Bericht zum Stand der Passwortsicherheit 2025

Die wichtigsten Erkenntnisse aus diesem Artikel:

• Technische Exzellenz des NIST: NIST bietet fundierte technische Leitlinien zur Unterstützung von Passwort-Managern wie Bitwarden, stellt sie jedoch nicht benutzerfreundlich dar.

• Vorreiterrolle der CISA in der Kommunikation: CISA erreicht den Status „Ausgezeichnet“, indem sie Passwort-Manager klar empfiehlt und zugängliche Sicherheitsressourcen erstellt.

• Uneinheitliche Einführung: Bundesbehörden unterscheiden sich erheblich bei Leitlinien zur Passwortsicherheit und Empfehlungen für Passwort-Manager.

• Positive Verbesserungstrends: Die Vierjahresanalyse zeigt, dass Behörden ihre Empfehlungen zur Passwortsicherheit verbessern, um sie an von Bitwarden unterstützte Praktiken anzupassen.

• Wachsender Konsens: Bundesbehörden erkennen zunehmend, dass Lösungen wie Bitwarden eine unverzichtbare Sicherheitsinfrastruktur bereitstellen.

In den vergangenen Jahren lag in der US-Bundesregierung ein starker Fokus auf Cybersicherheit. Viele Behörden übernehmen eine führende Rolle bei der Aufklärung von Regierungsorganisationen, großen und kleinen Unternehmen sowie Verbrauchern.

Bei der Passwortsicherheit verfolgen jedoch nicht alle Behörden dieselbe Linie. Eine der führenden Institutionen, das National Institute of Standards and Technology (NIST), „entwickelt Cybersicherheitsstandards, Leitlinien, Best Practices und weitere Ressourcen, um den Anforderungen der US-Industrie, der Bundesbehörden und der breiteren Öffentlichkeit gerecht zu werden.“

Auf der NIST-Seite zur Cybersicherheit heißt es weiter, dass „einige Cybersicherheitsaufgaben des NIST durch Bundesgesetze, Executive Orders und Richtlinien definiert sind. Beispielsweise schreibt das Office of Management and Budget (OMB) vor, dass alle Bundesbehörden die Cybersicherheitsstandards und -leitlinien des NIST für Systeme außerhalb der nationalen Sicherheit umsetzen.“

Leider wurden die Empfehlungen des NIST noch nicht von allen Bundesbehörden allgemein akzeptiert und umgesetzt. Während NIST die Standards festlegt, denen die Behörden erklärtermaßen folgen, hat es auch eine eigene Schwäche: eine unübersichtliche Website.

2025 ist das vierte Jahr, in dem Bitwarden diese Analyse durchgeführt hat. In diesem Jahr hat sich die NSA durch die zusätzliche Empfehlung von Passwort-Managern von der Bewertung „Gut“ auf „Sehr gut“ verbessert. Die Bewertung der CISA ist von „Sehr gut“ auf „Ausgezeichnet“ gestiegen, da ihre Informationen leichter zugänglich und verständlicher gemacht wurden. Die NIST-Website ist weiterhin unübersichtlich, auch wenn ihre Inhalte fachlich sehr fundiert sind. Im Laufe der Jahre haben sich viele Behörden bei ihren Empfehlungen zur Passwortsicherheit und ihrem allgemeinen Cybersicherheitsniveau in eine bessere Richtung entwickelt, darunter CISA, FBI, FTC und SBA.

Technologie entwickelt sich schnell. Für Unternehmen und Privatpersonen spielt sich heute ein großer Teil des Lebens online ab – in unzähligen Konten, von unterhaltsamen Freizeit-Websites bis hin zu wichtigen Finanzdienstleistern wie unseren Bankkonten.

Diese Bewertung soll alle, die Passwörter verwenden, über die Best Practices der Bundesregierung informieren und aufzeigen, wo Verbesserungsbedarf besteht. Viele Stellen innerhalb der Bundesregierung verfolgen einen soliden Bildungsansatz zur Passwortsicherheit, andere könnten etwas Unterstützung bei der Modernisierung gebrauchen. 

Glücklicherweise entsteht ein Konsens über Best Practices für Passwortsicherheit. Dieser Bericht bündelt und bewertet die Details.

Das Bewertungssystem stuft Behörden anhand der folgenden Kriterien ein:

• Empfiehlt die Verwendung eines Passwort-Managers

• Hebt die Bedeutung starker Passwörter hervor

• Verweist auf die Notwendigkeit von 2FA/MFA zur weiteren Unterstützung der Passwortsicherheit

• Die allgemeinen Sicherheitsempfehlungen sind aktuell und entsprechen den NIST-Leitlinien

• Stellt Empfehlungen zur Passwortsicherheit klar, verständlich und leicht auffindbar dar

• Empfiehlt die Verwendung eines Passwort-Managers

• Hebt die Bedeutung starker Passwörter hervor 

• Verweist auf die Notwendigkeit von 2FA/MFA zur weiteren Unterstützung der Passwortsicherheit

• Die allgemeine Sicherheitsempfehlung ist aktuell und entspricht den NIST-Richtlinien

• Stellt Empfehlungen zur Passwortsicherheit nicht klar, verständlich und leicht auffindbar dar

• Empfiehlt die Verwendung eines Passwort-Managers nicht

• Hebt die Bedeutung starker Passwörter hervor

• Nennt die Notwendigkeit von 2FA/MFA, um die Passwortsicherheit zusätzlich zu unterstützen

• Die allgemeine Sicherheitsempfehlung ist nicht aktuell und entspricht nicht den NIST-Richtlinien

• Stellt Empfehlungen zur Passwortsicherheit nicht klar, verständlich und leicht auffindbar dar

• Empfiehlt die Verwendung eines Passwort-Managers nicht

• Hebt die Bedeutung starker Passwörter hervor

• Nennt die Notwendigkeit von 2FA/MFA zur zusätzlichen Unterstützung der Passwortsicherheit nicht durchgängig

• Die allgemeine Sicherheitsempfehlung ist nicht aktuell und entspricht nicht den NIST-Richtlinien

• Stellt Empfehlungen zur Passwortsicherheit nicht klar, verständlich und leicht auffindbar dar

• Empfiehlt die Verwendung eines Passwort-Managers nicht

• Hebt die Bedeutung starker Passwörter nicht hervor

• Nennt die Notwendigkeit von 2FA/MFA zur zusätzlichen Unterstützung der Passwortsicherheit nicht

• Die allgemeine Sicherheitsempfehlung ist nicht aktuell und entspricht nicht den NIST-Richtlinien

• Stellt Empfehlungen zur Passwortsicherheit nicht klar, verständlich und leicht auffindbar dar

Behördenempfehlung:

• Authentifikatorverwaltung | Passwort-Manager

  • Setzen Sie [Zuweisung: von der Organisation definierte Passwort-Manager] ein, um Passwörter zu generieren und zu verwalten; und

    • Schützen Sie die Passwörter mithilfe von [Zuweisung: von der Organisation definierte Kontrollen].

