Passwort und Psyche

– oder wie motiviere ich mich zu sicheren Passwörtern?

Benötigen wir wirklich am 01.02. einen Gedenktag „Ändere dein Passwort“? Ja, definitiv!

Das zeigt die Studie des Passwort-Managers Nordpass zu den beliebtesten Passwörtern 2020 eindrücklich. Die Tipps zu sicheren Passwörtern sind vielfältig und gut dokumentiert, aber genutzt werden Sie nicht. Top 1 der Liste ist noch immer „123456“. Seit letztem Jahr ist eine Stelle dazu gekommen. 2019 lautete das beliebteste Passwort noch „12345“. Kein echter Fortschritt, wenn man bedenkt wie schnell sich ein solches Passwort knacken lässt. Ausserdem lässt sich die zusätzliche Stelle wohl eher darauf zurückführen, dass von der Software längere Passwörter verlangt werden.

Natürlich sind heute viele Zugangsportale so eingestellt, dass das Format eines Passworts vorgeben ist, aber sind wir ehrlich, haben Sie bei allen Logins ein anders Passwort? Und falls es regelmässig ändert, ergänzen Sie doch auch nur vorne oder hinten eine weitere Stelle. Je häufiger Sie das Passwort anpassen, umso eher schreiben Sie es auf und heften es mit einem Klebezettel an Ihren Bildschirm oder stecken es unter die Tastatur.

Wie nun soll man diesem Problem begegnen? Was veranlasst uns dazu die Passwort-Frage zu vernachlässigen? Was haben Passwörter mit Psychologie zu tun? Wie motivieren wir unsere Kollegen, Angestellten und Freunde zu sicheren Passwörtern?

Schwächstes Glied: Mensch

Es ist nach wie vor so, dass das grösste Sicherheitsproblem vor dem Bildschirm sitzt. Ein kleiner Test in Ihrer Firma wird Sie erschrecken. Gehen Sie als Chef einmal durch die Büros und zählen Sie die Klebezettel an den Bildschirmen und unter den Tastaturen. Ich bin mir sicher, Sie werden welche finden. Das Aufschreiben ist aber nicht das grösste Problem. Viele Mitarbeiter sind sehr sorglos, wenn es darum geht ihr Passwort an Kollegen oder gar Externe zu verraten. Was es dazu braucht? Erschreckend wenig, ein paar Einsätze vor Ort und man gehört zum Team, ein Passwortlistekurzes Hilfsangebot für das Computerproblem und die Passwörter sind frei zugänglich. Ganz zu schweigen von den Firmen, die auf dem Desktop des Mitarbeiters die Passwortliste des ganzen Betriebs als Worddokument mit dem Namen „Passwortliste“ abgespeichert haben. Erkennen Sie sich wieder?

Auch grosse Firmen kämpfen mit diesen Problemen. Allerdings sind deren Mitarbeiter häufiger damit konfrontiert ihr Verhalten zu hinterfragen. Es gibt gute Schulungsprogramme, zum Beispiel von Virenschutzsoftware-Anbietern, die mit alltäglichen Fallen, die Mitarbeiter auf Ihre Fehler aufmerksam machen. Jeder Mitarbeiter der mit diesen Betrugsmaschen oder Sicherheitslücken konfrontiert wird, ändert nach und nach den Blick auf seine Passwortsicherheit.

Mein Betrieb hat keine schützenswerten Daten

Solche Workshops und Sicherheitsschulungen sind teuer und vielen Firmen fehlt es noch immer am Verständnis dafür, dass ihre Daten wertvoll sind. Ein Firmeninhaber hat mir kürzlich mitgeteilt, dass in seiner Firma ausser der Personendaten seiner Mitarbeiter, keine schützenswerten Daten existieren. Noch immer sind sich auch viele Mitarbeiter nicht bewusst, dass Adresslisten, Preiskalkulationen und Artikeldaten bares Geld wert sind. Viele Firmen unterscheiden auch nicht zwischen den Mitarbeitern. Gerade in kleinen Firmen wird die ganze Firma über ein Laufwerk gesteuert und jeder Mitarbeiter hat zu allen Bereichen der ERP-Software Zugang. So kann auch ein Lagerist alle Finanzzahlen und die Personalakten der Firma jederzeit ansehen oder gar ausdrucken.

Wieso tun wir was wir tun?

