Arbeitsrecht Unsicheres Passwort: Wann Beschäftigten eine Abmahnung droht
Unsichere Passwörter sind eines der Haupteinfallstore für Hacker.
Düsseldorf Folgenschwerer hätte die Cyberattacke kaum sein können: Mitte Dezember musste der MDax-Konzern Symrise seine komplette Produktion stilllegen, weil Hacker ein Virus in das Unternehmensnetzwerk eingeschleust hatten. Per WhatsApp bekamen die Beschäftigten die Auskunft, dass Unbekannte das Unternehmen mit dem Angriff erpressen wollen.
Der Fall des Aromaherstellers zeigt, wie stark Unternehmen unter Cyberkriminalität leiden. Sie sind ein beliebtes Angriffsziel von Kriminellen, weil sie mit wenig Aufwand an sensible Informationen der Betriebe kommen. Der Grund: Die Beschäftigten wählen oftmals ein zu schwaches Passwort.
Sichere Kennwörter sind vor allem im Corona-Jahr 2020 wichtiger denn je. Viele Angestellte greifen derzeit aus dem Homeoffice auf die Firmennetzwerke zu, und das erleichtert Hackern den Zugriff. Besonders heikel ist die Situation, wenn Mitarbeiter mit ihren Privatgeräten arbeiten, weil diese in der Regel nicht so gut gesichert sind wie betriebliche PCs.
Und so ist es kein Zufall, dass es gerade in der Coronakrise vermehrt zu Angriffen kommt. Für die Unternehmen hat das immense Folgen: 3,8 Millionen Euro kostet Firmen im Schnitt eine Datenpanne, zeigen Zahlen von IBM.
Die Beschäftigten können helfen, den Schaden für ihren Betrieb zu begrenzen – indem sie sichere Passwörter nutzen und sie regelmäßig ändern. Doch Auswertungen des Hasso-Plattner-Instituts (HPI) zeigen, dass viele Angestellte zu lax mit ihren Kennungen umgehen. Das beliebteste Passwort der Deutschen war in diesem Jahr die simple Zahlenreihe „123456“, gefolgt von „123456789“. Damit würden die Daten eines Unternehmens nicht wirksam geschützt, sagt HPI-Direktor Christoph Meinel.
Top 10 Passwörter in Deutschland 2020:
| Platz 1 | 123456 |
| Platz 2 | 123456789 |
| Platz 3 | passwort |
| Platz 4 | hallo123 |
| Platz 5 | 12345678 |
| Platz 6 | ichliebedich |
| Platz 7 | 1234567 |
| Platz 8 | 1234567890 |
| Platz 9 | lol123 |
| Platz 10 | 12345 |
Wer solche oder ähnlich simple Kennungen auf seinem Firmen-Computer verwendet, hilft nicht nur Hackern, sondern riskiert sogar die eigene Abmahnung. Im Gesetz ist zwar nicht konkret festgelegt, dass der Angestellte ein Kennwort einrichten muss und dort wird auch nicht definiert, wie sicher es sein muss.
Grundsätzlich gilt aber, dass Mitarbeiter die Interessen ihres Arbeitgebers nicht schädigen dürfen, sagt Jurist Sebastian Schröder, Inhaber der Kanzlei Emplaw in Viersen. Wenn Arbeitgeber passwortgeschützte IT zur Verfügung stellen, verstehe es sich deshalb von selbst, dass Angestellte auch sichere Passwörter nutzen müssten.
Viele Betriebe regeln etwa in Sicherheitshandbüchern, welche Kriterien die Kennwörter erfüllen müssen und wie oft Angestellte sie wechseln müssen.
Gerade wenn Firmen ihre Mitarbeiter in Cyberfragen geschult oder IT-Sicherheitshandbücher verteilt haben, ist es legitim, dass der Chef seine Angestellten abmahnen oder sogar kündigen darf, wenn diese für den Datendiebstahl wegen laxer Passwörter mitverantwortlich gemacht werden können.
Chef darf auch das Passwort der Mitarbeiter zurücksetzen lassen
Der Arbeitgeber darf in Ausnahmefällen selbst das Passwort des Mitarbeiters zurücksetzen lassen, wenn ein relevantes Dokument auf seinem Rechner gespeichert ist und er etwa durch Krankheit länger ausfällt – zumindest dann, wenn es keine andere Möglichkeit gibt, an die Daten heranzukommen.
„Das Unternehmen hat die Hoheit über den Dienstrechner und die darauf gespeicherten Daten, sofern mit dem Mitarbeiter vereinbart worden ist, dass der PC nur dienstlich genutzt wird“, sagt Arbeitsrechtler Schröder. Falls der Computer auch für private Zwecke verwendet werde, könne der Vorgesetzte aber nicht so einfach darauf zugreifen.
Mit diesen vier Tipps schützen sich Beschäftigte vor Cyberangriffen
Was in jedem Fall gilt: Einen hundertprozentigen Schutz vor Cyberkriminellen gibt es nicht. Doch wer die folgenden vier Tipps beherzigt, erschwert die Attacken – und schützt sich vor Abmahnungen.
Tipp 1: Komplexe Passwörter nutzen
Wichtigster Hinweis: Komplexe Passwörter nutzen. Je länger das Kennwort, desto besser. Das HPI rät zu Passwörtern, die mindestens 15 Zeichen lang sein sollen. Eine gute Kennung sollte Sonderzeichen, Groß- und Kleinbuchstaben enthalten und nicht in Wörterbüchern stehen.
Tipp 2: Passwort-Manager: Ein Zugang für alle Kennungen
Zudem sollte es einzigartig sein. Jeder dritte Internetnutzer nutzt für mehrere Onlinedienste dasselbe Passwort, zeigt eine Umfrage des Digitalverbands Bitkom. „Wenn dieses Passwort einmal in falsche Hände gerät, ist die gesamte digitale Identität eines Nutzers gefährdet“, sagt Nabil Alsabah, IT-Experte des Verbands.
So viele Passwörter kann sich allerdings kaum jemand merken. Passwort-Manager schaffen da Abhilfe. In einem Programm verwalten sie alle Zugänge und synchronisieren die Kennungen über verschiedene Geräte. Nutzer müssen sich nur ein zentrales Masterkennwort merken, mit dem sie dann auf sämtliche Log-In-Daten zugreifen können. Diese sind in einer verschlüsselten Datei hinterlegt.
Empfehlungen der Stiftung Warentest: „Keeper Security“ (circa 30 Euro Jahresgebühr), „1Password“ (circa 40 Euro Jahresgebühr), „KeePass“ (kostenlos) oder „Dashlane“ (40 Euro Jahresgebühr).
Tipp 3: Zwei-Faktor-Authentifizierung
Immer mehr Dienste bieten eine Zwei-Faktor-Authentifizierung an. Dazu muss der Nutzer nicht nur sein Passwort eingeben, sondern bekommt gleichzeitig einen Code auf ein zweites Gerät geschickt – beispielsweise per SMS aufs Handy. Das erhöht die Sicherheit, weil mögliche Hacker so Zugriff auf beide Faktoren benötigen und es nicht reicht, das Passwort zu kennen.
Tipp 4: Abmelden nicht vergessen
Der Tipp mag trivial klingen: Sich abmelden. Doch viele Mitarbeiter vergessen während der Mittagspause den Computer zu sperren. Gerade in Coworking-Spaces macht das es Datendieben besonders leicht – sie brauchen dann nicht einmal das Passwort.
Das Kommentieren dieses Artikels wurde deaktiviert.