    • Bei Systemen, in denen statische Passwörter verwendet werden, ist es oft eine Herausforderung sicherzustellen, dass die Passwörter ausreichend komplex sind und dass dieselben Passwörter nicht auf mehreren Systemen verwendet werden. Ein Passwort-Manager ist eine Lösung für dieses Problem, da er automatisch starke und unterschiedliche Passwörter für verschiedene Konten generiert und speichert. Ein potenzielles Risiko bei der Verwendung von Passwort-Managern besteht darin, dass Angreifer die vom Passwort-Manager generierte Sammlung von Passwörtern ins Visier nehmen können. Daher erfordert die Sammlung von Passwörtern Schutz, einschließlich der Verschlüsselung der Passwörter und der Offline-Speicherung der Sammlung in einem Token.

• Referenz

Behördenempfehlung:

• Ein Passwort (manchmal als Passphrase oder, wenn numerisch, als PIN) bezeichnet) ist ein geheimer Wert, der vom Teilnehmer gewählt und entweder auswendig gelernt oder aufgezeichnet werden soll. Passwörter müssen ausreichend komplex und geheim sein, sodass es für einen Angreifer unpraktikabel wäre, den korrekten geheimen Wert zu erraten oder anderweitig zu ermitteln. Ein Passwort ist „etwas, das Sie wissen“.

• Die Anforderungen in diesem Abschnitt gelten für zentral verifizierte Passwörter, die als unabhängige Authentifizierungsfaktoren verwendet und über einen authentifizierten geschützten Kanal an den Verifizierer eines CSP gesendet werden. Passwörter, die lokal als Aktivierungsfaktor für einen Multifaktor-Authentifikator verwendet werden, werden als Aktivierungsgeheimnisse bezeichnet und in Abschn. 3.2.10 erläutert.

• Passwörter MÜSSEN entweder vom Teilnehmer gewählt oder vom CSP zufällig zugewiesen werden.

• Wenn der CSP ein gewähltes Passwort ablehnt, weil es auf einer Sperrliste häufig verwendeter, erwarteter oder kompromittierter Werte steht (siehe Abschn. 3.1.1.2), MUSS der Teilnehmer ein anderes Passwort wählen. Weitere Komplexitätsanforderungen an Passwörter DÜRFEN NICHT auferlegt werden. Eine Begründung dafür findet sich in Anhang A, Passwortstärke.

• Für Passwörter gelten die folgenden Anforderungen:

• Verifizierer und CSPs MÜSSEN verlangen, dass Passwörter mindestens acht Zeichen lang sind, und SOLLTEN verlangen, dass Passwörter mindestens 15 Zeichen lang sind.

• Verifizierer und CSPs SOLLTEN eine maximale Passwortlänge von mindestens 64 Zeichen zulassen.

• Verifizierer und CSPs SOLLTEN alle druckbaren ASCII-Zeichen [RFC20] sowie das Leerzeichen in Passwörtern akzeptieren. Verifizierer und CSPs SOLLTEN Unicode-Zeichen [ISO/ISC 10646] in Passwörtern akzeptieren. Jeder Unicode-Codepunkt MUSS bei der Bewertung der Passwortlänge als ein einzelnes Zeichen gezählt werden.

• Verifizierer und CSPs DÜRFEN NICHT andere Zusammensetzungsregeln für Passwörter vorschreiben (z. B. die Verwendung verschiedener Zeichentypen).

• Verifizierer und CSPs DÜRFEN NICHT von Nutzern verlangen, ihre Passwörter regelmäßig zu ändern. Verifizierer MÜSSEN jedoch eine Änderung erzwingen, wenn es Hinweise auf eine Kompromittierung des Authentifikators gibt.

• Verifizierer und CSPs DÜRFEN NICHT Teilnehmern erlauben, einen Hinweis zu speichern, der einem nicht authentifizierten Antragsteller zugänglich ist.

• Verifizierer und CSPs DÜRFEN NICHT Teilnehmer bei der Wahl von Passwörtern auffordern, wissensbasierte Authentifizierung (KBA) (z. B. „Wie hieß Ihr erstes Haustier?“) oder Sicherheitsfragen zu verwenden.

• Verifizierer MÜSSEN das gesamte übermittelte Passwort überprüfen (d. h. es nicht kürzen).

• Beim Verarbeiten einer Anfrage zum Einrichten oder Ändern eines Passworts gilt: Verifizierer MÜSSEN das vorgesehene Geheimnis mit einer Sperrliste abgleichen, die bekannte häufig verwendete, erwartete oder kompromittierte Passwörter enthält. Das gesamte Passwort MUSS dem Abgleich unterzogen werden, nicht Teilzeichenfolgen oder Wörter, die darin enthalten sein könnten. Die Liste KANN unter anderem Folgendes enthalten:

  • Passwörter aus früheren Datenlecks

  • Wörterbuchwörter

  • Kontextspezifische Wörter, wie der Name des Dienstes, der Benutzername und Ableitungen davon

  • Wenn das gewählte Passwort auf der Sperrliste gefunden wird, gilt: Der CSP oder Verifizierer MUSS den Teilnehmer auffordern, ein anderes Geheimnis auszuwählen, und MUSS den Grund für die Ablehnung angeben. Da die Sperrliste zur Abwehr von Brute-Force-Angriffen verwendet wird und erfolglose Versuche, wie unten beschrieben, ratenbegrenzt werden, sollte die Sperrliste SOLLTEN groß genug sein, um zu verhindern, dass Teilnehmer Passwörter wählen, die Angreifer wahrscheinlich erraten würden, bevor die Versuchsgrenze erreicht ist.

