Wie lang sollte ein Passwort mindestens sein?

Aktuelle Richtlinien von NIST und den meisten europaischen Aufsichtsbehorden empfehlen mindestens 12 Zeichen. Langer ist besser. Eine Passphrase aus vier oder funf zufalligen Wortern ist sowohl stark als auch leicht zu merken.

Mussen Passworter regelmasig geandert werden?

Nein, nicht mehr. Obligatorisches regelmassiges Andern fuhrt dazu, dass Menschen schwachere Passworter wahlen. Andern Sie Passworter nur nach einem vermuteten Vorfall.

Welcher Passwortmanager ist der beste fur ein kleines Unternehmen?

Bitwarden (Open Source, kostenlos fur Einzelnutzung) und 1Password (Geschaftsplan ab wenigen Euro pro Benutzer pro Monat) sind beide gute Optionen fur KMU.

Passwortrichtlinie Best Practices - DSGVO Sicherheit fur KMU

Q: Ist eine Passwortrichtlinie unter der DSGVO Pflicht?

Die DSGVO schreibt keine spezifische Passwortrichtlinie vor, verlangt aber 'geeignete technische und organisatorische Massnahmen' (Artikel 32). Eine gute Passwortrichtlinie ist eine der grundlegendsten Massnahmen.

Schwache Passworter sind eines der grossten Sicherheitsrisiken fur KMU. Dieser Artikel gibt praktische Richtlinien fur eine gute Passwortrichtlinie: Passwortmanager, 2FA, Mindestlange und haufige Fehler.

Warum Passworter wichtig sind

Ein schwaches Passwort ist der einfachste Weg, an personenbezogene Daten zu gelangen. Kein komplizierter Hack, keine fortgeschrittene Technik - einfach einloggen mit einem erratenen oder gestohlenen Passwort. Forschungen zeigen, dass schwache oder wiederverwendete Passworter an mehr als 80% der erfolgreichen Angriffe auf Unternehmenssysteme beteiligt sind.

Die DSGVO verlangt in Artikel 32, dass Sie “geeignete technische und organisatorische Massnahmen” zum Schutz personenbezogener Daten treffen. Eine gute Passwortrichtlinie ist einer der Eckpfeiler.

Die funf Grundregeln

1. Verwenden Sie einen Passwortmanager

Das ist der wichtigste Schritt. Ein Passwortmanager generiert starke, einzigartige Passworter fur jedes System und merkt sie sich fur Sie. Ihr Team muss sich nur noch ein starkes Master-Passwort merken.

Gute Optionen fur KMU:

Bitwarden - Open Source, kostenlos fur Einzelnutzung, erschwinglicher Geschaftsplan
1Password - benutzerfreundlich, starker Geschaftsplan mit Teamfunktionalitat

Keine Excel-Dateien, keine geteilten Notizen, keine Passworter in E-Mails.

2. 2FA uberall aktivieren

Zwei-Faktor-Authentifizierung (2FA) fugt neben Ihrem Passwort eine zweite Verifizierungsebene hinzu. Selbst wenn ein Passwort gestohlen wird, kann ein Angreifer sich ohne den zweiten Faktor nicht anmelden.

Aktivieren Sie 2FA bei:

E-Mail (Google Workspace, Microsoft 365)
CRM-Systemen
Buchhaltungssoftware
Cloud-Speicher (Google Drive, Dropbox, OneDrive)
Social-Media-Konten des Unternehmens

Machen Sie es verpflichtend, nicht optional.

3. Mindestens 12 Zeichen

Die Zeiten von 8-Zeichen-Passwortern sind vorbei. Aktuelle Richtlinien empfehlen mindestens 12 Zeichen. Eine Passphrase funktioniert hervorragend: vier oder funf zufallige Worter hintereinander.

4. Nie wiederverwenden

Jedes System bekommt ein einzigartiges Passwort. Wenn Sie dasselbe Passwort fur E-Mail, CRM und Buchhaltung verwenden, muss nur ein System gehackt werden, um uberall Zugang zu erhalten.

5. Nach einem Vorfall andern, nicht nach Zeitplan

Der alte Rat, Passworter alle 90 Tage zu andern, ist uberholt. Forschungen zeigen, dass obligatorisches regelmassiges Andern zu schwacheren Passwortern fuhrt.

Andern Sie Passworter nur wenn:

Es eine Datenschutzverletzung gab
Sie vermuten, dass ein Passwort kompromittiert wurde
Ein Mitarbeiter ausscheidet (fur geteilte Konten)

Haufige Fehler

Die Haftnotiz am Monitor. Ein starkes Passwort ordentlich auf einen gelben Zettel neben dem Bildschirm geschrieben. Alle Muhe umsonst.

Das geteilte Konto. “Wir benutzen alle denselben Login fur das CRM.” Ergebnis: Sie konnen nicht nachvollziehen, wer was getan hat.

“Willkommen123” als Standardpasswort. Neue Mitarbeiter bekommen ein Standardpasswort, das sie “spater” andern sollen. Spoiler: Das passiert nicht.

Passworter in WhatsApp oder E-Mail. Diese Nachrichten bleiben auf unverschlusselten Telefonen.

Nur Passwort, keine 2FA. Ein Passwort allein reicht nicht.

So implementieren Sie es

Wahlen Sie einen Passwortmanager und rollen Sie ihn fur das gesamte Team aus
Aktivieren Sie 2FA auf allen Systemen mit personenbezogenen Daten
Legen Sie Mindestanforderungen fest: 12 Zeichen, einzigartig pro System
Kommunizieren Sie die Richtlinie klar an Ihre Mitarbeiter
Prufen Sie die Einhaltung - aktivieren Sie verpflichtende 2FA, wo moglich

auto_awesome Ihre Sicherheit dokumentieren?

GDPRWise hilft Ihnen, Ihre Sicherheitsmassnahmen zu erfassen und zu dokumentieren. Von der Passwortrichtlinie bis zum Zugriffsmanagement.

Kostenlosen Scan starten