Passwörter überfordern Anwender

Studie: Zu viele Passwörter überfordern den Anwender und sind somit ein Sicherheitsrisiko
Ein Viertel der Befragten berichtet über passwortbedingte Sicherheitslücken

(04.10.06) - RSA Security gibt die Ergebnisse ihrer zweiten jährlichen Erhebung zum Thema Passwörter bekannt. Darin werden Unternehmen zu Aspekten des Passwortmanagements befragt. Die weltweite Studie, an der mehr als 1.300 Branchenfachleute teilnahmen, bestätigt, dass der Umgang mit einer großen Zahl von Passwörtern zu erheblichen Sicherheitsrisiken führt und die Endanwender zu Verhalten animiert, das nicht nur eine Gefahr für Compliance-Initiativen darstellt, sondern auch Sicherheitslücken zur Folge hat.

"Während Unternehmen sehr viel Zeit und Geld in den Schutz sensibler Informationen investieren, sind Passwörter nach wie vor eines der schwächsten Glieder der Schutzmaßnahmen“, erläutert John Worrall, Senior Vice President of Marketing bei RSA Security, und führt dies zu einem großen Teil auf die enorme Zahl der Passwörter zurück, die sich ein Endanwender merken muss. "Hieran", sagt Worrall weiter, "hat sich seit 2005 kaum etwas geändert. Nach wie vor werden die Benutzer mit einer überwältigenden Zahl von Passwörtern konfrontiert und dadurch zu einem Verhalten gezwungen, das zu Sicherheitslücken und potenziellen Compliance-Problemen führt."

Passwörter beeinflussen Compliance-Initiativen und öffnen Sicherheitslücken
Im Rahmen der von RSA Security durchgeführten Erhebung wurden Personen befragt, deren Tätigkeit mit dem Passwort-Management in Unternehmen und einer Reihe von Aspekten im Zusammenhang mit der Compliance und der allgemeinen IT-Sicherheit stehen. 57 Prozent gaben an, dass der Wunsch ihrer Unternehmen, die Frustrationen seitens der Endanwender zu vermeiden, diese davon abhält, häufige Änderungen der Passwörter zu verlangen und/oder strenge Passwort-Konventionen durchzusetzen.

Weitere Ergebnisse der Umfrage:

> Passwörter im Zeitalter der Compliance: Die meisten befragten Unternehmen betrachten das Passwort-Management als Grundlage für die Compliance. 59 Prozent hielten das Passwort-Management in diesem Zusammenhang sogar für "extrem wichtig". In den USA antworteten 66 Prozent der Befragten mit "extrem wichtig", in Europa 48 Prozent.

> Passwörter und IT-Sicherheit: Wie die Studie von RSA Security ergab, hegen Organisationen große Bedenken bezüglich der Auswirkungen von Passwörtern auf ihre IT-Sicherheit. 41 Prozent bezeichneten Passwörter als "extrem problematisch", 44 Prozent als "mäßig problematisch".

> Passwörter und IT-Sicherheitslücken: 26 Prozent der Umfrageteilnehmer wussten von einem Fall, in dem ein offengelegtes Passwort die Sicherheit eines Unternehmens beeinträchtigte. Nach Regionen aufgeschlüsselt, war dieser Anteil mit 35 Prozent in der asiatisch-pazifischen Region am höchsten, während er in den USA (14 Prozent) am niedrigsten war.

Einige Beispiele für passwortbedingte Sicherheitslücken:
* Ex-Mitarbeiter loggen sich mit Hilfe ihres Passworts in Firmencomputer ein.
* Entlassene Mitarbeiter erraten das Passwort ihres früheren Chefs, um von außen auf den Firmenrechner zuzugreifen.
* Mitarbeiter manipulieren Informationen in den Personalakten ihrer Kollegen.

Passwortflut erzeugt Frustration und führt zu Sicherheitslücken
Der Studie von RSA Security ist klar zu entnehmen, dass die Endanwender von der Vielzahl der Passwörter, die für den Zugriff auf Applikationsprogramme, Websites und Portale eingegeben werden müssen, schier erschlagen werden. Als Konsequenz hieraus neigen die Benutzer zu riskantem Verhalten.

> Missverhältnis zwischen benötigten und merkbaren Passwörtern: 18 Prozent der Befragten müssen mit mehr als 15 Passwörtern umgehen, doch nur 5 Prozent können sich so viele Passwörter ohne Probleme merken. 36 Prozent haben mit 6 bis 15 Passwörtern zu tun. Die Antworten ähneln jenen aus dem Jahr 2005, als 35 Prozent eine Zahl zwischen 6 und 15 Passwörtern nannten, während 23 Prozent mit mehr als 15 Passwörtern umzugehen hatten.

