Dann springen wir mit der folgenden Frage doch mal direkt ins Thema – Hand aufs Herz: Wer nutzt für private Online-Accounts das gleiche Passwort wie für berufliche? Ertappt? Wer jetzt vehement den Kopf schüttelt, dem gratuliere ich, nicht ohne ein wenig Neid – noch mehr, wenn die unterschiedlichen Passwörter ausreichende Komplexität aufweisen und regelmäßig geändert werden. Er oder sie muss jetzt eigentlich nicht weiterlesen. Für alle anderen lohnt es sich durchaus. 

Unterschiedlichste Plattformen, ein Passwort?

Denn gerade im letzten Jahr sind im Zuge von Homeoffice und Co. im Arbeitsalltag vieler von uns zahlreiche neue cloudbasierte Plattformen hinzugekommen, die das dezentrale Produktivitätslevel erhöhen sollen. Egal ob Teams, Slack, Trello, Meltwater – als konkrete Beispiele meines derzeitigen PR-Alltags – oder was sonst noch am Himmel der Virtualisierung eines jeden einzelnen strahlt: Eines ist all diesen Anwendungen, genau wie allen Social-Media-Angeboten oder Webshops gemein: Natürlich entfaltet jede Plattform erst ihren Zauber, wenn man über ein persönliches Profil verfügt und sich mit seinen individuellen Zugangsdaten entsprechend eingewählt hat.

Individuell ist hier genau das Stichwort. Denn angesichts der schieren Masse an Online-Accounts – beruflich und privat – ist es kaum noch möglich, ohne entsprechende Hilfsmittel wie beispielsweise den iCloud-Schlüsselbund oder weitere Passwort-Manager die Übersicht zu behalten. Genau damit hat sich unser Kollege Thomas Seibold bereits vor zwei Jahren auseinandergesetzt. An der Dringlichkeit des Themas hat sich seitdem nichts verändert – ganz im Gegenteil. 

Es mag sein, dass ich durch die Zusammenarbeit mit dem IT-Security-Hersteller WatchGuard Technologies hier in den letzten Wochen aufgrund einschlägiger Kommunikationsbotschaften besonders „gebrainwasht“ wurde – auch wenn ich hinsichtlich der eigenen Passwort-Hygiene selbst noch nie der Prophet vor dem Herrn war. Ja, ich gebe zu, dass ich beispielsweise über Jahre für meinen Kundenzugang bei der Deutschen Bahn das gleiche Kennwort wie für mein Facebook-Profil verwendet habe, mit dem ich ebenso als Administrator für die Unternehmensseite von Press’n’Relations agiere. Und das ist wahrscheinlich nur die Spitze des Eisbergs meiner diesbezüglichen Verfehlungen – trotz besseren Wissens.

Der Grund: Bequemlichkeit. Trotzdem glaube ich, dass jetzt nicht so viele Geschütze auf mich niederprasseln, wenn ich sage: Jede(r) ohne Schuld werfe einen Stein. Insofern noch einmal die Klarstellung: Ich sehe mich ganz sicher nicht in der Position, hier mit erhobenem Zeigefinger zu lamentieren. Dazu kenne ich die Herausforderung nur allzu gut. Nichtsdestotrotz kann es sicher nicht schaden, noch einmal auf dieses Handlungsfeld aufmerksam zu machen.

Ist mein Passwort angreifbar?

Vielleicht hat der ein- oder andere ja schon mal mit Angeboten wie https://haveibeenpwned.com herumgespielt. Die eigene E-Mail-Adresse hier auf Herz und Nieren zu prüfen, kann durchaus spannende Erkenntnisse zutage führen. Heute möchte ich in dem Zusammenhang noch auf ein weiteres Helferlein hinweisen, das WatchGuard in diesem Zusammenhang jüngst veröffentlicht hat, um die Brisanz des Aspekts der Passwort-Sicherheit gezielt auf Unternehmensseite zu adressieren: den Dark Web Scan.