Ist sich der Mensch des Risikos nicht bewusst, verlässt er eingetretene Pfade nur sehr ungern. Genau hier liegt das Problem. Der Mensch nimmt im Normalfall den einfachsten Weg zum Ziel. Alles was eine Abkehr von gewohnten Mustern und das Verlassen von eingetretenen Pfaden erfordert, ist mühsam und nur mit Willen zu ändern. Wer sich einer Gefahr nicht bewusst ist, keine Erfahrung mit den Problemen hat, hinterfragt sein Verhalten nicht. Im Grunde ist es wie bei den Kindern und der Herdplatte. Erst wenn sich das Kind verbrannt Passwortzettelhat, weiss es was „Achtung, es ist heiss!“ wirklich bedeutet. Unsere Psyche verdrängt und negiert Gefahren vorbildlich, denn wenn wir uns über alles Sorgen machen würden, wären wir schnell von Ängsten gelähmt. So gilt es stetig gegen die eingetretenen Pfade zu kämpfen und sie bewusst zu erweitern oder ganz zu meiden.

Was hilft das Verhalten zu ändern? Schulung und Konfrontation. Auch mit einfachen Mitteln können Sie Ihre Kollegen und Mitarbeiter auf die Datensicherheit und die Relevanz von Passwörtern aufmerksam machen. Nur schon, dass Sie es zum Thema machen und Ihren Mitarbeitern zeigen, dass Sie das Thema ernst nehmen, wird etwas verändern.

Eine kleine Tipp-Sammlung für Firmen ohne eigenen IT-Experten:

  • Informieren Sie sich über die neusten Betrugsmaschen zum Beispiel hier: Informationen zum Thema Internetsicherheit Nationalen Zentrum für Cybersicherheit NCSC
  • Stellen Sie sicher, dass Ihre Mitarbeiter den Wert der Daten erkennen und wissen, dass Fremde darauf keinen Zugriff haben sollen.
  • Halten Sie Ihren Virenschutz aktuell.
  • Klären Sie Ihre Belegschaft auf. Über Betrugsmaschen wie Sozial Engineering und Datendiebstahl allgemein. Weisen Sie zum Beispiel auch auf betrügerische E-Mail hin.
  • Vergeben Sie Rechte. Räumen Sie Zugriffsrechten Priorität ein. Beschränken Sie Ihre Mitarbeiter nicht in Ihrer Arbeit aber entlasten Sie sie von Daten die sie für ihren Job nicht benötigen. Dies nicht nur auf dem Laufwerk, sondern auch im ERP.
  • Verbieten Sie das Weitergeben von Passwörtern an jegliche Personen. Egal ob Arbeitskollege, Chef oder Berater, es besteht keine Notwendigkeit eigene Passwörter bekannt zu geben. Nie!
  • Achten Sie darauf, dass Ihre Computer einen Sperrbildschirm zeigen, wenn Sie nicht genutzt werden.
  • Sprechen Sie Passwortzettel an. Wenn Sie einen Schreckmoment erzeugen wollen, ändern Sie das Zugangspasswort zum Computer (Sie haben ja das Passwort am Bildschirm gefunden).
  • Passwörter und Zugangsdaten die für mehrere Stellen zugänglich sein müssen, speichern Sie besser im ERP unter der entsprechenden Adresse ab, als sie in einer Liste auf dem Laufwerk zu hinterlegen. Auch hier, sollten Sie darauf achten, dass nur jene Mitarbeiter Zugriff haben, die diesen benötigen.
  • Beschränken Sie Datenexport und Druckrechte. Kundenlisten und Konditionen gehören nicht in den Koffer des Verkaufsmitarbeiters, sie könnten liegenbleiben. Mobile Geräte benötigen ebenso ein Passwort wie der Bürocomputer. Achten Sie auch im Homeoffice auf entsprechende Sicherheit.
  • Klären Sie Ihre Mitarbeiter über die Gefahren von fremden Datensticks auf. Schulen Sie, wie mit notwendigen externen Daten umgegangen werden soll. Richten Sie Virenscans und vom Firmen-Netzwerk unabhängige Arbeitsstationen für diese Daten ein.

Nehmen Sie den europäischen Datenschutztag dieses Jahr ernst und setzen Sie sich mit der Datensicherheit in Firma und Privatleben auseinander. Sollten Sie weitere Fragen zum Thema haben, kontaktieren Sie uns. Wir beraten Sie gerne.

Ich wünsche Ihnen, dass Sie kein Opfer von Betrugsmaschen werden und mit den lästigen Passwortvorgaben gelassener umgehen können.

Sarah Müller (BürOptimo GmbH)