Haufe Online Redaktion
Haufe Online Redaktion
Tipps für IT-Sicherheit im Homeoffice und starke Passwörter
Bild: Daniel Trylski / Pexels Doppelt hält besser: Eine Zwei-Faktor-Authentifizierung zum Beispiel beim Login in Unternehmenssysteme sorgt für mehr IT-Sicherheit.

Die Bußgelder wegen Verstößen gegen die Datenschutzgrundverordnung erreichten 2023 ein neues Rekordhoch. Für Arbeitgeber lohnt es sich daher, ihre Mitarbeitenden in Sachen Datenpannen und IT-Sicherheit zu sensibilisieren und zu schulen. Der "Ändere-dein-Passwort-Tag" am 1. Februar 2024 ist ein guter Anlass, um speziell an eine sichere Passwortvergabe zu erinnern.

Das "Sicherheitsrisiko Mensch" ist der Grund, weshalb nicht allein die IT-Abteilung für die Sicherheit der Unternehmenssysteme zuständig sein kann. Die Personalabteilung ist in der Pflicht, die Mitarbeitenden für das Thema zu sensibilisieren. Das ist noch wichtiger vor dem Hintergrund, dass immer mehr Beschäftigte im Homeoffice arbeiten und dort im heimischen WLAN mit teils privaten Geräten an sensiblen Informationen des Unternehmens arbeiten können.

IT-Sicherheit im Homeoffice: Checkliste des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat deshalb die Informationsseite "Sichere Passwörter" inklusive Erklärvideo, Hintergrundinformationen und Tipps veröffentlicht. Hier können Sie auch eine Checkliste zur IT-Sicherheit im Homeoffice abrufen. Darin rät das BSI, die notwendige IT-Ausstattung prinzipiell beim Arbeitgeber einzufordern – dazu zählen neben PC und Smartphone auch Zubehör wie USB-Sticks und Netzteile.

Auch die Art des Zubehörs kann entscheidend sein: So sind Funktastaturen und kabellose PC-Mäuse im privaten Bereich durchaus beliebt. Doch wer beim Kauf nicht auf ausreichende Sicherheit geachtet hat, gibt womöglich sensible Daten ein, die dann unverschlüsselt übertragen werden – und ein Einfallstor für Hacker sind.

Wer keinen Unternehmenscomputer nutzt, sollte die erarbeiteten Daten regelmäßig auf das Firmensystem übertragen, rät das BSI. Erst dann können die Sicherheitsmechanismen des Unternehmens zum Datenschutz greifen. Zudem gilt es, den privaten oder Arbeits-PC mit regelmäßigen Updates zu schützen.

Stark zugenommen hat durch die Arbeit im Homeoffice die Benutzung von Videokonferenzsystemen und Messengern. Um hier auf Nummer sicher zu gehen, sollten Mitarbeitende ausschließlich auf Dienste zurückgreifen, die der Arbeitgeber bereitstellt. (Lesen Sie dazu: Rechtssichere Nutzung von Konferenz-Tools).

Sicherheit von Passwörtern: Handlungsbedarf für HR

Ein wichtiger Hebel in Sachen IT-Sicherheit ist die Wahl eines geeigneten Passworts: "Je länger desto besser", gibt das BSI als Grundregel aus. Wer ein kürzeres Passwort mit acht bis zwölf Zeichen wählt, sollte unbedingt vier Zeicharten (Groß- und Kleinschreibung, Zahlen und Sonderzeichen) verwenden. Bei Passwörtern ab 25 Zeichen reichten laut BSI hingegen zwei Zeichenarten, also beispielsweise Kleinbuchstaben und Sonderzeichen. Am sichersten sei es, für jeden Account ein eigenes, komplexes Passwort zu haben – wenngleich das bedeutet, mehrere Dutzend von Zugangsdaten zu verwalten.