• Verifizierer MÜSSEN Teilnehmern Hilfestellung geben, um sie bei der Wahl eines starken Passworts zu unterstützen. Dies ist besonders wichtig nach der Ablehnung eines Passworts auf der Sperrliste, da es von trivialen Änderungen gelisteter schwacher Passwörter abhält [Blocklists].

• Verifizierer MÜSSEN einen Mechanismus zur Ratenbegrenzung implementieren, der die Anzahl fehlgeschlagener Authentifizierungsversuche, die für das Teilnehmerkonto durchgeführt werden können, wirksam begrenzt, wie in Abschn. 3.2.2.

• Verifizierer MÜSSEN die Verwendung von Passwort-Managern zulassen. Verifizierer SOLLTEN Antragstellern erlauben, beim Eingeben eines Passworts die Funktion „Einfügen“ zu verwenden, um deren Nutzung zu erleichtern. Es hat sich gezeigt, dass Passwort-Manager die Wahrscheinlichkeit erhöhen, dass Benutzer stärkere Passwörter wählen, insbesondere wenn die Passwort-Manager Passwortgeneratoren enthalten [Managers].

• Verifizierer MÜSSEN Passwörter in einer Form speichern, die gegen Offline-Angriffe resistent ist. Passwörter MÜSSEN mit Salt versehen und unter Verwendung eines geeigneten Passwort-Hashing-Verfahrens gehasht werden. Passwort-Hashing-Verfahren nehmen ein Passwort, einen Salt und einen Kostenfaktor als Eingaben und erzeugen einen Passwort-Hash. Ihr Zweck besteht darin, jeden Passwort-Rateversuch für einen Angreifer, der eine Datei mit gehashten Passwörtern erlangt hat, aufwendiger zu machen und dadurch die Kosten eines Rateangriffs hoch oder prohibitiv zu machen. Der gewählte Kostenfaktor SOLLTE so hoch wie praktikabel sein, ohne die Leistung des Verifizierers negativ zu beeinträchtigen. Er SOLLTE im Laufe der Zeit erhöht werden, um der steigenden Rechenleistung Rechnung zu tragen. Ein zugelassenes Passwort-Hashing-Verfahren, das in der neuesten Revision von [SP800-132] oder in aktualisierten NIST-Richtlinien zu Passwort-Hashing-Verfahren veröffentlicht wurde, SOLLTE verwendet werden. Die gewählte Ausgabelänge des Passwort-Verifizierers, ausgenommen Salt- und Versionsinformationen, SOLLTE der Länge der Ausgabe des zugrunde liegenden Passwort-Hashing-Verfahrens entsprechen.

• Der Salt MUSS mindestens 32 Bit lang sein und so gewählt werden, dass Kollisionen von Salt-Werten unter gespeicherten Hashes minimiert werden. Sowohl der Salt-Wert als auch der resultierende Hash MÜSSEN für jedes Passwort gespeichert werden. Ein Verweis auf das verwendete Passwort-Hashing-Verfahren, einschließlich des Arbeitsfaktors, SOLLTE für jedes Passwort gespeichert werden, um die Migration zu neuen Algorithmen und Arbeitsfaktoren zu ermöglichen. Beispielsweise ist bei der Password-Based Key Derivation Function 2 (PBKDF2) [SP800-132], der Kostenfaktor eine Iterationsanzahl: Je häufiger die PBKDF2-Funktion iteriert wird, desto länger dauert die Berechnung des Passwort-Hashs.

• Darüber hinaus SOLLTEN Verifizierer eine zusätzliche Iteration einer schlüsselbasierten Hashing- oder Verschlüsselungsoperation unter Verwendung eines geheimen Schlüssels durchführen, der nur dem Verifizierer bekannt ist. Wenn verwendet, MUSS dieser Schlüsselwert durch einen zugelassenen Zufallsbitgenerator erzeugt werden, wie in Abschn. 3.2.12. Der geheime Schlüsselwert MUSS getrennt von den gehashten Passwörtern gespeichert werden. Er SOLLTE in einem hardwaregeschützten Bereich gespeichert und verwendet werden, z. B. in einem Hardware-Sicherheitsmodul oder einer Trusted Execution Environment (TEE). Mit dieser zusätzlichen Iteration sind Brute-Force-Angriffe auf die gehashten Passwörter unpraktikabel, solange der geheime Schlüsselwert geheim bleibt.

• Blogreihe zum Cybersecurity Awareness Month 2023

  • Empfehlung der Behörde

    • Passwörter sind nach wie vor der am weitesten verbreitete Authentifizierungsmechanismus, um Zugriff auf relevante Ressourcen zu erhalten. Passwörter sind die erste Verteidigungslinie, um die Vertraulichkeit und Integrität von Daten vor Cyberkriminellen und Datenschutzverletzungen zu schützen. Gute, starke Passwörter helfen Menschen, online sicher zu bleiben und ihre Privatsphäre zu wahren.

• Referenz

• Referenz

Empfehlung der Behörde:

• Verwenden Sie starke Passwörter

  • Erstellen Sie mit einem Passwort-Manager lange, zufällige und einzigartige Passwörter für sicherere Konten.

• Eine einfache Möglichkeit, Ihre Konten zu schützen

  • Einfache Passwörter wie 12345 oder häufige identifizierende Informationen wie Geburtstage und Haustiernamen sind zum Schutz wichtiger Konten mit personenbezogenen Daten nicht sicher. Ein leicht zu erratendes Passwort zu verwenden, ist wie die Tür abzuschließen, den Schlüssel aber im Schloss stecken zu lassen. Schwache Passwörter können von Computerhackern schnell geknackt werden. Es ist jedoch unmöglich, sich für jedes Konto ein eigenes starkes Passwort zu merken!

