#ChangeYourPasswordDay: Worauf Unternehmen bei der IT-Sicherheit achten müssen
Cyberangriffe und die illegale Verbreitung riesiger Passwort-Datenbanken im Internet nehmen stetig zu, zuletzt etwa durch bis zu 68 Millionen kompromittierte Dropbox-Accounts. Angesichts des heutigen „Change Your Password Day“ stellt sich gerade jetzt die praktische Frage danach, was Management, IT-Verantwortliche und Mitarbeiter tun können, um die Sicherheit des Passwort-Managements im Unternehmen zu steigern.
(IINews) - Das Management sollte zunächst mit gutem Vorbild vorangehen und die Wichtigkeit der Informationssicherheit im Unternehmen hervorheben. Ausgangspunkte können sein:
Informationssicherheits-Management-Systeme nach ISO/IEC 27001
Passwort-Management gemäß ISO/IEC 27002 bzw. IT-Grundschutz
Passwort- oder Kryptographie Richtlinien
Schulungen und Workshops zum sicheren Umgang mit Passwörtern
Den IT-Verantwortlichen kommt die Aufgabe der Implementierung sicherer, vorkonfigurierter IT-Prozesse und Anwendungen zu. Grundlegende Anforderungen lauten:
Passwörter dürfen niemals im Klartext abgespeichert werden
Passwörter sind mit anerkannten Verfahren zu hashen (z.B. SHA-256)
Passwörter sind vor dem hashen mit einer zufälligen Zeichenfolge zu versehen, dem Salt, um die systematische Rückführung von Hashes zu erschweren
Passwörter sollten von einer Mehr-Faktor-Authentifizierung begleitet werden
Auf der organisatorischen Seite ist den Mitarbeitern die notwendige Sensibilität für das Thema „Sichere Passwörter“ zu vermitteln und woran sich ein sicheres Passwort ausmacht:
Mindestlänge von Passwörtern (z.B. 10 Zeichen)
Komplexitätsanforderungen (z.B. Groß-/Kleinbuchstaben, Sonderzeichen und Zahlen)
Regelmäßige Änderung von Passwörtern (z.B. alle 90 Tage)
Geheimhaltung von Passwörtern
Simone Rosenthal (Rechtsanwältin und Geschäftsführerin vo ISiCO Datenschutz):
„Das Fazit dürfte im Rahmen steigender Cyberangriffe stets ähnlich ausfallen: Statt in Aktionismus zu verfallen, sollten längerfristige Sicherheitsprozesse implementiert werden, die das Management selbst anstößt (z.B. ein ISMS nach ISO/IEC 27001). Risikobasierte Ansätze sind hierbei Pflicht, um sich gerade nicht vom vorgenannten Aktionismus treiben zu lassen („Schlagzeile: 100 Millionen gestohlene Passwörter bei Firma XYZ“), sondern von konkreten Risiken und Bedürfnissen der eigenen Organisation.“
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Die ISiCO Datenschutz GmbH ist ein führendes Beratungsunternehmen in den Bereichen Datenschutz und Datenschutz-Compliance sowie IT- Sicherheit. Wir beraten unsere Kunden bei der Umsetzung der nationalen, europäischen und internationalen Datenschutzbestimmungen im Unternehmen und der Implementierung von IT-Sicherheits- und Compliance-Systemen. Wir begleiten die Umsetzung von Informationssicherheits-Managementsystemen nach ISO27001 und deren Zertifizierungen. Für die ISiCO arbeiten Rechtsanwälte und IT-Fachberater in interdisziplinären Teams zusammen.
ISiCO Datenschutz GmbH │Am Hamburger Bahnhof 4 │10557 Berlin Tel +49 (0)30 213002850 Fax +49 (0)30 213002899
│www.isico-datenschutz.de │Geschäftsführung: Simone Rosenthal │ E-Mail: berlin(at)isico-datenschutz.de │ PR-Anfragen: Deborah Reusch reusch(at)isico-datenschutz.de
Datum: 01.02.2017 - 16:35 Uhr
Sprache: Deutsch
News-ID 1451134
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Deborah Reusch
Stadt:
Berlin
Telefon: (0)30-213002850
Kategorie:
Anmerkungen:
Dieser Fachartikel wurde bisher 53 mal aufgerufen.
Der Fachartikel mit dem Titel:
"#ChangeYourPasswordDay: Worauf Unternehmen bei der IT-Sicherheit achten müssen
"
steht unter der journalistisch-redaktionellen Verantwortung von
ISiCO Datenschutz GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).