Sicherheitsmangel: Meistverwendetes Passwort ist "123456"
- 10.09.2018
- Sicherheit
"Auch drei Monate nach Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) stellen wir in Gesprächen mit Kunden fest, dass selbst einfache Hürden oft noch nicht genommen worden sind", erklärt der Datenschutzexperte René Rautenberg von ER Secure, Anbieter eines sDatenschutz-Managementsystems. Er rät zu einer konsequenten unternehmensinternen Kommunikation. "Das Thema Datenschutz muss von Führungskräften in die Teams getragen und regelmäßig nachgehalten werden. Das führt automatisch zu mehr Reflexion."
Ein Blick auf Studien zur Passwortvergabe verdeutlicht laut ER Secure den Nachholbedarf. So hat eine aktuelle Auswertung von 12,9 Millionen gestohlenen Identitätsdaten aus Leaks ergeben, wie einfach es sich viele Nutzer in Deutschland allein bei der Wahl des Passwortes machen. Demnach belegt "123456" den ersten Platz der Kennwörter, die am Meisten verwendet werden, gefolgt von "12345678" auf Platz 2 und "1234" auf Rang 3. "Dabei minimiert ein sicheres Passwort die Gefahr von Hackerangriffen und Datenmissbrauch – und schützt Unternehmen im Ernstfall davor, einen Datendiebstahl an die Behörde melden zu müssen", wie Rautenberg betont. Ein komplexes Passwort besteht aus Groß- und Kleinbuchstaben sowie Ziffern und Sonderzeichen. "Wir haben beobachtet, dass besonders Unternehmen ohne IT-Abteilung Nachholbedarf bei diesem Thema haben, weil es IT-seitig keine entsprechenden Anforderungen bei der Passwortvergabe gibt", sagt Rautenberg.
Jeder Mitarbeiter sollte Kennwörter haben, die nur er selbst kennt und mindestens alle sechs Wochen geändert werden. Zusätzlich rät der Experte zu einer automatischen Bildschirmsperre nach spätestens 20 Minuten inaktiver Zeit. Auch der firmeneigene Webauftritt sollte aktualisiert werden. Durch die EU-DSGVO muss das Impressum von jeder Unterseite aufrufbar sein. Außerdem bedarf es einer Datenschutzerklärung, die angibt, welche Daten von wem, warum und wie weiterverarbeitet werden. Prinzipiell müssen sensible Daten immer verschlüsselt werden. Ein SSL-Zertifikat ist laut EU-DGSVO grundsätzlich nicht vorausgesetzt. Entschließen sich Betreiber jedoch für die Kommunikation mit Newslettern oder Kontaktformularen, ist ein Zertifikat erforderlich. "IP-Adressen werden als personenbezogene Daten eingeordnet. Bei der Übertragung von Daten zwischen Servern im Web werden diese immer übermittelt. Die Anhäufung von Daten lässt sich also kaum vermeiden", sagt Rautenberg.