Im Gegensatz zur erstgenannten Webseite lässt sich hier nicht nur eine einzelne E-Mail-Adresse, sondern gleich die gesamte Unternehmens-URL durchchecken. Hinter dem Formular verbirgt sich eine Sammlung an frei verfügbaren Datensätzen, die die Experten von WatchGuard aus dem Dark Web zusammengetragen und für solche gezielten Suchanfragen gebündelt haben. Wenn der Scan einen oder mehrere Treffer erzielt, kann der IT-Administrator des Unternehmens (DSGVO-konform) zusätzlich eine detaillierte Analyse anfordern, die dabei unterstützt, die potenzielle Gefahr genauer zu klassifizieren. Der Report offenbart dann beispielsweise die zur Domain gehörenden E-Mail-Adressen, die Teil eines Datenlecks waren, sowie zusätzliche Informationen hinsichtlich der genauen Datenquelle und des Zeitpunkts, zu dem die Daten abgeflossen sind.

Vorsicht ist die Mutter der Porzellankiste

Natürlich habe ich auch Argumente in petto, warum entsprechend geprüft werden sollte – egal ob anlässlich von Sicherheitsbedenken im Unternehmensumfeld oder aus privatem Interesse: Sind solche Zugangsdaten einmal in den falschen Händen, kann das fatale Folgen haben – gerade für Unternehmen. So lässt sich mit bekannten Login-Daten auf vielfältige Weise weiterer Schaden anrichten. Sind Cyberkriminelle beispielsweise erst einmal im Firmennetz „drin“, besteht durchaus das Risiko, dass sie Malware installieren, weitere Zugangsdaten abgreifen bzw. vertrauliche Inhalte stehlen, wichtige Daten löschen oder verändern, böswillig Geldtransfers anstoßen oder mit eingeschleuster Ransomware ihr Unwesen treiben – um nur einige Beispiele zu nennen.

Tritt ein solcher Fall ein, ist es vordergründig egal, zu wissen, von wo das Passwort stammt. An der Problematik der Situation ändert sich dadurch kaum was. Allerdings ist es für einen Mitarbeiter sicherlich nicht angenehm, wenn sich herausstellt, dass ein von Hackern boshaft verwendetes Passwort eigentlich auf den Übergriff auf eine an sich privat verwendete Plattform zurückzuführen ist. Denn Cyberkriminelle sind sich der Bequemlichkeit vieler Anwender natürlich ebenso bewusst und probieren einmal erbeute Zugangsdaten vielfach aus. Schließlich ist ein solches Vorgehen immer noch viel zu oft von Erfolg gekrönt. 

Gerade vor dem Hintergrund der Tatsache, dass einst „privat“ vergebene und einmal verinnerlichte Passwörter gleichzeitig im Zuge von Unternehmensanwendungen zum Einsatz kommen, zeigt sich die Relevanz der Überschrift: Work-Life-Balance dient der IT-Sicherheit! Die private Angreifbarkeit ist hier nur eine Seite der Medaille: Klar ist es ärgerlich und häufig mit finanziellen Einbußen verbunden, wenn Hacker ein privates Webshop-Passwort missbrauchen, um falsche Bestellungen zu tätigen oder Warensendungen umzuleiten. Aber wenn die (gleichen) persönlichen Zugangsdaten genutzt werden, um in ein Firmennetz einzudringen und vertrauliche Informationen – beispielsweise Interna zu neuen Produktentwicklungen – abzugreifen oder Ransomware einzuschleusen, ergeben sich ganz andere Schadensdimensionen. 

Grund genug, einmal die eigenen Routinen genauer unter die Lupe zu nehmen. In jedem Fall sollte darauf geachtet werden, privat und geschäftlich vergebene Passwörter strikt getrennt zu halten. Und wer jetzt in Aktionismus verfällt: Die Hinweise zum digitalen Frühjahrsputz von Thomas Seibold können dabei nach wie vor unterstützen und haben an Aktualität nichts eingebüßt. Zumal auch im Hinblick auf ein gezieltes, weitreichendes Passwort-Update-Bestreben gilt: Machen ist wie wollen, nur krasser! Der Zeitpunkt ist immer der richtige.