123456, password, 12345678, qwerty, abc123 – so lauten die Top5 der dämlichsten Passwörter 2013 nach Splashdata. Leider ist das Ganze nur halb so witzig, wie es klingt. Viel zu oft wählen Unternehmen aber auch Agenturen sehr einfache Passwörter, die sich problemlos in diese Liste einreihen können. Ein zu einfaches Passwort stellt ein Risiko für den Missbrauch dar.
Dazu kommt auch die Beziehung zwischen PR-Agentur und Kunde ins Spiel. Denn eine PR-Agentur steigt sehr tief in die Informationen und Daten eines Unternehmens ein. Um effektiv die verschiedenen Plattformen zu nutzen, benötigen die Berater verschiedene Zugangsdaten. Zwar lassen sich viele Plattformen, zum Beispiel Blogs, Facebook, Google+ oder Youtube durch Administratoren mit privaten Profilen verwalten. Bei der Einrichtung benötigt der Berater aber oft die Zugangsdaten des Kunden. Daneben gibt es weitere Plattformen, bei denen es nur einen Zugang gibt, beispielsweise Twitter, Email-Account, Slideshare oder Xing.
Eine PR-Agentur hat daher eine besondere datenschützende Verantwortung.
Fehler im Passwortschutz
Neben den besonders dämlichen Passwörtern sind es insbesondere zwei Fehler, die mir in meiner Arbeit häufig auffallen:
Ein Klassiker ist die ungeschützte Excel-Listen mit Passwörtern in einem offenen Ordner im Netzwerk. Aber auch Word-Dokumente werden gerne genutzt. Kunden und Agenturen tragen den Nutzernamen und das Passwort zusammen in diesen Dokumenten ein. Die Datei trägt dann meist noch einen Namen wie „Passwörter [Unternehmen XYZ]“. Der eingeredete Vorteil ist, dass das Dokument schnell geöffnet und kopiert werden kann. Allerdings gilt das natürlich auch für den Missbrauch. So gesehen ist ein Excel- oder Word-Dokumente wohl der schlechteste Platz für Passwörter.
Ein zweiter viel gemachter Fehler ist der Passwort-Versand per Email. Dabei werden Nutzername und Passwort gemeinsam in einer Email an den Kunden oder die Agentur geschickt. Das ist natürlich nicht risikolos. Emails sind in der Regel leicht mitzulesen. Gerade bei größeren Unternehmen besteht hier ein einfaches Einfallstor zur Wirtschaftsspionage. Allerdings steht auch hier die vordergründige Bequemlichkeit im Fokus.
Sicherheit für Passwörter
Aus meiner Sicht muss die Passwortsicherheit größer geschrieben werden. Wo ich gerne zu mehr Offenheit insbesondere im Bereich der Social Media rate, ist der saloppe Umgang mit Passwörtern eine unmittelbare Gefahr für Unternehmen.
Drei Aspekte sollten in jedem Fall beachtet werden. Die Komplexität eines Passwortes, seine sichere Verwahrung und die Übergabe.
1. Passwort komplex
Grundsätzlich gilt, dass Passwörter mindestens 12 Zeichen und Ziffern enthalten sollten. Dabei sollten keine Zahlenfolgen oder Namen verwendet werden. Am einfachsten ist es, sich einen Satz zu merken. Die Anfangsbuchstaben und Ziffern in diesem Satz bilden dann das Passwort. Dadurch entsteht ein nahezu unentschlüsselbares Passwort. Ein Beispiel:
Der Satz: „Fußball ist unser Leben seit 1976 und bis heute!“
lautet abgekürzt: „FiuLs1976ubh!“
Diese Kombination ist leicht zu merken und kaum zu entschlüsseln.
2. Passwortspeicherung
Zur Speicherung der Daten rate ich zur Nutzung eines Passwortsafes. Ich nutze für mich und meine Kunden das Programm Keepass. Dort lassen sich die Zugangsdaten zu unterschiedlichen Portalen und für meine unterschiedlichen Kunden sicher und geordnet speichern. Keepass ist durch ein Master-Passwort geschützt, das dann natürlich auch viel komplexer sein kann. Aus dem geöffneten Programm heraus lassen sich dann Nutzername und Passwort in die jeweiligen Felder im Browser kopieren. Die Kopien werden nur wenige Sekunden in der Zwischenablage gespeichert. So kann das Passwort in der Zwischenablage nicht versehentlich sichtbar kopiert werden.
KeePass Password Safe – Screenshot
3. Passwortübergabe
Anstatt Benutzernamen und Passwort in einer Email zu übermitteln, sollten beide Bestandteile getrennt übermittelt werden. In der Regel übersende ich den Benutzer-Namen per Email und gebe dann das dazugehörige Passwort telefonisch durch. Gelegentlich nutze ich auch SMS zur Übermittlung eines Passwortes. Das ist zwar noch nicht der Sicherheit letzter Schluss, aber zumindest ein Weg in die richtige Richtung.
Weiterführende Tipps zu Informationssicherheit hat der Chief Security Officer der PTSGroup aus Bremen zusammengestellt. Steffen Zechmeister rät darüberhinaus zur Einrichtung der PGP-Verschlüsselung bei Emails. Der Aufwand hält sich dabei in der Waage, der Mehrwert bei der Informationssicherheit steigt enorm.
Welche Erfahrung haben Sie mit dem Datenschutz zwischen Dienstleister und Kunden? Ich freue mich über Ihren Kommentar.
Für weitere Informationen zu Public Relations, Marketing und Unternehmenskommunikation steht Ihnen Scheidtweiler PR, Agentur aus Bremen, gerne zur Verfügung. Wir unterstützen Sie darin, neue Kanäle wie Social Media (Facebook, Twitter und Co.) und Mobile Marketing mit der klassischen Presse- und Öffentlichkeitsarbeit strategisch zu verknüpfen. Dies hilft Ihrem Unternehmen effizient und kostensparend zu kommunizieren.
Mehr Informationen über den Agentur-Inhaber Nicolas Scheidtweiler erhalten Sie auf seinem Google+-Profil.