  • Die gute Nachricht: Das Erstellen und Speichern starker Passwörter mithilfe eines „Passwort-Managers“ ist eine der einfachsten Möglichkeiten, sich davor zu schützen, dass jemand sich bei Ihren Konten anmeldet und sensible Informationen, Daten, Geld oder sogar Ihre Identität stiehlt.

  • Online-Kriminalität mit starken Passwörtern stoppen – YouTube-Video von CISA

• Stärken Sie Ihre Passwörter mit drei einfachen Tipps

• Ein starkes Passwort erfüllt ALLE DREI dieser Tipps.

  1. Wählen Sie lange Passwörter

     • Mindestens 16 Zeichen – je länger, desto stärker! 

  2. Wählen Sie zufällige Passwörter

     • Dafür gibt es zwei Möglichkeiten:

     • Verwenden Sie eine zufällige Zeichenfolge aus Groß- und Kleinbuchstaben, Zahlen und Symbolen. Zum Beispiel:

       • cXmnZK65rf*&DaaD

       • Yuc8$RikA34%ZoPPao98t

       • Eine weitere Möglichkeit ist, eine einprägsame Wortfolge aus 4–7 nicht zusammenhängenden Wörtern zu erstellen. Dies wird als „Passphrase“ bezeichnet. Zum Beispiel:

         • Gut: PferdLilaHutLaufen

         • Sehr gut: PferdLilaHutLaufenBucht

         • Hervorragend: Pferd Lila Hut Laufen Bucht Heben

         • Hinweis: Sie können bei Bedarf Leerzeichen vor oder zwischen Wörtern verwenden!

  3. Wählen Sie einzigartige Passwörter 

     • Verwenden Sie für jedes Konto ein anderes starkes Passwort.

     • Zum Beispiel:

       • Bank: k8dfh8c@Pfv0gB2

       • E-Mail-Konto: legal tiny facility freehand probable enamel

       • Social-Media-Konto: e246gs%mFs#3tv6

• PROFI-TIPP: VERWENDEN SIE EINEN PASSWORT-MANAGER

  • Es ist schwer, sich all diese starken Passwörter zu merken, und Sie sollten sie nicht in einer Datei auf einem Computer speichern. Verwenden Sie stattdessen einen Passwort-Manager. Mehr dazu unten!

• Verwenden Sie einen Passwort-Manager

  • Für die meisten Menschen ist es nicht möglich, für jedes Konto lange, zufällige und einzigartige Passwörter zu erstellen und sich diese zu merken. Statt sie aufzuschreiben, verwenden Sie einen Passwort-Manager! Ein Passwort-Manager ist ein einfach zu bedienendes Programm, das alle Ihre Passwörter erstellt, speichert und sogar einträgt. Passwort-Manager weisen darauf hin, wenn Sie schwache oder wiederverwendete Passwörter haben, und können starke Passwörter für Sie generieren. Außerdem können sie Zugangsdaten automatisch in Websites und Apps eintragen, während Sie von einer zur nächsten wechseln.

  • Wenn Sie einen Passwort-Manager verwenden, müssen Sie sich nur ein starkes Passwort merken – das für den Passwort-Manager selbst. (Tipp: Erstellen Sie eine einprägsame lange „Passphrase“, wie oben beschrieben.)

  • Es gibt viele Passwort-Manager zur Auswahl. Einige sind kostenlos, zum Beispiel die integrierten Passwort-Manager in Ihrem Webbrowser, andere sind kostenpflichtig. Suchen Sie in einer vertrauenswürdigen Quelle wie Consumer Reports nach „Passwort-Managern“, dort finden Sie eine Auswahl hoch bewerteter Passwort-Manager. Lesen Sie Bewertungen, um Optionen zu vergleichen und ein seriöses Programm zu finden, das zu Ihnen passt.

  • Wenn Sie einen Passwort-Manager verwenden, ist es viel wahrscheinlicher, dass Sie auf jeder Website ein langes, zufälliges und einzigartiges Passwort verwenden. Und dadurch wird es für andere deutlich schwieriger, Ihre wertvollen Informationen zu stehlen!

  • PROFI-TIPP: Prüfen Sie, ob Ihre E-Mail-Konten, Banken, Gesundheitsdienstleister und andere wichtige Konten starke Passwortanforderungen durchsetzen. Wenn sie Ihnen erlauben, ein kurzes Passwort oder ein Wörterbuchwort zu verwenden, fragen Sie nach dem Grund. Schließlich sind es Ihre Informationen, die dadurch gefährdet werden!

  • Und vergessen Sie nicht, MFA zu aktivieren, insbesondere für Ihre E-Mail-, Social-Media- und Finanzkonten. 

• CISA-Merkblatt mit Passworttipps

• Referenz

Empfehlung der Behörde:

• Implementieren Sie Passwortrichtlinien, die eindeutige Passwörter mit mindestens 15 Zeichen vorschreiben

  • Passwort-Manager können Ihnen helfen, sichere Passwörter zu erstellen und zu verwalten. Sichern und beschränken Sie den Zugriff auf alle verwendeten Passwort-Manager und aktivieren Sie alle im verwendeten Produkt verfügbaren Sicherheitsfunktionen, z. B. MFA.

• Referenz

Empfehlung der Behörde:

• Die Zunahme von Kompromittierungen von Netzwerkinfrastrukturen in den letzten Jahren erinnert daran, dass die Authentifizierung an Netzwerkgeräten ein wichtiger Aspekt ist. Netzwerkgeräte könnten aus folgenden Gründen kompromittiert werden:

  • Schlechte Passwortwahl (anfällig für Brute-Force-Passwort-Spraying)

  • Router-Konfigurationsdateien (die gehashte Passwörter enthalten), die per unverschlüsselter E-Mail versendet werden, oder

  • Wiederverwendete Passwörter (wenn von einem kompromittierten Gerät wiederhergestellte Passwörter anschließend verwendet werden können, um andere Geräte zu kompromittieren).

• Die alleinige Verwendung von Passwörtern erhöht das Risiko einer Ausnutzung von Geräten. Die NSA empfiehlt zwar dringend Multi-Faktor-Authentifizierung für Administratoren, die kritische Geräte verwalten, doch manchmal müssen Passwörter allein verwendet werden. Die Wahl guter Algorithmen zur Passwortspeicherung kann eine Ausnutzung deutlich erschweren.