> Passwort-Management erzeugt ständige Frustration: Die Mehrheit der Umfrageteilnehmer (82 Prozent) gab an, vom Passwortmanagement bei der Arbeit frustriert zu sein. Weltweit äußerten sich 12 Prozent ‚extrem frustriert’ – in den USA gaben 15 Prozent diese Antwort, in Europa allerdings nur 9 Prozent. Im vergangenen Jahr hatten 88 Prozent eine mehr oder weniger starke Frustration geäußert.

Passwort-Konventionen und das Verhalten der Endanwender
Eine erhebliche Schwankungsbreite legt die Studie von RSA Security hinsichtlich der Passwort-Konventionen und des Verhaltens der Endanwender offen:

> Forderung nach Passwortänderung: 39 Prozent der Befragten in der asiatisch-pazifischen Region und 34 Prozent in Europa müssen ihr Passwort einmal im Monat ändern, während nur 23 Prozent in den USA zu einer so häufigen Passwortänderung gezwungen sind.

> Strenge Passwort-Konventionen: Den Antworten der Teilnehmer ist zu entnehmen, dass die meisten Organisationen strenge Passwort-Konventionen vorgeben. So äußerten 70 Prozent, ihr Unternehmen verlange Passwörter mit 8 bis 14 Zeichen und einer Kombination aus Buchstaben, Zahlen und Symbolen. Allerdings hieß es von 17 Prozent, in ihrem Unternehmen gebe es keine Passwortvorschriften. 48 Prozent der Befragten gaben an, ihr Unternehmen untersage die Wiederverwendung älterer Passwörter.

> Unsichere Passwort-Merkhilfen: Die meisten im Passwort-Management von Unternehmen tätigen Befragten hatten Kenntnis von Mitarbeitern, die unsichere Passwort-Merkhilfen verwenden:

* 66 Prozent hatten gesehen, wie Mitarbeiter die Passwörter bei der Arbeit schriftlich notierten, was allerdings nur von 13 Prozent (im Vorjahr 15 Prozent) der betreffenden Personen zugegeben wurde.
* 58 Prozent wussten von Beschäftigten, die Passwörter in elektronischer Form (z. B. in Spreadsheets) hinterlegten, während nur 24 Prozent der Endanwender angaben, sie selbst würden derartige elektronische Aufzeichnungen nutzen.
* 50 Prozent der Befragten wussten von Mitarbeitern, die Passwörter in PDAs oder Handheld-Geräten notierten.
* 40 Prozent hatten bemerkt, dass Firmenangehörige Passwörter auf Haftnotizen oder anderen Zetteln an ihrem Computer befestigten.

Konsequenzen von Passwörtern für IT-Helpdesks
Wie die Studie von RSA Security ferner aufdeckte, sorgt der mit Passwörtern zusammenhängende Support für ein erhebliches Arbeitsaufkommen bei den IT-Helpdesks. Ein Fünftel der Befragten gab an, dass Passwort-Probleme zwischen 26 und 50 Prozent der Helpdesk-Anfragen ausmachen; bei einem Drittel werden zwischen 11 und 25 Prozent der Anrufe auf Passwort-Fragen zurückgeführt. Generell ist der Prozentsatz der mit Passwörtern zusammenhängenden Helpdesk-Anrufe bei großen Unternehmen höher als bei kleineren Organisationen.

Wege zu einem einfacheren Passwort-Management
Im Rahmen der Studie stellte RSA Security auch die Frage, ob ein Master-Passwort, das als eine Art Generalschlüssel alle übrigen Passwörter am Arbeitsplatz ersetzt, als hilfreich angesehen wird. 56 Prozent der Befragten bezeichneten eine solche Lösung als "extrem hilfreich". Allerdings hielt die überwiegende Mehrheit (81 Prozent) es auch für ‚extrem wichtig", ein solches Master-Passwort mit einer zusätzlichen Sicherheitsebene zu versehen. Dies bedeutet eine erhebliche Zunahme gegenüber 2005, als nur 55 Prozent angaben, eine zusätzliche Sicherheitsebene sei ‚extrem wichtig’.

Die Durchführung der Studie
Die Studie von RSA Security zum Thema Passwort-Management wurde vom 21. bis 25. August 2006 online durchgeführt. Befragt wurden 1.343 Personen aus Nordamerika, Europa, Lateinamerika und der asiatisch-pazifischen Region. (RSA Security: ra)