So geht IT-Sicherheit, wenn Sie Praktikanten beschäftigen
Praktikantinnen und freie Mitarbeiterinnen sind oft wichtige Bestandteile im eigenen Unternehmen, allerdings sind sie meist nicht sicher im Umgang mit der IT. Das können fehlende Schulungen sein oder einfach fehlendes Interesse, meist bedingt durch den kurzen Beschäftigungszeitraum, für Sie kann das aber zu einem Problem werden. Dazu kommt die Frage, ob jeder/jede Praktikant*in Zugang zu allen Passwörtern haben sollte, denn darauf läuft es meist hinaus.
Dieser Blog soll Ihnen Tipps geben, wie Sie die IT Ihres Unternehmens sicherer machen. Dazu gehören das Onboarding und die Freigabe der Praktikant*innen, die Zugänglichkeit und Aufbewahrung von Passwörtern, allgemeine Passwortregeln für den Arbeitsplatz und zum Schluss noch eine alternative Lösung für ihr Unternehmen.
Onboarding
Beim Onboarding ist vor allem eins wichtig: welche Zugänge braucht der/die neue Praktikantin eigentlich? Dazu ist es natürlich wichtig, wie die Passwörter in Ihrem Unternehmen gemanagt werden. Im Zweifel sollte der/die Praktikantin nur die Zugänge bekommen, die für die eigene Arbeit auch wirklich wichtig sind.
Durch den meist kurzen Beschäftigungszeitraum ist der Sinn für IT-Sicherheit nicht sehr ausgeprägt, sodass bei den Passwörtern einfache Nutzung vorgeht. Das führt zu schwachen Passwörtern, über die sich Kriminelle ganz einfach Zugang zu Ihrem Unternehmen verschaffen können.
Wenn Praktikantinnen und Mitarbeiterinnen nur Zugang zu den Accounts haben, die Sie auch wirklich brauchen, kann das den Schaden bei einem tatsächlichen Sicherheitsvorfall direkt einschränken.
Allgemeine Passwortregeln
Ein wichtiger Faktor bei der Verwaltung von Passwörtern und deren Sicherheit ist die Erstellung: Passwörter sollen sicher sein, müssen sich aber im Arbeitsalltag auch von den Nutzer*innen merken und eingeben lassen können. Je mehr Software in Ihrem Unternehmen verwendet wird, desto schwieriger ist das jedoch.
Grundsätzlich empfiehlt es sich, mindestens 16 Zeichen zu nutzen, dabei keine Namen oder persönlichen Daten zu verwenden und nicht nur eine Art von Zeichen zu verwenden. Das schützt vor Brute-Force-Angriffen von Außen und dem Erraten der Passwörter von Kriminellen, die Zugang zu persönlichen Daten und Informationen der Mitarbeiter*innen haben, zum Beispiel über Social Media.
Passwort-Aufbewahrung
Moderne Unternehmen nutzen viel Software, dadurch müssen Mitarbeiter*innen viele Passwörter erstellen und verwalten. Vor allem ohne entsprechende Software werden Dinge genutzt, die sowieso schon gekauft wurden: Beliebt ist das Post-It am Bildschirm, auf dem die Passwörter stehen. Sicherheit und Zugangskontrolle ist hier nicht gegeben.
Natürlich darf auch die Passwort-Tabelle in Excel nicht fehlen, mit all Ihren Vor- und Nachteilen. Vorteile sind die Verfügbarkeit, da die Software ja meist schon für etwas anderes gekauft wurde, sowie die sichere Bedienung aller Mitarbeiter*innen, die damit eh tagtäglich umgehen müssen. Nachteile sind die meist fehlenden Synchronisation (außer die Datei liegt in der Cloud), die Zugänglichkeit für alle Mitarbeiter*innen (jeder kann alles sehen) und die einfache Kopierbarkeit. Hier hilft Sicherheits-Software, genaueres dazu finden Sie später im Artikel.
