Wie Sie ein Passwortkonzept für Unternehmen erstellen

Viele Geschäftsführer denken erst einmal: Das Passwort eines Mitarbeiters geht mich in puncto Sicherheit doch gar nichts an, oder? Weit gefehlt! Es gilt nach wie vor: Im Zweifel sind Sie für den Schaden, der Ihrem Unternehmen entsteht, unmittelbar haftbar. Denn: Wer fahrlässig mit seiner Verantwortung für die IT-Systeme des Unternehmens umgeht, muss jene im Zweifel ebenso persönlich für die daraus resultierenden Schäden tragen. Ein Passwort – das hinsichtlich der Sicherheit Defizite aufweist – erleichtert es potenziellen Eindringlingen beispielsweise, in das Netzwerk Ihres Unternehmens zu gelangen. Deswegen besteht für Sie als Geschäftsführer auch hier die Sorgfaltspflicht, womit die IT spätestens jetzt zur zentralen Komponente des Risikomanagements in Ihrem Unternehmen werden sollte.

Bestandteile einer leistungsfähigen Passwortstrategie

Zunächst einmal geht es bei einem effektiven Passwortkonzept darum, den Zugang zu Ihrem internen Netzwerk und den dort gespeicherten Informationen abzusichern. Dies gelingt am besten durch den sach- und fachgerechten Einsatz von Authentifizierungsmechanismen. Das Einbeziehen der Nutzer in ein lückenlos aufgebautes Konzept zur Zugriffssicherung ist dabei essenziell. Dazu müssen verbindliche Regeln formuliert werden, die für alle gelten. Denn nur das ist ein wirksamer Schutz gegen Datenverlust.

Um sich ein entsprechendes Passwortkonzept in Ihrem Unternehmen zu erarbeiten, müssen Sie sich die folgenden Fragen stellen:

1. Werden vorhandene Sicherheitsmechanismen für den Schutz von Zugriffen und Informationen in Anwendungen genutzt?

Ein Passwort trägt dazu bei, die Sicherheit des IT-Systems im Unternehmen zu gewährleisten. Deswegen sollten nur solche Benutzer einen Zugriff auf Daten erhalten, die einen entsprechenden Berechtigungsnachweis erbringen können. Ist dies hingegen nicht der Fall, wird der Zugriff auf das IT-System vom Passwortschutz verhindert.

2. Werden durch den Hersteller voreingestellte oder leere Passwörter durch Ihre IT geändert?

Voreingestellte Passwörter sind leicht zu knacken und sollten daher unbedingt durch Ihre IT abgeändert werden. Dabei ist es wichtig, die einschlägigen Regeln zur Erstellung von Passwörtern einzuhalten. Auch eine sichere Passwortverwaltung kann an dieser Stelle sehr sinnvoll sein.

3. Sind alle Mitarbeiter in der Wahl von und im Umgang mit sicheren Passwörtern geschult?

Dazu ist es unabdingbar, dass Sie als Geschäftsführer des Unternehmens für Ihre Mitarbeiter Regeln zum Erstellen eines Passwortes ausgeben. Diese sollten nämlich nicht zu leicht zu erraten sein und zum Beispiel nicht aus dem eigenen Namen oder dem Geburtsdatum bestehen. Demnach sollte ein Passwort, das die Sicherheit im Unternehmen erhöht, eine Mindestanzahl an Zeichen aufweisen und aus einer Kombination aus kleinen und großen Buchstaben sowie Sonderzeichen und Zahlen zusammengesetzt sein.

Die kleinste Einheit eines funktionierendes Passwortkonzeptes sind natürlich die Passwörter selbst. Eine Anleitung, wie Sie in 7 Schritten sichere Passwörter erstellen sowie weitere nützliche Informationen finden Sie in unserem Passwort-Guide.

4. Werden Arbeitsplatzrechner bei Verlassen mit Bildschirmschoner und Kennwort gesichert?

Auch dies ist für die Sicherheit Ihres Unternehmens von großer Bedeutung. Sobald ein Mitarbeiter seinen Computer verlässt, sollte sich nach einer gewissen Zeit ein Bildschirmschoner einstellen, welcher mit einem Passwort gesichert ist. Andernfalls sind die Daten des Rechners sowie Ihr Netzwerk frei zugänglich. Dies gilt es unbedingt zu vermeiden.

5. Werden vertrauliche Daten und gefährdete Systeme ausreichend durch geeignete Maßnahmen geschützt?

Neben der Eingabe des Passworts beim Einschalten des Geräts empfiehlt es sich, die Sicherheit weiter zu erhöhen und die Authentifikation zu verifizieren. Dies gelingt unter anderem durch den Einsatz zusätzlicher Hard- und/oder Software, wie beispielsweise Chipkarten oder Token.

6. Wird die Nutzung von mobilen Datenträgern durch geeignete technische und organisatorische Maßnahmen gesichert?

Eine geeignete technische Maßnahme, um die Nutzung mobiler Datenträger zu sichern, ist die Verschlüsselung. Dabei sollten unbekannte Datenträger, wie z.B. USB-Sticks, generell gesperrt werden. Auf der anderen Seite ist auch der sichere Umgang mit mobilen Datenträgern ein zentrales Thema. Daher sollten Sie Ihre Mitarbeiter entsprechend schulen und Ihnen gegebenenfalls Arbeitsanweisungen geben.

7. Werden vertrauliche Daten beim Versand per Mail verschlüsselt?


Eine solche kryptografische Absicherung ist notwendig, um Vertraulichkeit und Integrität zu erreichen. Mit dieser – in Kombination mit der Verwendung digitaler Signaturen – stellen Sie sicher, dass eine E-Mail unterwegs nicht verändert oder mitgelesen wird.

Für die Sicherheit Ihres Unternehmens im Allgemeinen und der daraus potenziell resultierenden Haftbarkeit Ihrerseits im Speziellen ist es wichtig, dass Sie all diese Fragen nicht nur mit "Ja" beantworten. Darüber hinaus sollten Sie in der Lage sein, entsprechende Nachweise und Dokumentationen bei einer Datenschutzprüfung oder anderen Audits vorzulegen.

Fazit

Fällt es Ihnen schwer, die oben genannten Fragen für Ihr Unternehmen zu beantworten? Dann sollten Sie Ihr Passwortkonzept dringend überprüfen lassen. Nicht nur, weil Sie im schlimmsten Fall mit Ihrem Privatvermögen haften, sondern auch, weil Sie nicht in einen falschen Lösungsansatz investieren möchten.

Tipp

Der BRANDMAUER IT Sicherheitscheck überprüft Ihre IT-Infrastruktur nicht nur hinsichtlich der Absicherung von Anwendungen und Systemen (einschließlich Passwort Sicherheit). Zusätzlich werden fünf weitere zentrale Aspekte berücksichtigt: IT-Sicherheitsmanagement, Virenschutz, Netzwerksicherheit, Datensicherung und Datenschutz. 

Weitere Informationen sowie die Möglichkeit, Ihr individuelles Angebot kostenfrei anzufordern, finden Sie hier oder mit einem Klick auf den folgenden Button.