Mobile-Menu

gesponsertDer richtige Start in die Passwortsicherheit Sichere Passwörter für neue Kollegen - ab dem ersten Arbeitstag

5 min Lesedauer

Gesponsert von

Specops Software GmbH

Das Onboarding neuer Mitarbeiter und Kollegen kann ein Sicherheitsrisiko beinhalten. Denn der Prozess zur Übergabe des ersten Passworts für den Zugang des neuen Beschäftigten kann schnell eine gefährliche Schwachstelle für die Passwortsicherheit darstellen. Erfahren Sie mehr, welche Gefahren dadurch entstehen können und wie Sie die sichere Weiter- und Vergabe solcher Initialpasswörter in Ihrer Organisation umsetzen können.

Bereits beim Onboarding neuer Kollegen sollte man die Passwortsicherheit nicht vernachlässigen, warnt Specops Software.(Bild: Canva Pro / anyaberkut from Getty Images)
Bereits beim Onboarding neuer Kollegen sollte man die Passwortsicherheit nicht vernachlässigen, warnt Specops Software.
(Bild: Canva Pro / anyaberkut from Getty Images)

Der erste Arbeitstag, die erste Sicherheitslücke

Die immer größer werdende Fachkräftelücke zum Beispiel in der IT bedeutet einen Verlust von Wettbewerbsfähigkeit, Wertschöpfung, Wachstum und Wohlstand, so der Digitalverband Bitkom. Die EU-Agentur für Cybersicherheit ENISA sieht in dem Fachkräftemangel sogar eine der größten Cyberbedrohungen in den nächsten Jahren. Tatsächlich kann aber auch der Erfolg bei der Suche nach Fachkräften zum Risiko werden. Bei dem Onboarding neuer Mitarbeiterinnen und Mitarbeiter lauern viele IT-Sicherheitsrisiken.

Der (unsichere) Weg zum Startpasswort

Wer neu in einem Unternehmen anfängt, durchlebt eine aufregende Zeit, in der es viel Neues zu lernen gibt. Die neuen Kolleginnen und Kollegen, der neue Arbeitsplatz, die IT-Ausstattung und Programme, der Weg in die Kantine und Kaffeeküche, da bleiben oftmals altbekannte Themen wie Passwortsicherheit und die Vergabe von starken Passwörtern schnell auf der Strecke.

Schließen Sie Sicherheitslücken im Onboarding-Prozess

Dabei ist die sichere Übergabe des ersten Passwortes an neue Beschäftigte und die Sicherstellung des umgehenden Passwortwechsels in vielen Unternehmen nicht gut geregelt. In der Praxis reichen die Formen der initialen Passwortübergabe von der Haftnotiz auf dem neuen Notebook, über einen Eintrag im Willkommensschreiben bis zur mündlichen Weitergabe durch den Vorgesetzten auf dem Gang, oftmals noch in einfach zu merkender Form wie „User“, „Temp“ oder „Welcome“, „Onboarding“ oder ähnlichen.

Wie häufig genau solche gefährlichen Trivial-Passwörter für den Start am neuen Arbeitsplatz vergeben werden, zeigt eine aktuelle Untersuchung von Specops Software.

„Jedes Mal, wenn Sie eine neue Stelle antreten, ist die Wahrscheinlichkeit groß, dass Sie ein Initialpasswort erhalten, mit dem Sie sich zum ersten Mal in das System einloggen können“, kommentierte Stephan Halbmeier, Product Specialist bei Specops Software, ein Unternehmen der Outpost24-Gruppe. „Diese Passwörter werden in der Regel vom IT-Team erstellt und sollten theoretisch genauso sicher sein wie jedes andere Passwort. Bedauerlicherweise ist die Geheimhaltung von Initialpasswörtern in vielen Unternehmen nicht optimal, wie zum Beispiel das Fehlen von langen Passwörtern oder zufällig gewählten Passphrasen zeigt. Besonders Riskant ist die Weitergabe von Initialpasswörtern im Klartext – doch was ist die Alternative?”

Initialpasswörter als dauerhaftes Risiko

Wenn die Wahl und Übergabe der Startpasswörter nicht verbessert werden, kann dies zu folgenreichen IT-Sicherheitsvorfällen führen. Das mag überraschen, da solche Initialpasswörter ja eigentlich gleich bei der ersten Anmeldung geändert werden sollen. Doch die Realität kann ganz anders aussehen. „Unsere Untersuchungen zeigen, dass viele „temporäre” Kennwörter länger als angenommen im Umlauf bleiben und natürlich auch schon Angreifern bekannt sind“, berichtet der Specops-Experte. „Der entscheidende Schritt, eine sofortige Änderung des Initialpassworts zu einem starken, welches der Nutzer sich selbst ausgedacht hat, wird oft versäumt.“

So geht Passwortsicherheit ab dem ersten Arbeitstag

Bei der erzwungenen Änderung des Initialpasswortes verwenden viele Benutzerinnen und Benutzer ihr eigentlich temporäres Startpasswort wieder oder fügen einfach Zahlen oder Sonderzeichen hinzu, um auf die Schnelle die Passwortrichtlinien des Unternehmens zu erfüllen. Immerhin gibt es am ersten Arbeitstag so vieles zu tun und kennenzulernen, da nimmt man sich nicht unbedingt die nötige Zeit, um ein starkes und einzigartiges Passwort zu vergeben – das hat schließlich Zeit bis zur nächsten erzwungenen Änderung. Das sollten sie aber, denn Internetkriminelle finden und nutzen jede Sicherheitslücke, ab dem ersten Arbeitstag an.