Off-Boarding
Irgendwann geht jedes Praktikum und jedes Projekt einmal zu Ende, wenn die Praktikantinnen und freien Mitarbeiterinnen das Unternehmen verlassen gibt es aber meist keine Kontrolle darüber, welche Passwörter mitgenommen werden.
Gerade bei Post-Its und Excel-Dateien haben Sie keine Kontrolle darüber, welche Passwörter vielleicht nicht mehr sicher sind. Hier gibt es nur zwei Möglichkeiten für Sie: alle Passwörter wechseln oder hoffen, das nichts passiert.
Wichtig ist auch, die alten Accounts zu löschen, wenn diese nicht mehr gebraucht werden. Alte Zugänge von Ex-Mitarbeiter*innen sind beliebte Einfallstore für Kriminelle.
Was Sie tun können
Alle diese Probleme haben eines gemeinsam: Sie haben keine Kontrolle darüber, wie Ihre Mitarbeiter*innen mit den Software-Accounts umgehen. Weder bei der Anzahl noch der Sicherheit der Passwörter können Sie sich wirklich sicher sein, das jeder im Unternehmen ein gewisses Maß an Passworthygiene anwendet.
Unsere Tipps, um Ihr Unternehmen sicherer zu machen:
- Passwort-Regeln einführen - Passwörter sollten immer eine gewisse Länge und Komplexität aufweisen. Es gibt Varianten, die sich trotzdem leicht merken lassen. Dazu gibt es viele verschiedene Lösungsansätze im Internet, hier ist zum Beispiel die Empfehlung des BSI.
- Passwörter nicht mehrmals verwenden - Sollte ein Account gehackt werden, ob von Ihrer Seite oder der des Anbieters, ist das Passwort für nicht länger sicher. Wird das Passwort mehrmals verwendet, wird das Problem auf mehrere Dienste verbreitet. Also lieber ein Passwort pro Account.
- Zugang beschränken - jeder Mitarbeiterin sollte nur Zugang zu den Passwörtern haben, die auch wirklich für die Arbeit nötig sind.
Wenn man das alles per Hand umsetzen will, dann wird die Umsetzung hiervon ziemlich aufwendig. Darum empfiehlt sich eine Softwarelösung, gerade für Unternehmen.
Softwarelösung
Alles was ich bisher aufgezählt habe ist nicht nur mit verschiedenen Unsicherheiten, Risiken und fehlenden Kontrollfunktionen für Sie selbst verbunden, sondern es ist auch unglaublich anstrengend für Sie und Ihre Mitarbeiter*innen. Diese sind indirekt mitverantwortlich für die IT-Sicherheit in Ihrem Unternehmen, ohne dafür ausgebildet oder daran interessiert zu sein.
Mit einem Passwort-Manager lassen sich diese Probleme einfach lösen, dabei gibt es sowohl kostenlose aber komplizierte als auch cloudbasierte Lösungen mit niedriger Einstiegshürde. Das beste Beispiel dafür ist heylogin:
- heylogin funktioniert im Gegensatz zur Konkurrenz komplett ohne Master-Passwort, dank Hardware-Verschlüsselung via Smartphone. Ihre Mitarbeiter*innen müssen sich also wirklich gar kein Passwort mehr merken.
- Passwörter werden automatisch generiert und beim Öffnen des Dienstes im Browser kann man sich mit einem Klick anmelden, das Ausfüllen von Nutzer und Passwort erfolgt automatisch.
- Zugangsdaten können sicher im Team geteilt werden, dank Zugriffsrechten haben Sie die volle Kontrolle, wer die Passwörter sehen kann.
Und das alles funktioniert wirklich schnell - Mitarbeiter*in on- oder offboarden mit wenigen Klicks, Zugänge teilen per Drag & Drop und einfaches Hinzufügen von Teammitgliedern, alles in Echtzeit, ohne langes Warten. Das alles macht Ihre IT nicht nur sicherer, sondern spart auch Zeit.