09. Februar 2023
Ein öffentliches Organ fragte bei uns an, ob für den Schalterdienst ein einfaches und kurzes Gruppenpasswort verwendet werden darf. Dieses könnten alle Mitarbeitenden miteinander teilen. So müsste die Kundschaft am Schalter nicht «lange» warten, bis das persönliche Passwort eingegeben worden sei. Die Antwort zur Frage ist eindeutig. Jeder Nutzer muss ein eigenes und zudem sicheres Passwort verwenden.
Kurze und einfache Gruppenpasswörter sind nicht zulässig. Passwörter sind der wohl grösste Risikofaktor der IT-Sicherheit. 63 Prozent aller Datendiebstähle sind gemäss dem dies jährigen «Data Breach Investigations Report» des Telekommunikationskonzerns Verizon auf unsichere oder gestohlene Passwörter zurückzuführen. Das Passwort darf also nicht zu kurz und einfach sein. Meist gibt es Passwortrichtlinien von den IT-Verantwortlichen, die auf den neuesten Sicherheitsstandards beruhen sollten. Verwendet man beispielsweise ein langes aber weniger komplexes Passwort mit mindestens 25 Zeichen und nur zwei Zeichenarten (z.B. Gross- und Kleinbuchstaben) ist dies gemäss dem Bundesamt für Sicherheit in der Informationstechnik gleich sicher wie ein kürzeres und komplexes Passwort mit mindestens 8 Zeichen und vier Zeichenarten (Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen). Auf www.passwortcheck.ch kann beispielsweise die Sicherheit eines Passwortes überprüft werden. Zudem wird die Rechenzeit zur Ermittlung des Passworts geschätzt. Diese beträgt beispielsweise beim (im Privatgebrauch) am meisten verwendeten Passwort «123456» weniger als eine Sekunde.
Tipp von uns: beim Testen auf der Plattform NICHT das Originalpasswort verwenden.
Passwörter müssen immer persönlich sein und dürfen nirgends aufgeschrieben und niemandem bekannt gegeben werden. Wenn das Passwort täglich mehrmals eingegeben wird (z.B. beim Aufstarten, nach Entsperren des Computers bei längerer Abwesenheit am Arbeitsplatz) haben die Nutzer einige Routine bei der Eingabe ihres Passwortes entwickelt. Somit sollte die Eingabe nicht lange dauern. Die Kundschaft wird die kleine Wartezeit für die Passworteingabe verstehen und vielleicht auch «schätzen». Diese zeigt nämlich, dass sich das öffentliche Organ an die Datenschutz- und IT-Sicherheitsstandards hält und mit den Angaben aller Einwohnenden sorgfältig umzugehen weiss.
DSB SZ-OW-NW