Weltweite Umfrage belegt mangelnde Passwortsicherheit in Unternehmen

SafeNet veröffentlicht seine zweite weltweite Passwortumfrage. Die Ergebnisse von 2004 zeigen, dass Mitarbeiter nach wie vor unzureichend mit dem Passwortschutz umgehen – im Vergleich zu den Ergebnissen von 2003 gibt es kaum Verbesserungen. SafeNet hat die E-Mail-Umfrage im Dezember 2004 mit den gleichen Personen wie 2003 durchgeführt. Rund 2.700 Angestellte aus den USA, Deutschland, Frankreich und Großbritannien nahmen an der Studie teil.

„Diese Umfrage bestätigt, was wir von unseren Kunden hören. Sie sind um die Informationssicherheit besorgt, denn Passwörter sind etwa genauso sicher, als würde man den Haustürschlüssel unter der Fußmatte verstecken. Darum ist die Nachfrage nach unseren USB-Tokens, Smartcards und weiteren Authentifizierungsprodukten ungebrochen stark“, sagt Tony Caputo, Vorstandsvorsitzender und CEO von SafeNet, zu den Ergebnissen.

„Egal ob Mitarbeiter ihre Passwörter aufschreiben oder den internen Helpdesk anrufen, weil sie sich diese Passwörter nicht merken können: Die Unternehmen gehen mit Passwörtern immer ein Risiko ein und die Produktivität wird beeinträchtigt. Dabei bietet die heutige Technologie bezahlbare und passende Lösungen für jede Situation.”

Ergebnisse im Überblick:

  • Fünfzig Prozent aller Mitarbeiter schreiben ihr Passwort auf
  • Über ein Drittel der Befragten tauschen Passwörter untereinander aus
  • Über 80 Prozent haben drei Passwörter oder mehr
  • Die Befragten nutzen ihre Passwörter für den Zugriff auf eine zunehmende Anzahl von Applikationen: 67 Prozent greifen auf 5 oder mehr und weitere 31 Prozent greifen auf 9 oder mehr zu
  • Bei 47 Prozent müssen die Passwörter mindestens einmal im Jahr zurück gesetzt werden

Analyse der Ergebnisse von 2004 im Vergleich zu 2003

Sicherheitsrichtlinien der Unternehmen

Von allen befragten Unternehmen haben 68 Prozent ihre Sicherheitsrichtlinien überarbeitet, indem sie entweder längere oder komplexere Passwörter verlangen als vor einem Jahr. Die Zahl der Unternehmen, die Passwort-Änderungen siebenmal oder öfter im Jahr verlangen, ist um drei Prozent von 27 auf 30 Prozent gestiegen. Die Ergebnisse deuten daraufhin, dass ein Großteil der Unternehmen sensibler auf die Sicherheitsproblematik der Passwörter reagiert.

Die Umfrage zeigt einen wachsenden Trend hin zu komplexen Passwörtern mit mehr Zeichen oder Passwörtern, die alphanumerische Kombinationen enthalten. Die Anzahl der Mitarbeiter, die Passwörter mit sechs oder mehr Zeichen erstellen müssen, ging um vier Prozent zurück, wohingegen die Anzahl derer, die acht Zeichen oder mehr benötigen, von 19 auf 22 Prozent angestiegen ist. Alphanumerische Passwörter verlangen inzwischen 29 Prozent der Unternehmen – vor einem Jahr waren es noch 27 Prozent.

Passwortverhalten der Mitarbeiter

47 Prozent der Befragten müssen sich zwischen fünf und zehn Passwörter für den Zugriff auf Business-Anwendungen merken. Damit nimmt die Wahrscheinlichkeit sehr stark zu, dass Mitarbeiter diese Passwörter entweder aufschreiben oder vergessen. Auf Basis dieser Ergebnisse kann ein Mitarbeiter im schlimmsten Fall zehn Passwörter mit acht oder mehr Zeichen besitzen, die er mindestens siebenmal im Jahr ändern muss. Laut Roberta Witty, Vice President of Research bei Gartner, hat der durchschnittliche User 15 Kennungen und Passwörter, die alle zu unterschiedlichen Zeiten ablaufen.

Fragt man einen Benutzer gezielt, ob er Passwörter schon einmal ausgetauscht hat, zeigt sich ein Wandel: Sechs Prozent mehr Benutzer und damit insgesamt 65 Prozent behaupten, dass sie niemals Passwörter ausgetauscht haben. 35 Prozent – rund sechs Prozent weniger als zuvor – gaben an, dass sie Passwörter mindestens einmal ausgetauscht haben. Außerdem stieg die Anzahl derjenigen Befragten, die ihr Passwort aus Gründen der Komplexität immer aufschreiben, von acht auf zehn Prozent.

Neun Prozent aller Befragten bestätigten, dass ihr Passwort schon drei- bis viermal zurückgesetzt wurde, weil sie es vergessen hatten. Bei drei Prozent was das sogar schon fünf- bis sechsmal der Fall. 2003 sagten 56 Prozent der Befragten aus, dass ihr Passwort niemals zurückgesetzt worden ist – ein Jahr später war diese Zahl gerade einmal drei Prozent niedriger.

Die Auswirkung dieser Ergebnisse auf die Informationssicherheit

Aus der Umfrage geht deutlich hervor, dass viele Organisationen noch mit ernst zu nehmenden Sicherheitsproblemen kämpfen. Auf Basis der vorliegenden Statistik würden in einem Unternehmen mit 1000 Mitarbeitern die Hälfte, also 500 Angestellte, ihr Passwort aufschreiben und 350 ihre Passwörter austauschen. Siebenundvierzig Prozent, das sind 470 Mitarbeiter, müssten ihr Passwort mindestens einmal im Jahr zurücksetzen lassen. Da die Kosten für das Zurücksetzen eines Passworts auf 30 bis 50 US-Dollar pro Fall geschätzt werden, gibt das Unternehmen dafür alleine mindestens 15.000 US-Dollar aus.

Details

Eine Kopie der vollständigen Ergebnisse dieser Studie sind unter folgendem Link zu finden: Safenet