• Um größtmöglichen Schutz zu bieten, verwenden Sie starke Passwörter, damit sie nicht geknackt und in Klartext umgewandelt werden können. Halten Sie eine Passwortrichtlinie ein, die Folgendes vorsieht:

  • Besteht aus einer Kombination aus Klein- und Großbuchstaben, Symbolen und Zahlen;

  • Umfasst mindestens 15 alphanumerische Zeichen; und

  • Muster, die nicht Folgendes sind:

    • Eine Tastenfolge auf der Tastatur

    • Identisch mit einem Benutzernamen

    • Das Standardpasswort

    • Identisch mit einem andernorts verwendeten Passwort

    • Bezogen auf Netzwerk, Organisation, Standort oder andere Funktionskennungen

    • Direkt aus einem Wörterbuch, gängige Akronyme oder leicht zu erraten

• Referenz

Empfehlung der Behörde:

• Sichern und stärken Sie Ihre Passwörter

  • Verwenden Sie eindeutige und starke Passwörter für jedes Online-Konto. Die Wiederverwendung von Passwörtern über mehrere Konten hinweg kann Daten aus allen Konten offenlegen, wenn das Passwort entdeckt wird. Stellen Sie sicher, dass Ihr Passwort ausreichend lang und komplex ist und eine Kombination aus Buchstaben, Zahlen und Sonderzeichen verwendet. Implementieren Sie, wo möglich, Multi-Faktor-Authentifizierung mit einem Authentifizierungs-Token oder einer App, damit niemand auf Ihr Konto zugreifen kann, selbst wenn Ihr Passwort kompromittiert wurde. Geben Sie Passwörter niemals weiter und vermeiden Sie Informationen, die anhand Ihrer Social-Media-Profile oder öffentlicher Informationen erraten werden könnten.

• Referenz

Empfehlung der Behörde:

• Kriterien, die bei der Auswahl einer Multi-Faktor-Authentifizierungslösung zu berücksichtigen sind: Das Computer Security Resource Center des National Institute of Standards and Technology hat kürzlich seine „Digital Identity Guidelines4“ (SP 800-63-3) aktualisiert. Diese enthalten Standarddefinitionen und weisen verschiedenen Authentifizierungslösungen Vertrauensniveaus zu. Die folgenden Kriterien spiegeln die NIST-Anforderungen wider, um sicherzustellen, dass eine Lösung validiert ist und einer Reihe gängiger Exploits standhält. Eine vollständige Authentifizierungslösung muss ordnungsgemäß unter Verwendung standardisierter, validierter Mechanismen implementiert werden. Sie muss außerdem Authentifikatoren, Validatoren und unterstützende Lifecycle-Prozesse umfassen. Einige kommerzielle Lösungen konzentrieren sich auf Authentifikatoren und verlangen von einer Organisation, Validatoren und Lifecycle-Prozesse zu verwalten. Andere kommerzielle Lösungen validieren mehrere Typen von Authentifikatoren, verwalten mehrstufige Authentifizierungsmechanismen und verwalten das Vertrauen in Authentifikatoren verschiedener Identitätsanbieter zur Unterstützung mehrerer Dienste. Diese erfordern häufig, dass der Kunde eine oder mehrere Authentifikatorlösungen erwirbt und Server so konfiguriert, dass sie die Assertions eines Authentifizierungsservers akzeptieren, der Identitätsföderation durchführt. SP 800-63-3 enthält außerdem Kriterien für Identitätsföderation.

• Referenz

CISA untersteht dem DHS

Empfehlung der Behörde:

• Präsident Biden hat Cybersicherheit, ein zentrales Element der Mission des Department of Homeland Security (DHS), auf allen Regierungsebenen zu einer der obersten Prioritäten der Biden-Harris-Regierung gemacht.

• Um das Engagement des Präsidenten voranzubringen und widerzuspiegeln, dass die Stärkung der nationalen Cybersicherheitsresilienz für das DHS höchste Priorität hat, rief Minister Mayorkas in seinem ersten Monat im Amt zu Maßnahmen im Bereich Cybersicherheit auf. Dieser Aufruf konzentrierte sich darauf, die unmittelbare Bedrohung durch Ransomware anzugehen und eine robustere und vielfältigere Belegschaft aufzubauen.

• Im März 2021 skizzierte Minister Mayorkas in einer virtuellen Ansprache, die von der RSA Conference in Partnerschaft mit der Hampton University und den Girl Scouts of the USA ausgerichtet wurde, seine umfassendere Vision und einen Fahrplan für die Cybersicherheitsbemühungen des Ministeriums.

• Nach seiner Präsentation nahm der Minister gemeinsam mit Judith Batty, Interims-CEO der Girl Scouts, an einem Kamingespräch teil, um die beispiellosen Cybersicherheitsherausforderungen zu erörtern, vor denen die Vereinigten Staaten derzeit stehen. Dr. Chutima Boonthum-Denecke vom Fachbereich Informatik der Hampton University stellte den Minister vor und moderierte zum Abschluss des Programms eine Frage-und-Antwort-Runde.

  • Überblick über die DHS-Cybersicherheits-Sprints

  • Überblick über weitere laufende Cybersicherheitsprioritäten

  • Weitere Informationen

• Referenz

Empfehlung der Behörde:

• Internetbasierte Straftaten und Cyberangriffe werden immer ausgefeilter. Um sie zu verhindern, muss jede Person, die ein verbundenes Gerät nutzt, aufmerksam und wachsam sein.

• Halten Sie Systeme und Software auf dem neuesten Stand und installieren Sie ein starkes, seriöses Antivirenprogramm.

• Seien Sie vorsichtig, wenn Sie sich mit einem öffentlichen WLAN verbinden, und führen Sie in einem öffentlichen Netzwerk keine sensiblen Transaktionen durch, einschließlich Käufen.

• Erstellen Sie für jedes Online-Konto eine starke und einzigartige Passphrase und ändern Sie diese Passphrasen regelmäßig.

• Richten Sie für alle Konten, die dies unterstützen, Multi-Faktor-Authentifizierung ein.

