Eine Nachricht über einen Messanger-Dienst oder eine E-Mail an einen Kollegen mag der schnellste Weg sein, um Passwörter weiterzugeben. Doch es ist ein unsicherer und riskanten Weg, der das gesamte Unternehmen einem hohen Risiko durch Cyberangriffe aussetzt.
Viele Unternehmen, insbesondere solche, die im technischen und digitalen Bereich tätig sind, benötigen eine kontinuierliche Kommunikation und die gemeinsame Nutzung von Online-Dateien. Daher ist in einer kollaborativen Arbeitsumgebung oft die gemeinsame Nutzung von Konten erforderlich. Das bedeutet, dass Mitarbeiter einen einfachen Weg finden müssen, um Zugänge und Passwörter untereinander weiterzugeben – möglichst ohne das Risiko, das Unternehmen einem Cyberangriff auszusetzen.
Der sichere Weg für den Austausch von Kennwörtern
Im Cybersecurity Census Report 2022 hat Keeper Security herausgefunden, dass nur 13 Prozent der befragten Unternehmen in Deutschland bestens mit einem System für die Identitätskontrolle ausgerüstet sind. 56 Prozent geben ihren Mitarbeitern zumindest eine Anleitung und 31 Prozent überlassen die Identitätskontrolle inklusive des Umgangs mit Passwörtern ihren Mitarbeitern. Das Risiko scheint entweder nicht allen bewusst zu sein oder es wird in Kauf genommen.
Der sicherste Weg, Kennwörter zu speichern und weiterzugeben, ist ein Passwortmanager auf einem kennwortgeschützten Gerät. Passwort-Manager bieten oft mehrere Verschlüsselungsebenen, die es Cyber-Angreifern praktisch unmöglich machen, das Gesuchte lesbar zu finden. Mit der Zero-Knowledge-Verschlüsselung kann niemand außer dem Benutzer die Daten einsehen – auch nicht der Anbieter des Passwortmanagers und auch nicht ein Angreifer.
Einige Passwortmanagement-Tools, insbesondere für die Nutzung in Unternehmen, bieten sichere Freigabefunktionen. Diese machen es einfach, Mitarbeitern einen gemeinsamen Zugang zu gewähren, ohne die Details von Benutzernamen und Passwort preiszugeben. Wünschenswert bei Passwort-Managern ist zudem eine Multi-Faktor-Authentifizierung (2FA/MFA), die auf Rollenebene erzwungen werden kann. Generell ist es empfehlenswert, 2FA/MFA auf allen Plattformen zu aktivieren, um die Sicherheitslage des Unternehmens und der Teams zu verbessern.
Riskante Methoden für Passwörter
Die gemeinsame Nutzung von Passwörtern ist unter Internetnutzern innerhalb und außerhalb des Arbeitsplatzes weit verbreitet. Eine Umfrage von The Zebra, NBC News und dem Pew Research Center ergab, dass 79 Prozent der Benutzer zugaben, Passwörter mit jemandem außerhalb ihres Hauses zu teilen.
Unternehmen, die keinen Passwortmanager verwenden, nutzen möglicherweise unsichere Methoden zur Speicherung und Weitergabe von Passwörtern. Das kann zu finanziellen Verlusten und einem erhöhten Risiko eines Cyberangriffs führen. Im Cybersecurity Census Report 2022 betrugen die Auswirkungen eines Cyberangriffs in Deutschland zwischen 10.000 und 49.999 Euro.
Die riskantesten Methoden der Passwortweitergabe
Nutzer, die nicht auf die Funktionen eines guten Passwortmanagers zurückgreifen, nutzen viele unterschiedliche Methoden, um die geheimen Zugangsdaten untereinander auszutauschen. Unter diesen Umständen kann in einem Unternehmen weder gewährleistet werden, dass nur diejenigen Zugang zu Passwörtern bekommen, die auch dafür berechtigt sind und es besteht kaum eine Sicherheit, dass die geheimen Zugangsdaten nicht in die Hände von unbefugten Dritten gelangen. Sechs der beliebtesten und riskantesten Methoden sind:
Weitergabe via Online-Dokumente
Im Keeper Workplace Password Malpractice Report 2021 bestätigten 49 Prozent der Befragten, arbeitsbezogene Passwörter in einem Cloud-Dokument zu speichern. 51 Prozent speichern Passwörter in einem Dokument auf ihrem Computer und 55 Prozent speichern arbeitsbezogene Passwörter auf ihren Mobiltelefonen.
E-Mails mit Passwörtern
E-Mails sind eine der beliebtesten Kommunikationsformen am Arbeitsplatz. Sie werden in der Regel im Klartext und ohne Verschlüsselung versendet. Wenn ein E-Mail-Posteingang kompromittiert wird, haben unbefugte vollen Zugriff auf Kennwörter, die per E-Mail verschickt wurden.
Textnachrichten/SMS mit Passwörtern
Ähnlich wie bei E-Mail-Diensten gibt es bei Textnachrichten keine Sicherheit. Die Textnachricht ist für jeden lesbar, der sie abfangen kann.
Passwörter via Online-Messager
WhatsApp, Slack und Microsoft Teams sind beliebte Tools für die Kommunikation zwischen Mitarbeitern für die schnelle Projektaktualisierung oder für zwanglose Gespräche. Obwohl viele dieser Cloud-Dienste verschlüsselt sind, bleiben die Anwendungen auf den Geräten meist offen oder laufen im Hintergrund.
Physische Dokumente
Das Aufschreiben von Passwörtern in ein Notizbuch oder auf einen Zettel kann zwar Cyberkriminelle davon abhalten, auf Anmeldedaten zuzugreifen. Die Zugangsdaten können allerdings in der Offline-Welt leicht von einem Unautorisierten gestohlen werden.
Verbale Weitergabe von Passwörtern
Auch wenn ein persönliches Gespräch mit einem Kollegen die klassische Papier- und Online-Gefahr eliminiert, birgt es Risiken, da die Anmeldedaten laut ausgesprochen und somit mitgehört werden können.
Mehr bei KeeperSecurity.com[Keeper]