...
1. Mindestens acht Zeichen 2. Große und kleine Buchstaben sowie Sonderzeichen und Ziffern 3. Keine Namen von Familienangehörigen, Freunden und deren Geburtsdaten 4. Nichts aus Wörterbüchern 5. Keine Zusammensetzung aus gängigen Tastatur- und Wiederholungsmustern 6. Ein eigenes und sicheres Passwort für jedes Benutzerkonto 7. Verwendung eines Passwort-Managers |
|---|
Passwortkonzept
- Werden vorhandene Sicherheitsmechanismen für den Schutz von Zugriffen und Informationen in Anwendungen genutzt?
Ein Passwort trägt dazu bei, die Sicherheit des IT-Systems im Unternehmen zu gewährleisten. Deswegen sollten nur solche Benutzer einen Zugriff auf Daten erhalten, die einen entsprechenden Berechtigungsnachweis erbringen können. Ist dies hingegen nicht der Fall, wird der Zugriff auf das IT-System vom Passwortschutz verhindert.
- Werden durch den Hersteller vor-eingestellte oder leere Passwörter durch Ihre IT geändert?
Voreingestellte Passwörter sind leicht zu knacken und sollten daher unbedingt durch Ihre IT abgeändert werden. Dabei ist es wichtig, die einschlägigen Regeln zur Erstellung von Passwörtern einzuhalten.
- Sind alle Mitarbeiter in der Wahl von und im Umgang mit sicheren Passwörtern geschult?
Sollte dies noch nicht der Fall sein, machen Sie sie doch einfach mit der oben aufgeführten Checkliste vertraut — spätestens danach sind Ihre Mitarbeiter in der Lage, sichere Passwörter zu wählen.
- Werden Arbeitsplatzrechner beim Verlassen mit Bildschirmschoner und Kennwort gesichert?Auch dies ist für die Sicherheit Ihres Unternehmens von großer Bedeutung. Insbesondere bei Firmen mit Besuchern sollten Mitarbeiter ihren PC beim Verlassen des Arbeitsplatzes sperren, da sonst Daten abfließen können. Auch eine unbeabsichtigte Einsichtnahme wird so vermieden. Eine Kombination aus einer Arbeitsanweisung (der Mitarbeiter muss den PC sperren, wenn der Arbeitsplatz verlassen wird) und einer technischen Maßnahme (automatisches Sperren nach Zeit) ist hier das Mittel der Wahl.
- Werden vertrauliche Daten und gefährdete Systeme ausreichend durch geeignete Maßnahmen geschützt?
Neben der Eingabe des Passworts beim Einschalten des Geräts empfiehlt es sich, die Sicherheit weiter zu erhöhen und die Authentifikation zu verifizieren. Dies gelingt unter anderem durch den Einsatz zusätzlicher Hard- und/oder Software, wie beispielsweise Chipkarten oder Token.
- Wird die Nutzung von mobilen Datenträgern durch geeignete technische und organisatorische Maßnahmen gesichert?
Mobile Datenträger (z.B. USB-Sticks) sind äußerst praktisch und beliebt, um Daten kostengünstig zu transportieren. Die Schattenseite hierbei ist jedoch, dass so Unternehmensdaten unkontrolliert abfließen können. Eine geeignete technische Maßnahme, um die Nutzung mobiler Datenträger zu sichern, ist daher die Verschlüsselung. Im Falle eines verlorenen USB-Sticks kann so die Einsicht in eine unverschlüsselte Kundenliste oder Vertriebsstrategie vermieden werden. Daher sollten unbekannte Datenträger, wie z.B. USB-Sticks, generell gesperrt werden. Auf der anderen Seite ist auch der sichere Umgang mit mobilen Datenträgern ein zentrales Thema. Daher sollten Sie Ihre Mitarbeiter entsprechend schulen und Ihnen gegebenenfalls Arbeitsanweisungen geben.
- Werden vertrauliche Daten beim Versand per Mail verschlüsselt?
Eine solche kryptografische Absicherung ist notwendig, um Vertraulichkeit, Integrität und Authentizität zu erreichen. Mit dieser — in Kombination mit der Verwendung digitaler Signaturen — stellen Sie sicher, dass eine E-Mail unterwegs nicht verändert oder mitgelesen wird. Für die Sicherheit Ihres Unternehmens im Allgemeinen und der daraus potenziell resultierenden Haftbarkeit Ihrerseits im Speziellen ist es wichtig, dass Sie all diese Fragen nicht nur mit „Ja" beantworten. Darüber hinaus sollten Sie in der Lage sein, entsprechende Nachweise und Dokumentationen bei einer Datenschutzprüfung oder anderen Audits vorzulegen.