• Prüfen Sie die E-Mail-Adresse in jeder Korrespondenz und kontrollieren Sie Website-URLs genau, bevor Sie auf eine Nachricht antworten oder eine Website besuchen

• Klicken Sie auf nichts in unaufgefordert zugesandten E-Mails oder Textnachrichten.

• Seien Sie vorsichtig mit den Informationen, die Sie in Online-Profilen und Social-Media-Konten teilen. Angaben wie Namen von Haustieren, Schulen und Familienmitgliedern können Betrügern die Hinweise liefern, die sie benötigen, um Ihre Passwörter oder die Antworten auf die Sicherheitsfragen Ihres Kontos zu erraten.

• Senden Sie keine Zahlungen an unbekannte Personen oder Organisationen, die um finanzielle Unterstützung bitten und zu sofortigem Handeln drängen.

• Quelle

Empfehlung der Behörde:

• Lassen Sie Ihre Firewall eingeschaltet

  Eine Firewall schützt Ihren Computer vor Hackern, die versuchen könnten, Zugriff zu erhalten, um ihn zum Absturz zu bringen, Informationen zu löschen oder sogar Passwörter oder andere sensible Informationen zu stehlen. Software-Firewalls werden häufig für einzelne Computer empfohlen. Die Software ist bei einigen Betriebssystemen vorinstalliert oder kann für einzelne Computer erworben werden. Bei mehreren vernetzten Computern bieten Hardware-Router in der Regel Firewall-Schutz.

• Installieren oder aktualisieren Sie Ihre Antivirensoftware

  Antivirensoftware soll verhindern, dass sich Schadsoftware auf Ihrem Computer einnistet. Wenn sie Schadcode wie einen Virus oder Wurm erkennt, versucht sie, diesen unschädlich zu machen oder zu entfernen. Viren können Computer infizieren, ohne dass die Nutzer es bemerken. Die meisten Arten von Antivirensoftware können so eingerichtet werden, dass sie sich automatisch aktualisieren.

• Installieren oder aktualisieren Sie Ihre Anti-Spyware-Technologie

  Spyware ist genau das, wonach es klingt: Software, die heimlich auf Ihrem Computer installiert wird, damit andere Ihre Aktivitäten am Computer ausspähen können. Manche Spyware sammelt ohne Ihre Zustimmung Informationen über Sie oder zeigt unerwünschte Pop-up-Anzeigen in Ihrem Webbrowser an. Einige Betriebssysteme bieten kostenlosen Spyware-Schutz, und kostengünstige Software steht im Internet oder in Ihrem lokalen Computerfachgeschäft zum Download bereit. Seien Sie vorsichtig bei Anzeigen im Internet, die herunterladbare Anti-Spyware anbieten – in manchen Fällen können diese Produkte gefälscht sein und tatsächlich Spyware oder anderen Schadcode enthalten. Es ist wie beim Lebensmitteleinkauf: Kaufen Sie dort ein, wo Sie Vertrauen haben.

• Halten Sie Ihr Betriebssystem auf dem neuesten Stand

  Computer-Betriebssysteme werden regelmäßig aktualisiert, um mit technologischen Anforderungen Schritt zu halten und Sicherheitslücken zu schließen. Installieren Sie unbedingt die Updates, damit Ihr Computer über den neuesten Schutz verfügt.

• Seien Sie vorsichtig, was Sie herunterladen

  Das unbedachte Herunterladen von E-Mail-Anhängen kann selbst die wachsamste Antivirensoftware umgehen. Öffnen Sie niemals einen E-Mail-Anhang von jemandem, den Sie nicht kennen, und seien Sie auch bei weitergeleiteten Anhängen von Personen, die Sie kennen, vorsichtig. Diese könnten unabsichtlich Schadcode weitergeleitet haben.

• Schalten Sie Ihren Computer aus

  Mit der Zunahme schneller Internetverbindungen entscheiden sich viele dafür, ihre Computer eingeschaltet und einsatzbereit zu lassen. Der Nachteil ist, dass Computer durch das „Immer eingeschaltet“-Sein anfälliger werden. Neben dem Firewall-Schutz, der unerwünschte Angriffe abwehren soll, trennt das Ausschalten des Computers effektiv die Verbindung eines Angreifers – sei es Spyware oder ein Botnet, das die Ressourcen Ihres Computers nutzt, um andere ahnungslose Nutzer zu erreichen.

• Quelle

Empfehlung der Behörde:

• Ihre Online-Konten können viele Ihrer personenbezogenen Daten enthalten. Schützen Sie sie mit einem starken Passwort, das schwer zu erraten ist, und aktivieren Sie die Zwei-Faktor-Authentifizierung.

• Bei Passwörtern haben Sie mehrere Möglichkeiten:

  • Erstellen Sie Ihr eigenes Passwort

  • Wählen Sie ein automatisch generiertes Passwort

  • Verwenden Sie einen Passwort-Manager

• Erstellen Sie Ihr eigenes Passwort. Wenn Sie Ihr eigenes Passwort erstellen, wählen Sie ein langes. Streben Sie mindestens 15 Zeichen an. Verwenden Sie eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Symbolen.

• Da ein langes Passwort schwer zu merken sein kann, ist es möglicherweise einfacher, eine Passphrase zu verwenden. Eine Passphrase ist eine Reihe von Wörtern, die durch Leerzeichen getrennt sind. Wenn Sie eine Passphrase verwenden

  • Stellen Sie sicher, dass sie aus zufälligen Wörtern besteht

  • Vermeiden Sie gängige Redewendungen, Liedtexte oder Filmzitate, die ein Hacking-Programm leicht erraten kann

  • Wählen Sie ein automatisch generiertes Passwort. Studien zeigen, dass Menschen nicht gut darin sind, starke Passwörter zu erstellen und sich diese zu merken. Sie können Ihren Browser oder Ihr Gerät ein Passwort für Sie erstellen lassen. Hier finden Sie weitere Informationen dazu, wie das funktioniert:

    • Google Chrome

    • Mac

    • Microsoft Edge

    • Firefox

    • iPhone iOS

    • Android

• Verwenden Sie einen Passwort-Manager. Ein Passwort-Manager eines Drittanbieters kann ebenfalls ein starkes Passwort erstellen. Lesen Sie Expertenbewertungen, um einen seriösen Passwort-Manager zu finden. Stellen Sie sicher, dass das Passwort für Ihren Passwort-Manager stark ist. Und schützen Sie es genauso wie Ihre anderen Passwörter.

