. müssten andere Ansätze und Schlussfolgerungen gezogen werden.

Der Zweck ist, dass die Mitarbeiter ihre Passwörter nirgendwo im Klartext aufschreiben zu müssen. Nutzer erhalten dann trotzdem die Chance, komplexe Passwörter zu bilden, die sie sich merken können und Änderungen nachvollziehbar machen.

Das Ziel wäre erreicht, wenn in einem Audit festgestellt werden kann, dass auf unterschiedlichen Systemen auch unterschiedliche Passwörter mit ausreichender Komplexität verwendet werden und die angebotenen Hilfsmittel eingesetzt werden.

(ID:42827370)