Skip to main content
main-content

14.02.2019 | Bank-IT | Im Fokus | Onlineartikel

Banken sind bei der Passwortsicherheit Schlusslicht

Autor:
Gerald Beuchelt

Je größer ein Unternehmen ist, desto schwieriger ist es, für eine stringente Passwortsicherheit bei den Mitarbeitern zu sorgen. Vor allem Banken haben hier noch Nachholbedarf. Ein Gastbeitrag.

Immer häufiger werden Banken und Unternehmen Opfer von Cyberangriffen, gleichzeitig werden die Angriffe immer komplexer. Laut Bitkom Research ist durch Sabotage, Datendiebstahl oder Spionage der deutschen Wirtschaft in den vergangenen beiden Jahren ein Gesamtschaden von insgesamt 43,4 Milliarden Euro entstanden. Sieben von zehn Industrieunternehmen (68 Prozent) sind in diesem Zeitraum Opfer entsprechender Angriffe geworden, jedes fünfte Unternehmen (19 Prozent) vermutet dies zumindest. Trotzdem fällt es Organisationen schwer, effektive Sicherheitsrichtlinien umzusetzen. Das gilt nicht zuletzt beim Passwortschutz. Schwache, mehrfach verwendete Passwörter stellen eine der häufigsten Sicherheitsbedrohungen dar.

Bankbranche hat schlechte Sicherheitswerte 

Besonders wichtig ist der Passwortschutz im Bankensektor. Doch die Institute können sogar trotz Passwortmanager häufig nur schwer quantifizieren, wie hoch ihr Risiko durch eine schlechte Passwortsicherheit ist. Denn meist ist nicht klar, ob ihre Sicherheitsrichtlinien von den Mitarbeitern tatsächlich umgesetzt werden. Auch fehlt ihnen die Vergleichbarkeit mit Mitbewerbern in diesem Bereich. Die deutschen Banken bilden daher beim Thema Passwortsicherheit das Schlusslicht, wie wir in unserem aktuellen globalen Passwort-Sicherheits-Report unter Mitarbeitern von rund 43.000 Unternehmen ermittelt haben. Dort erreichen sie gerade mal einen Sicherheitswert von 38. Damit liegen sie sogar noch knapp unterhalb des europäischen Durchschnittwerts, der bei 41 liegt. Ganze 11 Punkte trennen sie vom globalen Durchschnitt der Bankenbranche. Das steht im krassen Gegensatz zu beispielsweise deutschen Behörden, die mit einem Wert von 86 an der Spitze stehen – selbst im europäischen und weltweiten Vergleich.

Empfehlung der Redaktion

2019 | OriginalPaper | Buchkapitel

„Information Security starts with me“ – Mit Information Security Awareness digitale Transformation nachhaltig umsetzen

Ein wichtiger, indirekter Erfolgsfaktor, ist in der Digitalisierungsstrategie von Unternehmen oftmals nur marginal enthalten: Die nachhaltige (Ab-)Sicherung der digitalen Transformation und ihres Kerns, der Daten. 


Die Daten belegen, dass die meisten Unternehmen Passwortsicherheit nur mittelmäßig konsequent betreiben und das Passwortrisiko unabhängig von Größe, Branche und Standort ist. Je größer eine Organisation ist, desto niedriger ist ihr Sicherheitswert im Durchschnitt. Ab einer Unternehmensgröße von mehr als 500 Mitarbeitern ist es schwieriger, bestimmte Herausforderungen zu bewältigen. Denn mit der Zahl der Beschäftigten steigt die Menge der Passwörter sowie nicht genehmigter Apps und somit die Gefahr eines riskanten und gefährlichen Passwortverhaltens. In größeren Unternehmen, allen voran aus der Finanzdienstleistungsbranche, ist die Einhaltung von Passwortsicherheitsstandards daher eine große Herausforderung für die IT.

So nimmt beispielsweise mit der Organisationsgröße auch die gemeinsame Nutzung von Zugangsdaten zu. Im Durchschnitt teilt ein bestimmter Mitarbeiter etwa sechs Passwörter mit seinen Kollegen. Oft sind diese leicht einzuprägenden, aber schwachen Passwörter potenzielle Einfallstore für Cyber-Kriminelle. Die Auswirkungen in einem Unternehmen mit 100 Mitarbeitern sind daher bereits enorm. Noch viel größer ist das Risiko allerdings bei Organisationen mit 10.000 oder mehr Mitarbeitern. Da Teams immer verteilter und technologieabhängiger agieren, ist es aber unerlässlich, gemeinsame Passwörter zu schützen, zu verfolgen und zu auditieren.