• Starke Passwörter können schwer zu merken sein. Ihr Browser und Ihr Gerät können Ihr Passwort jedoch speichern. Das kann auch Ihr Passwort-Manager. Und sie können Ihr Passwort automatisch ausfüllen, wenn Sie sich das nächste Mal bei einer Website oder App anmelden.

• Verwenden Sie Zwei-Faktor-Authentifizierung. Ein starkes Passwort ist ein wichtiger Schritt, um Ihr Konto vor Hackern zu schützen. Doch selbst starke Passwörter sind anfällig für Cyberangriffe. Der Einsatz von Zwei-Faktor-Authentifizierung fügt Ihrem Konto eine zusätzliche Sicherheitsebene hinzu. Ein Hacker, der Ihr Passwort stiehlt, kann sich ohne den zweiten Authentifizierungsfaktor nicht bei Ihrem Konto anmelden.

• Die häufigste Form der Zwei-Faktor-Authentifizierung ist ein Bestätigungscode, den Sie per SMS oder E-Mail erhalten. Dieser Einmalcode ist in der Regel sechsstellig oder länger und läuft automatisch ab.

• Sicherere Arten der Zwei-Faktor-Authentifizierung sind eine Authentifizierungs-App oder ein Sicherheitsschlüssel. Wählen Sie eine dieser Methoden für mehr Schutz, wenn Sie die Möglichkeit dazu haben.

• Referenz

Empfehlung der Behörde:

• Stellen Sie sicher, dass Ihr Passwort lang und stark ist. Das bedeutet mindestens 12 Zeichen. Ein Passwort länger zu machen, ist im Allgemeinen der einfachste Weg, es stärker zu machen. Ziehen Sie die Verwendung einer Passphrase aus zufälligen Wörtern in Betracht, damit Ihr Passwort leichter zu merken ist. Vermeiden Sie jedoch gängige Wörter oder Formulierungen. Wenn der von Ihnen genutzte Dienst keine langen Passwörter zulässt, können Sie Ihr Passwort stärker machen, indem Sie Groß- und Kleinbuchstaben, Zahlen und Symbole kombinieren.

• Verwenden Sie keine Passwörter wieder, die Sie bereits für andere Konten genutzt haben. Verwenden Sie unterschiedliche Passwörter für unterschiedliche Konten. So kann ein Hacker, der Ihr Passwort für ein Konto erhält, es nicht nutzen, um in Ihre anderen Konten zu gelangen.

• Verwenden Sie Multi-Faktor-Authentifizierung, wenn sie verfügbar ist. Einige Konten bieten zusätzliche Sicherheit, indem sie für die Anmeldung bei Ihrem Konto zusätzlich zum Passwort noch etwas Weiteres verlangen. Dies wird Multi-Faktor-Authentifizierung genannt. Das „Zusätzliche“, das Sie für die Anmeldung bei Ihrem Konto benötigen, fällt in zwei Kategorien:

  • Etwas, das Sie haben – zum Beispiel einen Code, den Sie über eine Authentifizierungs-App erhalten, oder einen Sicherheitsschlüssel.

  • Etwas, das Sie sind – zum Beispiel ein Scan Ihres Fingerabdrucks, Ihrer Netzhaut oder Ihres Gesichts.

• Ziehen Sie einen Passwort-Manager in Betracht. Die meisten Menschen haben Schwierigkeiten, den Überblick über all ihre Passwörter zu behalten. Je länger und komplizierter ein Passwort ist, desto stärker ist es, aber ein längeres Passwort kann auch schwieriger zu merken sein. Ziehen Sie in Betracht, Ihre Passwörter und Sicherheitsfragen in einem seriösen Passwort-Manager zu speichern. Um einen seriösen Passwort-Manager zu finden, suchen Sie auf unabhängigen Bewertungsseiten und sprechen Sie mit Freunden und Familie darüber, welche sie verwenden. Verwenden Sie unbedingt ein starkes Passwort, um die Informationen in Ihrem Passwort-Manager zu schützen.

• Wählen Sie Sicherheitsfragen, auf die nur Sie die Antwort kennen. Wenn eine Website Sie auffordert, Sicherheitsfragen zu beantworten, vermeiden Sie Antworten, die in öffentlichen Aufzeichnungen verfügbar oder online leicht zu finden sind, wie Ihre Postleitzahl, Ihr Geburtsort oder der Mädchenname Ihrer Mutter. Verwenden Sie außerdem keine Fragen mit einer begrenzten Anzahl möglicher Antworten, die Angreifer leicht erraten können – zum Beispiel die Farbe Ihres ersten Autos. Sie können sogar unsinnige Antworten verwenden, um das Erraten zu erschweren – stellen Sie in diesem Fall jedoch sicher, dass Sie sich merken können, was Sie verwenden.

• Ändern Sie Passwörter schnell, wenn es zu einer Sicherheitsverletzung kommt. Wenn ein Unternehmen Ihnen mitteilt, dass es eine Datenschutzverletzung gab, bei der ein Hacker Ihr Passwort erlangt haben könnte, ändern Sie das Passwort, das Sie bei diesem Unternehmen verwenden, sofort – und auch bei jedem Konto, das ein ähnliches Passwort verwendet.

• Referenz

Empfehlung der Behörde:

• Früher galt es als allgemeine Empfehlung, Passwörter mit Sonderzeichen, Großschreibung, Zahlen, Buchstaben und einer Vielzahl willkürlicher Regeln zu erstellen, darunter die Vorgabe, Ihr Passwort mehrmals pro Jahr zu ändern. Forschung zeigt, dass wir alle darauf auf dieselbe Weise reagiert haben: Wir haben Passwörter wiederverwendet oder Varianten desselben Passworts erstellt, weil wir aufgefordert wurden, uns Dutzende eindeutiger Passwörter für jede Website, jede Anmeldung oder jede Anwendung zu merken.

