Passwortrichtlinien in Unternehmen

“IT-Sicherheitsbewusstsein” war und ist ein Schlagwort in vielen Unternehmen.

Wirklich verstanden und umgesetzt haben es aber kaum welche.

Viele Unternehmen haben durchaus realisiert, dass die IT-Sicherheit des gesamten Unternehmens oft nicht nur von einigen (IT-MA), sondern von allen Usern der Infrastruktur beeinflusst und mitbestimmt wird.

Doch die daraufhin gesetzten Signale mancher Unternehmen sind oft alles andere als zielführend.
Ein Auszug aus einer Passwortrichtlinie in einem Unternehmen, in dem die meisten MA keine IT-Genies sind:

“… muss aus mindestens 11 Zeichen bestehen, Groß- und Kleinbuchstaben sowie Sonderzeichen enthalten und alle 3 Monate geändert werden.”

An der Richtlinie selbst ist kaum etwas auszusetzen, das erzwungene Änderungsintervall ist allerdings von Fall zu Fall für sich auf Sinnhaftigkeit hin zu überprüfen.

Konkret handelt es sich hier um die Passwortrichtlinie einer Windows-Domain, wo die Bezeichnung eigentlich falsch ist, hier müsste es wohl heißen Passwort-Schemen-Erzwingung.

So wird dies sehr verbreitet gehandhabt. Die Sinnhaftigkeit im Detail ist aber fraglich.

Zwar gibt es auch nach den ersten paar Passwort-Änderungen meist kaum Probleme, doch dann schlägt es in den Meisten Fällen/Unternehmen, wo dies so gehandhabt wird, aus:

  • Mitarbeiter sind mit Passwortrichtlinie überfordert, finden sie überflüssig
  • Mitarbeiter sind nur noch genervt von den PW-Richtlinien
  • notieren sich Passwörter am Bildschirm/Tastatur
  • ändern nur noch das erste oder letzte Zeichenn ihres PW’s (oft auch aufsteigend: 1,2,3…)

Über die Zeit gesehen ist diese Methode also wenig sinnvoll, das sie nach einiger Zeit eben solche sicherheitsmässig-negative Nebenerscheinungen fördert und somit das Sicherheitslevel eher verschlechert als es zu verbessern.
Zusätzlich zu solchen Passwortrichtlinien muss man in jedem Fall Verständnis bei den Mitarbeitern schaffen, damit diese mit Hilfe von etwas Hintergrundwissen auch tatsächlich verstehen, warum sie solche Umstände auf sich nehmen müssen, die sie meist eigentlich für völlig unnötig empfinden.
Desweiteren muss klar sein, dass eine Passwortrichtline natürlich nur ein Teil eines ordentlichen IT-Sicherheitskonzepts ist.
Das Schaffen von Bewusstsein bei den Mitarbeitern bewirkt oft um einiges mehr.

This entry was posted in Uncategorized. Bookmark the permalink.

One thought on “Passwortrichtlinien in Unternehmen

  1. Das ist richtig, bei uns hatte mal einer “der sich mal soeben schnell eineny keygen gezogen hat” einen Spambot installiert.

    Fazit: Ein Spambot der den ganzen langen Tag Mails über unsere Standleitung verschickt hat. Der böse Anruf vom Chef kam, auch prompt! Bei mir geht nix mehr, nicht zustellbar was ist da los?

Comments are closed.