Passwortsicherheit auf Amateur-Niveau
Die größten Firmen haben die dümmsten Passwörter
Wenn sie die üblichen Meldungen über beliebte Passwörter wie „Passwort“ lesen, glauben die CIOs und CISOs großer Unternehmen gerne, dass ihre gut geschulten Mitarbeiter es besser wissen. Das ist jedoch ein gefährlicher Trugschluss, wie eine detaillierte Untersuchung jetzt belegt.
Die regelmäßig von verschiedenen Anbietern veröffentlichten Listen mit den beliebtesten Passwörtern sind so etwas wie der ewig wiederkehrende Täglich-grüßt-das-Murmeltier-Moment der IT-Branche. Trotz der täglichen Berichte über die Wachsenden Cybergefahren und trotz aller noch so angestrengten Bemühungen, den Nutzern die Gefahren zu verdeutlichen und eine Änderung herbeizuführen, stehen am Ende doch wieder die üblichen Verdächtigen wie „Passwort“ und „123456“ ganz oben auf den Listen. Doch nicht nur die Nutzer halten sich offenbar für genauso clever wie unverwundbar, auch die Sicherheitsverantwortlichen glauben nur allzu gerne, dass ihre Schulungen, Warnungen und Passwort-Strategien solche gefährlichen Nachlässigkeiten im eigenen Unternehmen unterbinden. In besonderem Maße gilt das für große Unternehmen, die selbst im Technologie-Bereich tätig sind und daher von einem erhöhten Grundverständnis ihrer Mitarbeiter ausgehen.
Eine fatale Fehleinschätzung, wie jetzt eine aktuelle Studie von Nordpass zeigt. Der Passwortmanager-Anbieter hat sich die Mühe gemacht und die beliebtesten Passwörter der 500 weltweit größten Unternehmen (nach Marktkapitalisierung) aus 20 Branchen zusammengetragen. Dabei stellte sich beispielsweise heraus, dass die beiden ewigen Spitzenreiter „123456“ und „password“ auch bei Weltkonzernen extrem beliebt sind und in allen untersuchten Branchen unter den sieben häufigsten Passwörtern zu finden sind. Besonders peinlich: Ausgerechnet bei den untersuchten IT- und Technologie-Firmen belegen sie sogar ebenfalls die Plätze eins und zwei und machen es Hackern damit mehr als leicht, Zugänge zu kompromittieren. Ebenfalls besonders beliebt ist neben leichten Abwandlungen wie „12345678“ oder „Password“ auch die Praxis, den Firmennamen als Passwort zu verwenden. Einige vermeintlich besonders schlaue Zeitgenossen glauben gar, diese völlig durchlässigen Kandidaten durch eine Kombination sicher zu machen. Dass aber auch das keinen nennenswerten Schutz bietet, hat spätestens der Solarwinds-Hack eindrücklich bewiesen, bei dem Update-Server mit „Solarwinds 123“ abgesichert waren.
In anderen Branchen zeigen sich die Angestellten immerhin etwas kreativer oder gar regelrecht selbstkritisch. So gehört laut Nordpass etwa in der Immobilienbranche „sexy4sho“ zu den 20 beliebtesten Passwörtern, während in der Finanzbranche offenbar besonders viele urlaubsreife Zeitgenossen arbeiten, die ihre Zugänge mit „ready2go“, „vacation“, oder „summer“ abzusichern versuchen. Reichlich unkreativ zeigt sich im Vergleich die Gastronomie-Branche, in der 13 der 20 beliebtesten Passwörter aus dem Firmennamen oder Teilen davon bestehen. Ein Passwort, das zudem in fast allen nordamerikanischen Firmen gerne verwendet wird, ist „aaron431“, das sich auf den Footballspieler Aaron Rodgers bezieht, dessen Rookie-Sammelkarte die Nummer 431 trug. Und auch „linkedin“ findet sich in den Listen der meisten Branchen.
Diese Ergebnisse sorgten selbst bei den hartgesottenen Passwortprofis für verzweifeltes Kopfschütteln. Aus ihrer Sicht zeigen die Ergebnisse deutlich, dass die Nutzer den von ihren privaten Passwörtern gewohnten Schlendrian direkt auf den Arbeitsplatz übertragen – wo ganz offensichtlich ebenfalls noch immer viel zu wenig getan wird, um das zu unterbinden. „Es ist schon paradox, dass gerade die Unternehmen, die über die finanziellen Mittel verfügen, um in Cybersicherheit zu investieren, diese schwachen Passwörter zulassen“, konstatiert Nordpass-CEO Jonas Karklys. Für ihn ist damit einmal mehr klar bewiesen, dass alle Appelle an die Nutzer, sicherere Passwörter zu verwenden, weitestgehend wirkungslos bleiben: „Diese Studie beweist einmal mehr, dass wir alle zeitnah zu alternativen Lösungen der Online-Authentifizierung wechseln sollten.“ Gute Möglichkeiten dafür bieten beispielsweise Passkeys, oder noch besser eine Multifaktor-Authentifizierung (MFA). In Kombination mit einer Single-Sign-On-Lösung vereint diese Sicherheit und Komfort.
Wer weiterhin auf Passwörter setzt, sollte lieber lange und komplexe Passwörter fordern, als einen regelmäßigen Wechsel. Mit einem Passwortmanager lassen sich diese für den Nutzer genauso einfach erstellen wie verwalten. Ähnliches gilt auf der anderen Seite für die Administratoren, die ebenfalls Möglichkeiten brauchen, um Konten und Zugriffsrechte zuverlässig im Auge zu behalten und zu managen. In vielen Firmen gibt es hierbei noch immer keinen umfassenden Überblick und zahlreiche Karteileichen, die leicht missbraucht werden oder Hackern als Einfallstor dienen können.
Lesen Sie mehr zum Thema
