Brandmauer-it-security_Verlauf_heller_1920-x-600-px-Banner.jpg

BRANDMAUER IT Security Blog

So bleiben Sie in Sachen IT und IT Sicherheit stets auf dem neuesten Stand

Passwort zurücksetzen: So gehen Sie richtig vor!

Eric Weis | 19.09.2017 12:59:30 | Lesezeit ca. 3,5 Minuten

Haben Sie in Ihrem Unternehmen explizit festgehalten, wie mit Passwörtern umgegangen werden muss und darf? Wenn nicht, sollten Sie sich mit dem Thema Passwörtern beschäftigen. In diesem Artikel geht es um das richtige Zurücksetzen von Passwörtern. Obwohl dies zu Beginn recht banal klingt, können sich aus dem ungeregelten Zurücksetzen von Passwörtern erhebliche Sicherheitsrisiken ergeben. Dazu zählt in erster Linie Identitätsdiebstahl. Minimieren Sie die Risiken, indem Sie entsprechende Regelungen im Unternehmen aufstellen!

 

Was bedeutet Identitätsdiebstahl?

Sie haben bestimmt schon von Identitätsdiebstahl gehört. Aber ist Ihnen auch die Reichweite der potenziellen Gefahren bekannt? Haben Sie schon einmal länger über die möglichen Folgen von Identitätsdiebstahl nachgedacht?

Um sich dem Thema bewusst zu werden, setzen wir an dem Punkt an, an dem z.B. ein Mitarbeiter Ihres Unternehmens über den Administrator das Passwort eines Kollegen zurückgesetzt hat. Was kann dieser nun zum Beispiel anstellen?

  • Er könnte Online-Accounts zurücksetzen und unter falschem Namen Produkte bestellen.
  • Er könnte sich Zugang zu Daten verschaffen, die er normalerweise nicht einsehen darf.
  • Er könnte Straftaten im Namen des betroffenen Kollegen begehen, die diesen in Erklärungsnot bringen.
  • Er könnte auch eine ganz banale E-Mail schreiben, die zum Beispiel den Geschäftsführer beleidigt, und so den Ruf des betroffenen Kollegen schädigen.

Diese Aufzählung lässt sich beinahe unbegrenzt fortführen! Sie sollten nun zumindest ein grobes Bild der Auswirkungen von Identitätsdiebstahl haben und sich der Tatsache bewusstwerden, dass bei Versäumnissen eine Menge Ärger drohen kann.

 

Jetzt Blog abonnieren!

 

Passwörter zurücksetzen: Wie läuft das in der Regel ab?

Zuerst möchte ich einige Beispiele nennen, wann das Zurücksetzen von Passwörtern notwendig ist. Der offensichtlichste Fall ist natürlich der, dass ein Mitarbeiter ein Passwort vergessen hat oder nicht mehr weiß, wo es dokumentiert ist. Aber es kann natürlich auch passieren, dass ein Mitarbeiter in Urlaub ist und ein Kollege dringend z.B. auf dessen Mailbox zugreifen muss. Aber auch unerwartete Krankheitsfälle zählen zu den Beispielen, in denen Passwörter zurückgesetzt werden müssen.

In der Regel wird nun der Administrator kontaktiert und dieser setzt das Passwort zurück. Aber hat Ihr Administrator auch klare Vorgaben, wie er sich in diesem Fall zu verhalten hat? In kleinen Organisationen stellt das Zurücksetzen in der Regel ein sehr geringes Sicherheitsrisiko dar. Der Administrator kennt hier oft alle Mitarbeiter persönlich und muss daher kaum Kontrollen durchführen. Aber in größeren Organisationen kann eine Anfrage eines Mitarbeiters kommen, den der Administrator gar nicht kennt.

 

Regelungen zum Zurücksetzen von Passwörtern

Vor allem die Dokumentation des Vorgangs ist unbedingt durchzuführen! Es sollte festgehalten werden, von wem wann welches Passwort zurückgesetzt wurde, um bei eventuellen Problemen im Nachhinein den Vorgang zurückverfolgen zu können.

Ferner sollte vorgeschrieben werden, dass ein Einverständnis vom Vorgesetzten (Vier-Augen-Prinzip) vorliegen muss. Damit wird garantiert, dass nicht beliebig Passwörter zurückgesetzt werden.

Außerdem muss der betroffene User so schnell wie möglich unterrichtet werden, damit er weiß, in welcher Zeit seine Identität von jemand anderem angenommen wurde. Wurde dessen Passwort zum Beispiel während dessen Urlaub geändert, muss dieser sofort nach seiner Rückkehr unterrichtet werden, um unnötige Komplikationen zu vermeiden.

Außerdem sollte unbedingt dafür gesorgt werden, dass ein von einer Passwort-Zurücksetzung betroffener Benutzer dieses Passwort bei Erstanmeldung sofort ändern muss. Es besteht ein enormes Sicherheitsrisiko, wenn ein Passwort, welches für einen kurzen Zeitraum gedacht ist, über diesen Zeitraum hinaus verwendet wird. Wird das Passwort zurückgesetzt, wird oft ein einfaches Übergangspasswort verwendet (z.B. „12345“). Ich sollte Ihnen nicht erklären müssen, dass dies kein sicheres Passwort ist! Für den Zeitraum vom Zurücksetzen bis zur Erstanmeldung (i.d.R. ca. 5-10 min.) reicht es allerdings aus. Nur darf es danach nicht weiterverwendet werden!

 

Wie Sie in 7 Schritten sichere Passwörter erstellen sowie weitere nützliche Informationen finden Sie in unserem Passwort-Guide.

Passwort-Guide

 

Fazit: Behandeln Sie den Vorgang „Passwort zurücksetzen“ speziell!

Es sollten in jedem Unternehmen Regelungen und Vorschriften geben, die den Usern und dem Administrator klare Handlungsanweisungen geben, wenn ein Passwort zurückgesetzt werden muss. Gestalten Sie den Vorgang so transparent wie möglich, indem Sie eine vernünftige Dokumentation einführen! Vor allem die Dokumentation der relevanten Zeiträume sollte erfolgen (z.B. Zeitraum vom Zurücksetzen bis zur Erstanmeldung). Nur so lässt sich bei Komplikationen im Nachhinein feststellen, ob der Vorgang ordnungsgemäß durchgeführt wurde.

Wie Sie gemerkt haben ist das Thema Passwörter zurücksetzen gar nicht so einfach, wie man anfangs annimmt. Aber mit relativ wenig Aufwand und den geeigneten Maßnahmen lässt sich auch dieser Prozess sicher durchführen!

 

Was kostet mich ein IT-Ausfall? Machen Sie den kostenfreien Quick Check!

Themen: Passwortsicherheit

Autor: Eric Weis

Eric Weis startete 2005 seine Karriere im IT-Business. Ein klassischer Start als IT-Systemadministrator legte dabei den fachlichen Grundstein, um später in nationalen und internationalen IT-Sicherheitsprojekten als Projektleiter zu agieren. Seit 2015 ist der IT-Experte außerdem Chief Information Security Officer und Auditor der ISO/IEC 27001. Weitere Zertifizierungen nach ITQ13 und VDS zeugen von seiner Leidenschaft für die IT Sicherheit. Seine tiefgehenden IT-Kenntnisse, gepaart mit seinen kommunikativen Fähigkeiten, machen Ihn zum Bindeglied zwischen der IT Organisation und dem Management. Eric Weis kann komplexe IT-Themen verständlich in alle Zielgruppen transportieren!

Telefon: (+49) 7272 92975 200
E-Mail: e.weis@brandmauer.de