Startseite > Office & Kommunikation > Offene Tore

IT-Sicherheitsmängel im Mittelstand

Offene Tore

7. Juli 2017, 13:34 Uhr | Axel Pomper

Allen Beteuerungen zum Trotz: Unsichere Passwörter öffnen Datendieben in vielen mittelständischen Unternehmen Tür und Tor. Christian Strobel,von Mateso greift im Funkschau-Interview die aktuelle Sicherheitslage auf. Zudem skizziert Strobel, wie sich Unternehmen besser schützen können.

funkschau: Aktuelle Umfragen scheinen eklatante Sicherheitsmängel beim Umgang mit Passwörtern zu belegen. Gilt das auch für den deutschen Mittelstand? Wie schätzen Sie deren Sicherheitslage ein?

Christian Strobel: Bedauerlicherweise kann ich diese Aussage zum größten Teil bestätigen. Viele Unternehmen fliegen hier bei Nebel und schlechter Sicht durch die Berge und vertrauen auf das „Glück“. So metaphorisch gesprochen gilt dies leider auch im Bereich Passwort-Management. Ganz nach dem Motto: „Mir wird schon nichts passieren!“ Fatalerweise wissen viele Unternehmer nicht, wie schnell Passwörter gehackt werden können und vernachlässigen daher die Sicherheit.

56 Prozent der Mitarbeiter verwenden vermutlich aus Bequemlichkeit die gleichen Passwörter privat wie auch im Unternehmen. Allein diese Tatsache ist schon beunruhigend. Viele nutzen beispielsweise auch eine Zahl am Ende des Passwortes und zählen diese hoch. Auch hierfür gibt es bereits statistische Werte, an denen sich Hacker ganz bequem bedienen können. .

Ebenso sind die vielen Service-Accounts in Unternehmen ein „Gratis-Buffet“. Diese Passwörter werden oft nur stiefmütterlich behandelt und sogar via Klartext unverschlüsselt an den Mitarbeiter übertragen, welcher den Account angefragt hat. Ein weiteres Sicherheitsproblem ist, dass niemand ältere Service-Accounts ändern möchte, da man nicht sicher weiß, welche Software sich dessen Zugängen bedient. Demnach schlummern hier noch Passwörter, welche identisch sind und weniger als 8 Zeichen haben.

Kurz gesagt, es gibt eine Menge zu tun und viel Verbesserungspotential in Unternehmen. Packen wir’s an!

funkschau: Sehen Sie einen Trend hin zu verstärkten Sicherheitsanstrengungen im Mittelstand?

Strobel: Definitiv, ein Trend zu mehr Sicherheit ist spürbar. Unglücklicherweise ist dieser aber noch nicht überall angekommen. Sei es aus Kostengründen oder auch weil vermeintlich wichtigere Projekte eine höhere Priorität haben. Daher ist absehbar, dass es aus diesem Grund mehr gesetzliche Vorgaben zur Sensibilisierung von Unternehmen geben wird. Das Thema Sicherheit soll mit Hilfe der neuen Gesetze in den richtigen Fokus gerückt werden. Einen zentralen Punkt wird hierbei das Passwort-Management darstellen. Da sich Deutschland auf Rang 4 der meistangegriffenen Länder befindet, ist ein bewussterer Umgang mit diesem Thema für deutsche Unternehmer unabdingbar.

funkschau: Unter der Schirmherrschaft des Bundesinnenministeriums verbreitet ein eigener IT-Sicherheitsblog für den Mittelstand Tipps zu sicheren Passwörtern, etwa den Hinweis auf eine „angemessene Länge von mindestens 8 Stellen“. Was halten Sie von diesen Tipps?

Strobel: Diese Tipps sind bekannt, aber in der Praxis leider nicht umsetzbar. Besonders nicht in einem Unternehmen. Je nach Mitarbeiterrolle (Administrator, End-Anwender, etc.) haben diese Zugriff auf mehrere Passwörter. Bereits ein normaler Anwender hat heutzutage laut Statistik ca. 5 - 8 Passwörter zu verwalten. IT-Administratoren weitaus mehr. Die Mitarbeiter im Unternehmen müssen sich jeweils verschiedene sichere Passwörter merken. Für jeden Zugang müssten sie sich einen Satz ausdenken. Dies halte ich in der Unternehmenswelt für nicht durchführbar. Bei vielen Programmen ist ein Passwortwechsel nach einer bestimmten Zeit Pflicht. Bereits jetzt merkt man die Problematik, denn der Mitarbeiter müsste sich nun wieder einen neuen Satz merken. Wir Menschen sind von Natur aus bequem. Der Mitarbeiter wird also bei vielen Zugängen das ähnliche oder sogar das gleiche Passwort verwenden. Hierdurch ist die Sicherheit im Unternehmen stark gefährdet. Zudem ist eine Passwortlänge von 8 Zeichen, wie im Blog beschrieben, inzwischen nicht mehr als „sicher“ einzustufen. Dieses vermeintlich sichere Passwort „W!bCym)5“ aus 8 Stellen lässt sich bereits unter 10 Stunden errechnen, mit Spezialprogrammen und leistungsfähiger Hardware ist es in kürzerer Zeit möglich.

Aus meiner Sicht handelt jedes Unternehmen, welches kein aktives Passwort-Management betreibt, grob fahrlässig. Sie vernachlässigen lauernde Gefahren. Erst wenn ein Schaden entstanden ist, wird reagiert.