Beinahe hätte ein Passwort – genauer: eine Passphrase – mal eine wichtige Rolle in einem Asterix-Heft gespielt: In der Geschichte „Asterix als Legionär“ – einer herrlichen Parodie der französischen Fremdenlegion – heuern der trickreiche, zaubertrankgestärkte Gallier Asterix und sein noch kräftigerer Kollege, der Hinkelsteinlieferant Obelix, als Söldner beim Heer der römischen Besatzungsmacht an. Das Ziel: den zwangsrekrutierten Gallier Tragicomix zu befreien. Auf dem Weg zum Römerlager, in dem dieser stationiert ist, ergaunern unsere Helden die Zutrittsparole: Eine Römerpatrouille, die ihnen begegnet, fordert sie auf, die Losung zu nennen; Asterix, der sie nicht kennt, fragt zurück: „Weißt du sie denn?“ – „Das will ich meinen“, so der Patrouillenführer stolz: „Cogito ergo sum.“ Beim Römerlager angekommen und nach der Losung gefragt, haben die beiden Gallier diese aber schon wieder vergessen. Deshalb öffnen sie das Lagertor dann doch in altbewährter Manier, also zaubertrankgestützt. Das mit den Passwörtern war eben noch nie einfach.
Das Problem besteht auch heute noch. Denn biometrische Lösungen verdrängen den klassischen Passwort-Zugang zu IT-Ressourcen nur allmählich. Damit bleibt der Umgang mit Passwörtern vorerst eine Herausforderung.
Der wohl beste Slogan zum Thema Passwortsicherheit stammt, soweit ich weiß, ursprünglich aus einer Security-Awareness-Kampagne von SAP: „Passwords are like underwear“, hieß es dort auf einem Poster – Passwörter sind wie Unterwäsche. In fünf Stichpunkten erklärte der Postertext, wie man mit den Passwortunterhosen verfahren sollte:
Wechsle sie häufig
Teile sie nicht mit deinen Freunden
Je länger, desto besser
Lass sie nicht herumliegen
Sei geheimnisvoll
Auf dem Bild des Posters drehen sich drei Menschen im Business-Outfit nach einem Mann im Vordergrund um, der im wörtlichen Sinne mit heruntergelassenen Hosen dasteht – da wundert es kaum, wenn Passwortsicherheit plötzlich Gesprächsthema Nr. 1. in der Kaffeeküche ist. Idealerweise bleibt es nicht bei der einen Pointe, sondern das Poster ist Teil einer durchdachten Kampagne, begleitet von Security-Schulungen oder -Trainings. Dann hat man gute Chancen, dass die Belegschaft nach und nach tatsächlich mehr auf IT-Risiken achtet.
Cybersicherheit in Zahlen
In manch einem deutschen Unternehmen hingegen lässt das Bewusstsein für IT-Sicherheit (im Fachjargon „Security Awareness“) zu wünschen übrig. Das ergab eine Umfrage unter 5.000 Angestellten durch die Marktforscher von Statista im Auftrag des Bochumer Security-Spezialisten G Data. Aufbereitet hat den Report „Cybersicherheit in Zahlen 2023/2024“ das Publishing-Team der Wirtschaftszeitschrift brand eins, deren Titelseiten immer wieder zu den Höhepunkten deutschen Publikationsschaffens zählen – die Asterixhefte der Wirtschaftspresse.
Im Report ist Bedenkliches zu lesen: Von den Beschäftigten, die derlei durchführen können (das sind nicht unbedingt alle im Unternehmen!), sperren zum Beispiel nur 67,9% immer beim Verlassen des Arbeitsplatzes den PC-Bildschirm. 22,9% gaben an, das gelegentlich zu tun, 9,2% hingegen: Och nö, macht ja Arbeit.
Nur 61,5% überprüfen E-Mails stets im Hinblick auf Phishing. Soll sich da doch die IT-Abteilung drum kümmern! Immerhin vier von fünf Befragten (78,3%) reklamierten einen stets verantwortungsvollen Umfang mit Passwörtern für sich. Aber eben auch nur vier von fünf.
Beim Bewusstsein für Cyberrisiken ist also noch Luft nach oben. Dabei gilt den Security-Fachleuten die Belegschaft eines Unternehmens eigentlich als „Human Firewall“. Denn die schönste IT-Sicherheitstechnik hilft mitunter wenig, wenn Beschäftigte unbedarft auf jeden Link klicken oder ihre Passwörter auf Post-it-Zettel schreiben und an den Displayrand kleben (der Obelix der Security-Dummheiten).
Denn die cyberkriminellen Legionen gelangen nicht nur via Phishing-Mails mit Malware-Anhang ins Unternehmensnetz: Manch ein Legionär kommt schlicht mit gefälschtem Microsoft-Mitarbeiterausweis oder Ähnlichem ins Unternehmen, behauptet, er müsse da einen PC checken, steckt dort einen USB-Stick mit trickreicher Software an und ist damit im Netz – oder hat gar eine permanente Hintertür installiert.
Umso riskanter, dass laut der Umfrage fast jedes zweite Unternehmen (46,1%) keine (Online-)Schulungen, Veranstaltungen oder Trainings zum Thema Security für alle Beschäftigten anbietet. Eine Unschärfe kann bei diesem Wert allerdings dadurch bestehen, dass in vielen Unternehmen nicht die gesamte Belegschaft Zugang zu IT-Gerätschaft hat, sodass es dem Verantwortlichen überflüssig erscheinen mag, solche Trainings wirklich für alle anzubieten.
„Wer seine Angestellten nicht über aktuelle Cybergefahren aufklärt und schult, begeht einen großen Fehler“, mahnt jedenfalls Andreas Lüning, Mitgründer und Vorstand des Studien-Auftraggebers G Data CyberDefense aus Bochum, der – das mag jetzt Zufall sein – auch eine Abteilung für Awareness-Trainings unterhält. „Führungskräfte in Unternehmen müssen verantwortlich handeln und alle Mitarbeitenden bei der IT-Sicherheit einbeziehen“, fordert Lüning. Solange dies nicht der Fall ist, braucht es oft gar keinen Zaubertrank, um in das Netzwerk einzudringen.
In Sachen Cybersicherheit ist jede Organisation heute ein gallisches Dorf, das von feindlich gesinnten Legionen umgeben ist. Dass offenbar viele deutsche Firmen auf unternehmensweite Awareness-Trainings verzichten, ist daher mehr als leichtsinnig. Oder, wie Obelix es formulieren würde: „Die spinnen, die Germanen!“
*****
Hat Ihnen dieser Text gefallen? Dann erzählen Sie doch einem Menschen davon, den das Thema ebenfalls interessieren könnte! Denn liebevoll von Hand erstellte Inhalte verbreiten sich am besten per Mundpropaganda.
Lust auf mehr Artikel dieser Art? Nichts leichter als das! Einfach hier den IT Info 2 Go Newsletter abonnieren! (Achtung: Double-Opt-in wg. DSGVO! Es kommt also eine E-Mail mit Link zur Bestätigung, deshalb bitte ggf. Spam-Ordner checken!)
Cartoon: (c) Wolfgang Traub
IT Info 2 Go 