Ein Beispiel von vielen: Bei einem Angriff auf das New York City Law Department nutzte eine unbekannte Gruppe von Hackern eine Schwachstelle in der Pulse Secure VPN-Software der Behörde aus, deren Standardpasswort „123456“ lautete und nie geändert wurde.

Specops First Day Password ermöglicht es neuen Benutzern, ihr Passwort festzulegen und sich bei ihrem Active Directory-Konto anzumelden, ohne ein zuvor festgelegtes Startpasswort zu verwenden, das auf unsichere Weise oder mündlich weitergegeben werden muss.(Bild: Specops Software)
Specops First Day Password ermöglicht es neuen Benutzern, ihr Passwort festzulegen und sich bei ihrem Active Directory-Konto anzumelden, ohne ein zuvor festgelegtes Startpasswort zu verwenden, das auf unsichere Weise oder mündlich weitergegeben werden muss.
(Bild: Specops Software)

Sicheres Onboarding, sichere Passwörter

Doch die Sicherheitslücken bei den Onboarding-Prozessen lassen sich vermeiden. Mit Specops First Day Password entfällt die oftmals riskante Übergabe eines Initialpasswortes an Ihre neuen Active Directory-Benutzer, da die Nutzerinnen und Nutzer die Möglichkeit bekommen, ihr initiales Passwort zurückzusetzen, ohne dieses jemals selbst kennen zu müssen. Mit First Day Password kann Ihre IT-Abteilung einfach ein zufälliges Passwort in Active Directory für den Benutzer vergeben, muss dies aber nicht mehr weitergeben. Stattdessen verifizieren sich die neuen Beschäftigten über einen vorher festgelegten ID-Service und vergeben dann ihr eigenes Kennwort.

Die Bestätigung der Identität des Nutzers kann mit einer Reihe von Faktoren, die bereits beim Bewerbungsprozess erhoben wurden, durchgeführt werden. So hält sich auch der Aufwand für die Admins im Rahmen. (Bild: Specops Software)
Die Bestätigung der Identität des Nutzers kann mit einer Reihe von Faktoren, die bereits beim Bewerbungsprozess erhoben wurden, durchgeführt werden. So hält sich auch der Aufwand für die Admins im Rahmen.
(Bild: Specops Software)

Aus der Sicht der neuen Beschäftigten ist der Prozess denkbar einfach und kann leicht in den ersten, gut gefüllten Arbeitstag integriert werden. Als neue Mitarbeiterin oder neuer Mitarbeiter setzt man das Startpasswort einfach über einen Anmeldelink zurück, der per SMS, E-Mail oder als Link „Mein Passwort zurücksetzen“ auf dem Gerät, das mit der Domain verbunden ist, kommt.

Dabei wird auch die Identität der neuen Beschäftigten überprüft. Mittels Zwei-Faktor-Authentifizierung können diese ihre Identität per beispielsweise per E-Mail oder SMS verifizieren. Danach werden die neuen Nutzer und Nutzerinnen zur Vergabe des Passworts weitergeleitet, bei der die zutreffenden Kennwortrichtlinien als dynamisches Feedback dargestellt werden. So erhalten sie in Echtzeit Feedback, wie sie die Vorgaben Ihrer Organisation einhalten können.

Dynamisches Feedback fördert starke Passwörter, indem die geltenden Kennwortrichtlinien transparent dargestellt werden.(Bild: Specops Software)
Dynamisches Feedback fördert starke Passwörter, indem die geltenden Kennwortrichtlinien transparent dargestellt werden.
(Bild: Specops Software)

Es zeigt sich: Startpasswörter müssen und dürfen nicht trivial gewählt werden. Eine unsichere Übergabe der Initialpasswörter kann vermieden und der umgehende Passwortwechsel sichergestellt werden. Die Sicherheitslücke „Startpasswort“ bei dem Start in die neue Stelle ist dann Geschichte.

Weitere Informationen:

Wollen auch Sie die Lücken im Onboarding neuer Beschäftigten schließen und für Passwortsicherheit von Anfang an sorgen? Lernen Sie die Möglichkeiten von Specops uReset kennen, zu denen auch Specops First Day Password zur geschützten Vergabe von Startpasswörtern und der sichere Passwortwechsel gehören. Mit Specops Password Policy und Breached Password Protection können Sie dabei längere Passwörter mit einem längenbasierten Ablaufdatum fördern und von Anfang an die Verwendung von über vier Milliarden kompromittierten Passwörtern blockieren. Erfahren Sie mehr über Specops Password Policy!

(ID:50077757)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte