Passwortnutzungsverhalten am Arbeitsplatz macht Organisationen angreifbar für Cyberangriffe

Bereits vor der COVID-19-Pandemie stellte schlechte Passworthygiene am Arbeitsplatz ein großes Cybersicherheitsrisiko dar. Als COVID-19 Organisationen weltweit dazu zwang, Heimarbeit für ihre Mitarbeitenden zu ermöglichen, verbanden sich Teams und Mitarbeitende aus der Ferne mit Unternehmensnetzwerken aus Umgebungen, die die Organisationen nicht mehr kontrollieren konnten, und von persönlichen Geräten.

Teilnehmer der Studie "Cybersicherheit in Zeiten der Fernarbeit: Ein globaler Risikobericht" des Ponemon Instituts, die von Keeper Security im Jahr 2020 in Auftrag gegeben wurde, zeigten sich sehr besorgt über die Passwortsicherheit in Ihren Unternehmen.

• 60 % der Teilnehmer gaben an, dass ihre Organisation in den letzten 12 Monaten einen Cyberangriff erlebt hat.
• Über 50 % gaben an, dass bei so einem Angriff Zugangsdaten gestohlen wurden.
• Gestohlene IT-Daten verursachten bei 25 % der betroffenen Unternehmen mehr als 5 Millionen US-Dollar an Schäden.

Die Pandemie zwang Organisationen dazu, rasch eine Reihe neuer Technologien einzuführen, damit ihre Mitarbeitenden aus der Ferne zusammenarbeiten konnten. Mitarbeitende mussten sich für immer mehr Onlinekonten registrieren, von Zoom über Google Workspace bis hin zu Slack, und damit immer mehr Passwörter nutzen.

Bei Keeper stellten wir uns die Frage, wie sich die Passwortsicherheit verändert hat, seit Unternehmen auf Fernarbeit setzen mussten. Befolgten Mitarbeitende einfachste bewährte Praktiken, um ihre Passwörter zu sichern, oder erlagen sie der Passwortmüdigkeit und nutzten stattdessen gefährliche Methoden, die zu erheblichen Cybersicherheitsrisiken führen können? Um das zu klären, führte Keeper in Kooperation mit Pollfish die Umfrage zu Passwortfehlern am Arbeitsplatz durch.

Während Ponemon Führungskräfte befragte, haben wir uns dieses Mal direkt an Mitarbeitende gewandt und 1.000 Vollzeitbeschäftigte in den USA zu ihrem Passwortnutzungsverhalten befragt. Die Umfrage wurde im Februar 2021 abgeschlossen und umfasste ausschließlich Personen, die Passwörter nutzten, um aus der Ferne auf Onlinekonten für Arbeitszwecke zugriffen.

Nachfolgend finden Sie die wichtigsten Erkenntnisse der Umfrage. Die vollständigen Daten können Sie auch hier abrufen.

Erkenntnis 1: Mitarbeitenden in den USA speichern und verwalten ihre Zugangsdaten sehr unsicher.

Unsere Umfrage fand heraus, dass Mitarbeitende in den USA bewährte Verfahren zur Speicherung und Verwaltung ihrer Arbeitspasswörter nicht anwenden und damit ihre Arbeitgeber großen Cybersicherheitsrisiken aussetzen.

• Über die Hälfte der Teilnehmenden (57 %) gab an, dass sie Arbeitspasswörter auf Klebezetteln aufschreiben, und zwei Drittel (67 %) gaben sogar zu, diese Notizzettel schon einmal verloren zu haben. Sensible Unternehmensinformationen sind damit nicht nur sichtbar für andere Personen im Haushalt und Besucher, dieses Verfahren wirkt sich auch negativ auf die Organisationseffizienz aus. Verlorene Klebezettel bedeuten verlorene Passwörter, was dazu führt, dass der Help Desk mehr Tickets bearbeiten muss, um diese Passwörter zurückzusetzen.
• 62 % der Teilnehmenden gaben an, dass sie Passwörter in Notizbüchern oder Adressbüchern aufschreiben, und die große Mehrheit (82 %) gab an, dass sie diese Bücher in der Nähe ihrer Arbeitsgeräte aufbewahren, wo sie von anderen Personen im Haushalt oder von Besuchern leicht eingesehen werden können.

Passwörter auf diese Art aufzuschreiben und zu verwalten, hat sich in Zeiten von zunehmender Heimarbeit zu einem immer größeren Problem entwickelt. Die meisten Mitarbeitenden (66 %) sagten, dass sie Passwörter eher aufschreiben würden, wenn sie von zu Hause arbeiten, als wenn sie im Büro arbeiten.

Selbst beim Einsatz von digitalen Speicher- und Verwaltungsmethoden für ihre Passwörter nutzen Mitarbeitende in den USA falsche und fehlerhafte Verhaltensweisen.

• Fast die Hälfte der Teilnehmenden (49 %) gab an, dass sie Arbeitspasswörter in Dokumenten in der Cloud speichern.
• Etwas über die Hälfte der Teilnehmenden (51 %) gaben an, dass sie Passwörter in Dokumenten auf ihrem Computer speichern.
• 55 % speichern Arbeitspasswörter auf Ihrem Mobiltelefon.

Passwörter in unverschlüsselten Dateien zu speichern, ist sehr riskant. Cyberkriminelle müssen dann nur den Cloud-Speicher, Computer oder das Mobilgerät hacken und haben sofort Zugriff auf die Daten.

Erkenntnis 2: Mitarbeitende in den USA nutzen schwache, leicht zu erratende Passwörter

Ein komplexe, zufallsgeneriertes Passwort besteht aus einem zufällig zusammengewürfelten Mix aus Klein-/Großbuchstaben, Ziffern und Sonderzeichen. Viele Teilnehmende der Umfrage gaben an, dass ihre Passwörter meist persönlich Daten enthielten, die Cyberkriminelle leicht über die sozialen Medien ihrer Opfer herausfinden können.

• Über ein Drittel (37 %) der Teilnehmenden gab an, dass sie den Namen ihres Arbeitgebers in Arbeitspasswörtern verwenden.
• Über ein Drittel (34 %) gab an, dass sie die Namen oder Geburtsdaten ihrer Lebenspartner verwenden.
• Fast ein Drittel (31 %) gab an, dass sie die Namen oder Geburtsdaten ihrer Kinder verwenden.

Die Nutzung gleicher Passwörter für persönliche Konten und Arbeitskonten hat sich für Organisationen zu einem großen Cybersicherheitsrisiko entwickelt. 44 % der Teilnehmenden gab an, gleiche Passwörter für persönliche und Arbeitskonten zu nutzen. 53 % gaben an, passwortgeschützte persönliche Konten auf ihren Arbeitsgeräten zu nutzen.

Erkenntnis 3: Mitarbeitende aus den USA teilen ihre Arbeitspasswörter mit nicht autorisierten Parteien

Viele Mitarbeitende aus den USA achten nicht genau darauf, mit wem sie Arbeitspasswörter teilen. Damit setzen sie ihre Organisationen dem Risiko aus, dass diese Passwörter in die Hände von achtloseren Personen oder Personen geraten, die bösartige Absichten verfolgen.

• Im vergangenen Jahr haben 14 % der Teilnehmenden Arbeitspasswörter ihren Lebenspartnern oder Ehepartnern mitgeteilt.
• 11 % der Teilnehmenden haben Arbeitspasswörter anderen Familienmitgliedern mitgeteilt.

Selbst ohne einen tatsächlichen Datendiebstahl könnten Arbeitgeber beschuldigt werden, Standards nicht einzuhalten, und müssten dann eventuell hohe Strafen zahlen, wenn festgestellt wurde, dass nicht autorisierte Parteien vertrauliche Daten einsehen konnten.

