Wir wollen am liebsten einen Schlüssel, der zu jedem Schloss passt. Daher machen wir es uns so leicht wie möglich. Der Mensch tendiert zur Einfachheit. Das Resultat sind oft unsichere Passwörter. „Worst-Password“-Studien sind erheiternd und erschreckend zugleich, da gehören „qwertz“ oder 123456 tatsächlich zu den Ranglistenführern. Das ist bekannt. Und genau diesbezüglich werden immer öfter beim Onboarding-Prozess Fehler gemacht!
So viel dazu: Wissen wir auch, wo unsere Unternehmen am verwundbarsten sind, wenn es um die Vergabe und Verteilung von Passwörtern geht?
Der Moment, wenn neue Mitarbeiter im Unternehmen starten. Beim sogenannten Onboarding müssen neue Benutzerkonten angelegt werden. Das kann sicherheitstechnisch äußerst kritisch sein. Selbst Unternehmen mit den strengsten Sicherheits-, Identitätsverwaltungs- und Administrationsrichtlinien sowie Passwortleitfäden unterschätzen oder übersehen die großen Risiken.
1) Initialkennwort – auf die Formel kommt es an
Viele Unternehmen verwenden beim Erstellen neuer Konten eine simple Formel für Standardkennwörter: Kombiniere die ersten beiden Buchstaben deines Vornamens mit dem Geburtsjahr und dem Nachnamen und fertig ist das Kennwort („Pe1972Mueller“). Einige Unternehmen verwenden sogar das gleiche Standardpasswort für jedes einzelne neue Benutzerkonto. Nicht selten dürfen sich alle Mitarbeiter zum Beispiel zunächst mit dem Kennwort „neuermitarbeiter“ anmelden, bevor sie ein eigenes generieren können. Dass diese Praxis grob fahrlässig ist und Tür und Tor für Missbrauch mit Daten und Systemen öffnet, liegt auf der Hand. Und dann kann man noch froh sein, wenn diese Schwachstelle nur für Späße oder Streiche genutzt wird und nicht, um dem Unternehmen oder Mitarbeiter zu schaden.
2) Wie erfährt der neue Mitarbeiter sein Initialpasswort?
Auch die Vermittlung und Weitergabe von Passwörtern stellt ein Sicherheitsrisiko dar. Wie werden die neuen Konten und Passwörter an Mitarbeiter weitergegeben? Kommt ein Kollege aus der IT am ersten Tag persönlich bei Ihnen vorbei und übergibt die Passwörter beispielsweise in einem geschlossenen Umschlag? Die Realität sieht oft anders aus: Passwörter werden an die Teamleiter oder Vorgesetzten geschickt – und die sollen sie einfach an die neuen Mitarbeiter weitergeben. Oder es wird die private E-Mailadresse des neuen Mitarbeiters genutzt, um das Passwort schnell zuzuschicken. Üblich ist auch ein Post-It-Zettel auf der Tastatur.
3) Verwaiste Konten sind Sicherheitsrisiken
In vielen IT-Abteilungen gehört die massenhafte Erstellung von Konten für neue Benutzer zur täglichen Arbeit – für Saisonarbeiter oder Auszubildende, Praktikanten und Studentische Aushilfen. Wenn die Aushilfskraft das Unternehmen nach wenigen Wochen wieder verlässt, gibt es häufig keine Routinen oder Möglichkeiten zu überprüfen und zu überwachen, ob Konten überhaupt aktiviert wurden. Verwaiste Benutzerkonten in der Organisation, auf die eventuell noch keiner zugegriffen hat, bilden aber ein enormes Sicherheitsrisiko – vor allem dann, wenn niemand weiß, dass sie existieren.
Tools4ever Tipps im Umgang mit dem Onboarding von Mitarbeitern im Unternehmen
Es gibt einfache Regeln bei der Einrichtung neuer Benutzerkonten, durch die sich die Sicherheitsrisiken deutlich minimieren lassen:
- Initialpasswörter zufällig generieren
Neue Passwörter sollten zufällig generierte Zeichenketten sein. Kollegen dürfen sie nicht erraten können. Starke Passwortgeneratoren können hier gute Dienste leisten, damit „qwertz“ endgültig der Vergangenheit angehört
- Self-Service Password Reset Management schließt Sicherheitslücke
Sichern Sie Ihren Onboarding-Prozess für Neueinstellungen. Das Account Claiming-Modul von SSRPM schließt die Sicherheitslücke, die Ihre Onboarding-Prozesse untergräbt – die Übertragung von Konten und Anmeldeinformationen an neue Benutzer.
- IAM für Übersicht und Kontrolle
Verwenden Sie eine professionelle Identity- und Accessmanagementlösung On Premise oder in der Cloud schon für den Login eines neuen Benutzers. So können sie alle Schritte des Onboarding-Prozesses im Konto überwachen und einschränken. Nicht aktivierte, verwaiste Konten sind mit IAM leicht zu identifizieren.
- Passwort getrennt weitergeben
Passwörter sind Geheimnisse und sollten möglichst auf direktem Weg übermittelt werden. Am besten ist ein geschlossener Umschlag, der persönlich übergeben wird.
- Schwachstellen Check
Begutachten und testen Sie den kompletten Prozess von der Passworterstellung (Formel) über die Passwortweitergabe und erste Eingabe bis zum Wechsel des Passworts nach dem ersten Login. So erkennen sie ganz schnell sicherheitsrelevante Schwachstellen.
Die beste Lösung ist ein professionelles Identity- und Accessmanagement-System. Dies bietet optimalen Schutz und Sicherheit. Gerne können Sie Ihre direkten Herausforderungen im Onboarding-Prozess mit einem der Berater oder Kundenbetreuer von Tools4ever besprechen und lösen. Schreiben Sie mir einfach oder rufen mich an und wir vereinbaren ein gemeinsames Beratungsgespräch.
Geschrieben von:
Jan Pieter Giele
Managing Director DACH, Nord- & Osteuropa
Jan Pieter Giele ist seit 2004 als Managing Director verantwortlich für die Aktivitäten der Tools4ever Informatik GmbH. Von Bergisch Gladbach aus kümmert er sich um die Weiterentwicklung und den Verkauf unserer IAM-Tools in Deutschland, Schweiz, Österreich und Nord- & Osteuropa und überwacht Beratung, Implementierung und Support.