Top Ten der schwachen Passwörter in Deutschland

Das Hasso-Plattner-Institut (HPI), Exzellenz-Center für IT-Systems Engineering, Data Engineering und Digital Health der Universität Potsdam, wertet jedes Jahr die Top Ten der geleakten Passwörter aus. Im Jahr 2023 waren dies:

  1. 123456789
  2. 12345678
  3. hallo
  4. 1234567890
  5. 1234567
  6. password
  7. password1
  8. target123
  9. iloveyou
  10. gwerty123

Auch das HPI gibt in diesem Zusammenhang Tipps zur Passworterstellung. Es empfiehlt:

  • Lange Passwörter (> 15 Zeichen)
  • Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten
  • Verwendung von Passwortmanagern
  • Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen
  • Zwei-Faktor-Authentifizierung aktivieren, wenn möglich

Die meistgenutzten Passwörter in HR

Eine Studie des Cybersecurity-Dienstleisters Nordpass aus dem Jahr 2021 zeigt, dass gerade in der Personalbranche großer Handlungsbedarf besteht. Die Liste der zehn meistgenutzten Passwörter in HR macht deutlich, wie schwach und dadurch anfällig für Hacker-Angriffe diese sind:

  1. password
  2. Kenzie14
  3. Firmenname123*
  4. Firmenname1234*
  5. welcome1
  6. 123456
  7. Firmenname*
  8. linkedin
  9. scooter
  10. Password

(* Dieses Passwort ist der Name des eigenen Unternehmens oder eine Abwandlung davon.)

Dabei sind schwache Passwörter eine der Hauptursachen für Datenpannen in Unternehmen. So kam es zum Beispiel beim US-amerikanischen Unternehmen Solarwinds zu einer großen Datenschutzverletzung, die Berichten zufolge auf den Schutz eines der Server mit dem Passwort "solarwinds123" zurückzuführen war. "Unternehmen und ihre Mitarbeitenden sind verpflichtet, die Daten ihrer Kunden zu schützen. Das schwache Passwort eines Mitarbeiters kann möglicherweise das gesamte Unternehmen gefährden", sagt Chad Hammond, Sicherheitsexperte bei Nordpass.

Passwortwechsel und Multi-Faktor-Authentifizierung

Nordpass rät, komplexe und einzigartige Passwörter zu erstellen sowie diese regelmäßig zu aktualisieren. Das BSI wiederum sagt, man solle das Passwort nicht mehr häufig wechseln. Laut chip.de hatte das BSI zunächst lange an dieser Empfehlung festgehalten. Doch inzwischen herrsche die einhellige Expertenmeinung, dass ein einmalig erstelltes, sicheres Passwort über Jahre genutzt werden könne. Der häufige Wechsel führe nur dazu, dass schwache Passwörter entstünden. Das Passwort sollte jedoch in jedem Fall geändert werden, wenn der Verdacht besteht, dass es in fremde Hände geraten sein könnte.

Außerdem enthält die BSI-Checkliste den Tipp, das Passwort des WLAN-Routers im Homeoffice zu ändern. Denn offenbar werden oft die Standard-Zugangsdaten des Herstellers beim Einrichten des Routers nicht geändert. Nordpass rät zudem, dass Mitarbeitende ihre Arbeits- und ihre persönlichen Konten nicht vermischen sollten. Denn nur so lasse sich sicherstellen, dass die persönliche Identität und alle Informationen, die sich auf den Arbeitgeber beziehen, im Falle einer Datenpanne geschützt seien.

Sowohl das BSI als auch Nordpass raten außerdem zu einer Multi-Faktor-Authentifizierung (MFA) oder auch Zwei-Faktor-Authentifizierung (2FA), bei der Benutzer zwei oder mehr Verifizierungsfaktoren angeben müssen, um Zugang zu einem Online-Konto oder einer Anwendung zu erhalten. Hier wird das Passwort zum Beispiel durch eine App-Bestätigung, eine Gesichtserkennung oder eine Pin auf einem anderen Gerät ergänzt.

Datenschutz im Homeoffice beachten

Der letzte Punkt in der BSI-Checkliste: "Stellen Sie sicher, dass nur Sie Zugriff auf die Firmen-IT haben." Schließlich könnten auch zuhause Unbefugte Zugriff auf die IT erhalten – etwa Handwerker in der Wohnung. Dieser Tipp ist auch Hauptbestandteil der Hinweise, wenn es um den Datenschutz im engeren Sinn geht. In unserem Beitrag zum "Datenschutz im Homeoffice" können Sie nachlesen, welche Punkte hier zu beachten sind.


Das könnte Sie auch interessieren:

IT-Sicherheit: Eine "Human Firewall" bilden

Wenn Mitarbeiter Trojaner ins Unternehmen lassen

Rechtssichere Nutzung von Konferenz-Tools

Schlagworte zum Thema:  IT-Sicherheit, Datenschutz, Homeoffice
Meistgelesene beiträge
Neueste beiträge