Erkenntnis 4: Arbeitgeber in den USA unternehmen selbst keine Schritte, um die Weitergabe von Passwörtern sicher und nur für autorisierte Parteien zugänglich zu machen

Unsere Umfrage fand heraus, dass Passwörter am Arbeitsplatz sehr häufig geteilt werden.

• Fast die Hälfte (46 %) der Teilnehmenden gab an, dass ihre Organisation Passwörter nutzt, die von mehreren Personen gleichzeitig verwendet werden.
• Über ein Drittel (34 %) gab an, Passwörter mit Kollegen im selben Team geteilt zu haben.
• Fast ein Drittel (32 %) gab an, Passwörter mit Vorgesetzten geteilt zu haben.
• 19 % haben Passwörter mit einer Gruppe von Vorgesetzten geteilt.

Am besten wäre es, wenn alle Mitarbeitenden eigene Passwörter für Arbeitskonten und Anwendungen erhalten. Das lässt sich unkompliziert umsetzen mit einer Enterprise Password Management-Plattform (EPM). Die gemeinsame Verwendung von Passwörtern am Arbeitsplatz ist sicher, solange die Passwörter geschützt und nur mit autorisierten Parteien geteilt werden.

Unsere Umfrageergebnisse deuten darauf hin, dass Arbeitgeber in den USA keinerlei Risikovermeidungsstrategien nutzen, um das Teilen von Passwörtern sicher zu gestalten.

• Die Mehrheit der Teilnehmenden (62 %) gab an, Arbeitspasswörter über Textnachrichten oder per E-Mail geteilt zu haben. Solche Methoden können von Cyberkriminellen leicht bei der Übertragung abgefangen werden.
• Fast ein Drittel (32 %) gab an, dass sie Zugriff auf Arbeitskonten früherer Arbeitgeber hätten, was darauf hindeutet, dass Arbeitgeber Konten nicht deaktivieren, nachdem die entsprechenden Mitarbeitenden das Unternehmen verlassen haben.

Zusammenfassung

Die Einführung und Implementierung einer Enterprise Password Management-Plattform wie der von Keeper kann das in der Umfrage festgestellte Fehlverhalten bei der Passwortnutzung beseitigen. Mit der Zero-Knowledge-Passwortverschlüsselung und dem Zero-Trust-Framework bietet Keeper umfassende Passwortverwaltungsmöglichkeiten, sicheres Teilen von Passwörtern und viele weitere Sicherheitsfunktionen.

IT-Administratoren und IT-Verantwortliche erhalten umfassende Einblicke in und Kontrolle über das Passwortverhalten der Mitarbeitenden, einschließlich:

• Exklusives, proprietäres Zero-Knowledge-Sicherheitsmodell und Zero-Trust-Framework-System; alle übertragenen Daten werden verschlüsselt; Keeper-Mitarbeitende oder andere Außenstehende können keine Daten einsehen.
• Schnelle Einbindung auf allen Geräten, ohne vorherige Kosten für zusätzliche Geräte oder Installation.
• Personalisierter Einstieg für Mitarbeitende, 24/7-Kundendienst und Trainings von persönlichen Keeper-Produktspezialisten.
• Unterstützung von RBAC, 2FA, Überprüfungen, Ereigniserfassung und Einhaltung verschiedener Standards wie HIPAA, DPA, FINRA und DSGVO.
• Bereitstellung sicherer Ordner, Unterordner und Passwörter für die gemeinsame Nutzung durch Team.
• Single-Sign-on-Authentifizierung (SAML 2.0)
• Offline-Zugriff auf den Tresor ermöglichen, auch wenn SSO nicht verfügbar ist..
• Dynamische Bereitstellungstresore über SCIM.
• Für hohe Verfügbarkeit konfigurieren
• Fortschrittliche Zwei-/Mehr-Faktor-Authentifizierung
• Synchronisierung mit Active Directotry und LDP
• SCIM und Azure-AD-Bereitstellung.
• Entwickler-API zur Passwortrotation und Integration im Backend.