Werden Account-Daten erbeutet, müssen Sie zwingend Ihr Passwort ändern

Mit schöner Regelmäßigkeit erschrecken Meldungen über massenhaften Datendiebstahl die Öffentlichkeit: Mitte 2017 fanden sich fast 500 Millionen E-Mail-Adressen und Passwörter für verschiedene Online-Angebote im Netz. Ende 2018 entwendeten Hacker bei einer US-Hotelkette die Daten von rund 500 Millionen Gästen, darunter E-Mail-Adresse, Passnummer und Geburtsdatum. Im Januar tauchten rund 800 Millionen gestohlene Log-in-Informationen in Form von E-Mail-Adressen und Passwörtern im Internet auf – darunter 21 Millionen im Klartext lesbare Passwörter. Besonders diese Kombination ist gefährlich: Wer eine verifizierte E-Mail-Adresse sowie das dazugehörige Passwort erbeutet, kann bei verschiedenen Diensten ausprobieren, ob er damit Zugang zu einem möglicherweise existierenden Account erhält. Darum sollte jeder für seine bestehenden E-Mail-Adressen – die oft als Zugang zu Online-Accounts dienen – überprüfen, ob jemand Identitätsdaten ausspioniert hat. Das geht ganz leicht im Internet, etwa mithilfe des HPI Identity Leak Checker vom Hasso-Plattner-Institut. Gilt die E-Mail-Adresse dort als kompromittiert, gibt es nur eins: Passwort ändern.

Grafik zeigt einfache Passwörter wie superman oder 123456

Nach einem Da­ten­dieb­stahl ist Pass­wort än­dern Pflicht

Unternehmer sollten das Thema nicht als reine Privatsache abtun: Erstens sind auch Online-Dienste betroffen, die Firmenkunden nutzen. Zweitens geben viele Mitarbeiter bei Online-Accounts ihre Firmen-E-Mail-Adresse an, sei es für berufliche oder private Aktivitäten. Nach Datenpannen dürften also E-Mail-Adressen des Unternehmens inklusive Passwort im Netz kursieren. Solche Informationen liefern Cyberkriminellen schon Ansatzpunkte für Attacken auf die Firmen-IT. Oder für Erpressungsversuche beziehungsweise Manipulationsversuche bei Mitarbeitern in Form von Social-Engineering. Jeder Unternehmer sollte seine Beschäftigten auffordern, ihre Firmen- wie auch ihre privaten E-Mail-Adressen zu checken. Und wenn sie erbeutet wurden: Passwort ändern. Auch das gehört zu den vielen Maßnahmen, mit denen sich die IT-Sicherheit im Unternehmen erhöhen lässt – wenn man sich konsequent daran hält.

Private Nut­zung der Fir­men-E-Mail-Adres­se un­ter­sagen

Am besten wäre es aber, das Risiko einer kompromittierten Firmen-E-Mail-Adresse über eine Betriebsvereinbarung zu reduzieren. Ein Unternehmer kann den Mitarbeitern durchaus untersagen, während der Arbeitszeit zu surfen oder die Firmen-Adresse für private Accounts zu nutzen. Das ist schon wegen des Datenschutzes wichtig: Fällt ein Mitarbeiter aus, der seinen Firmen-Account privat nutzt, gelten Fernmeldegeheimnis und Datenschutz für die Inhalte – auf den gesamten Account darf niemand so einfach zugreifen. Vielen Chefs geht es allerdings derzeit noch eher um das Verbot von exzessivem Computerspielen. Am besten lassen Unternehmer so eine Betriebsvereinbarung vom Anwalt aufsetzen. Der formuliert eine rechtssichere Anlage zum Arbeitsvertrag, die arbeitsrechtliche Vorgaben und betriebliche Interessen in Einklang bringt. Sie sollte auch Vorgaben zu „Bring Your Own Device“ (BYOD) enthalten, dem Einsatz privater Mobilgeräte für berufliche Zwecke im Firmennetzwerk.

Grafik zeigt dass jeder vierte Deutsche seine Passworte nie ändert und nur 13 Prozent mindestens monatlichKeine Vor­schrift zur re­gel­mä­ßi­gen Pass­wort­än­de­rung machen

Eine Vorschrift, dass Mitarbeiter regelmäßig das Passwort ändern müssen, empfiehlt sich nicht. Experten raten, starke Passwörter nur zu ändern, falls sie öffentlich geworden sein könnten. Das sei besser, als regelmäßig neue Ziffern-Buchstaben-Sonderzeichen-Kombinationen zu suchen. Die erzwungene Aktualisierung führe oft zu unsicheren Passwörtern, weil man sich starke Kombinationen nicht immer wieder neu merken kann. Oder – auch keine Alternative – das Passwort wird aufgeschrieben und an den Bildschirm geklebt. Tipps für ein gutes Passwort liefert das Bundesamt für Sicherheit in der Informationstechnik (BSI). Wer das Passwort ändern will, kann die neue Kombination im Internet auf ihre Sicherheit überprüfen oder sich eine Abfolge von Zeichen vorschlagen lassen. Nicht nur wegen aktueller Datendiebstähle ist es aber ebenso wichtig, die Mitarbeiter regelmäßig zur IT-Sicherheit zu schulen. Und auch der Firmenchef sollte sich spezifisch informieren, etwa über sichere digitale Kommunikation, beispielsweise in Unternehmerforen oder bei IT-Beratern.