Maßnahmen für höhere Datensicherheit

In Deutschland herrscht ein tief verankertes Sicherheitsbestreben und eine lange Datenschutz-Tradition, die 2018 schließlich in die Einführung von Standards wie der Datenschutz-Grundverordnung (EU-DSGVO) mündete. Defizite zeigen laut unserer Analyse vor allem in der Multifaktor-Authentifizierung. Gerade einmal drei Prozent der befragten deutschen Organisationen nutzen diese Möglichkeit, Konten zu sichern. Dabei ist und bleibt diese die optimale Vorgehensweise gegen Kontozugriffe von außen. Hierbei ist die USA Vorreiter: 65 Prozent aller Unternehmen, die mit Multifaktor-Authentifizierung arbeiten, sind dort ansässig.

Da immer mehr Unternehmen BYOD-Richtlinien (Bring Your Own Device) umsetzen und Netzwerke für zuvor nicht genehmigte Geräte und Anwendungen öffnen, müssen die IT-Verantwortlichen und andere IT-Führungskräfte ihre Einstellung zur Passwortsicherheit ändern. Transparenz bringt ein Passwortmanager, da  er Einblicke in potenzielle Risikobereiche ermöglicht. Dessen Einführung und Implementierung hilft zum Beispiel Behörden bereits heute, die Wirksamkeit mittel und langfristig zu beurteilen und zu kontrollieren. 

Strategie für größere Passwortsicherheit

Einführung eines Passwort-Managers

Die richtige Lösung sollte folgendes bieten:

  • Generierung zufälliger Passwörter
  • Anwendung von rollenbasierten Berechtigungen auf Passwörter

  • Kontrolle über gemeinsam genutzte Zugangsdaten

  • Zusätzliche Sicherheit durch Multifaktor-Authentifizierung

  • Außerkraftsetzen von Zugangsdaten, wenn Mitarbeiter die Behörde verlassen

Erstellung und Umsetzung eines Plans zur Implementierung

Passwortmanagement bedeutet Change Management. Mit diesen Schritten holen Organisationen ihre Mitarbeiter ins Boot:

  • Informieren aller Mitarbeiter über Richtlinien und Best Practices

  • Integration des Passwort-Managers in das Sicherheitsschulungsprogramm

  • Sicherstellen, dass alle neuen Mitarbeiter entsprechend geschult werden und eine Einführung erhalten

  • Bereitstellung des Tools sowie Erläuterung von dessen Verwendung sowie einem Kontakt, an den die Benutzer sich bei Fragen wenden können

Überwachung des Fortschritts mit Hilfe von Reporting-Tools

Die Reports decken folgende potenzielle Sicherheitslücken auf:

  • schwache und mehrfach verwendete Passwörter
  • niedrige Sicherheits- und Passwortqualitätswerte
  • inaktive Konten

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

2019 | OriginalPaper | Buchkapitel

Datenschutz und Datensicherheit

Quelle:
Process-Mining

2017 | OriginalPaper | Buchkapitel

Organisatorische Datensicherheit

Quelle:
Datensicherheit

2018 | OriginalPaper | Buchkapitel

Datenschutz und Datensicherheit am Arbeitsplatz

Zum Umgang mit personenbezogenen Daten durch Arbeitgeber und Arbeitnehmer
Quelle:
Arbeitswelt der Zukunft

2018 | OriginalPaper | Buchkapitel

Cyberangriffe: Teil des Alltags?

Quelle:
Cybersecurity Best Practices

Das könnte Sie auch interessieren

Premium Partner

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Blockchain-Effekte im Banking und im Wealth Management

Es steht fest, dass Blockchain-Technologie die Welt verändern wird. Weit weniger klar ist, wie genau dies passiert. Ein englischsprachiges Whitepaper des Fintech-Unternehmens Avaloq untersucht, welche Einsatzszenarien es im Banking und in der Vermögensverwaltung geben könnte – „Blockchain: Plausibility within Banking and Wealth Management“. Einige dieser plausiblen Einsatzszenarien haben sogar das Potenzial für eine massive Disruption. Ein bereits existierendes Beispiel liefert der Initial Coin Offering-Markt: ICO statt IPO.
Jetzt gratis downloaden!

Bildnachweise