• Unsere natürlichen Instinkte haben eine Schwachstelle in unserer Online-Sicherheit geschaffen, die Cyberkriminelle ausgenutzt haben. Untersuchungen zur Verwendung von Passwörtern haben die inhärente Schwäche aufgezeigt, von Benutzern zu erwarten, sich willkürlich komplexe Passwörter zu merken, sowie die Bedeutung der Multi-Faktor-Authentifizierung (MFA) für den Schutz unserer privaten Informationen. Wichtig ist, dass sich unser Denken zu diesem Thema weiterentwickelt hat und wir die folgenden Praktiken identifiziert haben, um uns besser zu schützen:

  • Wenn Sie ein Passwort verwenden müssen, nutzen Sie ein längeres Passwort (15 oder mehr Zeichen) oder sogar Passphrasen, da diese einen besseren Schutz bieten als ein kürzeres, willkürlich komplexes Passwort. Passphrasen haben zudem den Vorteil, dass sie leicht zu merken sind.

  • Der Einsatz von MFA (z. B. ein Einmalcode, der Ihnen per E-Mail zugesendet wird, oder eine Authentifizierungs-App auf Ihrem Telefon) fügt eine zweite, entscheidende Schutzebene gegen ein kompromittiertes Passwort hinzu. MFA sollte immer eingerichtet werden, wenn sie verfügbar ist. Es dauert nur wenige Augenblicke und gibt Ihnen ein beruhigendes Gefühl.

  • Passwort-Manager, geschützt durch ein sehr starkes, langes Passwort bei aktivierter MFA, ermöglichen es uns, für jede Website eindeutige Passwörter zu erstellen, ohne sie uns alle merken zu müssen.

• Referenz

Empfehlung der Behörde:

• Die Sicherheit unserer vernetzten globalen Netzwerke sowie der mit diesen Netzwerken verbundenen Geräte und Daten zu gewährleisten, ist eine der prägenden Herausforderungen unserer Zeit.

• Das Handelsministerium hat die Aufgabe, das Bewusstsein für Cybersicherheit und entsprechende Schutzmaßnahmen zu stärken, die Privatsphäre zu schützen, die öffentliche Sicherheit aufrechtzuerhalten, die wirtschaftliche und nationale Sicherheit zu unterstützen und Amerikanerinnen und Amerikaner dabei zu befähigen, ihre Sicherheit online besser zu verwalten.

  • NIST veröffentlicht Version 1.0 des Datenschutz-Frameworks

  • NIST bietet eine „Schnellstart“-Anleitung für seinen Katalog von Sicherheits- und Datenschutzmaßnahmen

  • Cybersecurity Corner für Kleinunternehmen

• Referenz

• Schulen Sie Mitarbeitende in Sicherheitsgrundsätzen. Legen Sie grundlegende Sicherheitspraktiken und Richtlinien für Mitarbeitende fest, z. B. die Pflicht zur Verwendung starker Passwörter, und definieren Sie geeignete Richtlinien für die Internetnutzung, einschließlich Strafen bei Verstößen gegen die Cybersecurity-Richtlinien des Unternehmens. Legen Sie Verhaltensregeln fest, die beschreiben, wie Kundeninformationen und andere wichtige Daten zu handhaben und zu schützen sind.

• Verlangen Sie von Mitarbeitenden die Verwendung eindeutiger Passwörter und deren Änderung alle drei Monate. Erwägen Sie die Implementierung einer Multi-Faktor-Authentifizierung, die für den Zugriff zusätzliche Informationen über ein Passwort hinaus erfordert. Fragen Sie bei Ihren Anbietern, die sensible Daten verarbeiten, insbesondere bei Finanzinstituten, nach, ob sie Multi-Faktor-Authentifizierung für Ihr Konto anbieten.

• Referenz

Empfehlung der Behörde:

• Was ist die häufigste Ursache für Datenschutzverletzungen in Kleinunternehmen? Mitarbeitende und arbeitsbezogene Kommunikation. Sie sind direkte Wege in Ihre Systeme. Schulen Sie Ihre Mitarbeitenden zu Best Practices bei der Internetnutzung. Dies kann helfen, Cyberangriffe zu verhindern. Weitere nützliche Schulungsthemen sind:

  • Phishing-E-Mails erkennen

  • Gute Praktiken beim Surfen im Internet anwenden

  • Verdächtige Downloads vermeiden

  • Authentifizierungstools aktivieren (starke Passwörter, Multi-Faktor-Authentifizierung usw.)

  • Sensible Anbieter- und Kundeninformationen schützen

• Referenz

Empfehlung der Behörde:

• Multi-Faktor-Authentifizierung (MFA) ist eine wichtige Sicherheitsmaßnahme. Sie verifiziert die Identität einer Person, indem sie mehr als nur Benutzername und Passwort verlangt. MFA kann verlangen, dass Benutzer zwei oder mehr der folgenden Faktoren bereitstellen:

  • Etwas, das der Benutzer weiß (Passwort, Phrase, PIN)

  • Etwas, das der Benutzer besitzt (physisches Token, Telefon)

  • Etwas, das den Benutzer physisch identifiziert (Fingerabdruck, Gesichtserkennung)

• Fragen Sie bei Ihren Anbietern nach, ob sie MFA für eines Ihrer Konten anbieten (z. B. Finanzen, Buchhaltung, Lohnabrechnung).

• Referenz

Im Juli 2023 hat die SEC „endgültige Vorschriften verabschiedet, die börsennotierte Unternehmen dazu verpflichten, sowohl wesentliche Cybersicherheitsvorfälle, die sie erleben, als auch jährlich wesentliche Informationen zu ihrem Cybersicherheits-Risikomanagement, ihrer Strategie und Governance offenzulegen.“ Angesichts der Rolle der SEC bei der Durchsetzung der Cybersicherheits-Compliance erscheint es sinnvoll, die Empfehlungen der SEC zur Passwortsicherheit zu bewerten.

Eine Suche nach „Passwortsicherheit“ auf der Website SEC.gov ergibt 10 Dokumente, die offenbar alle mehrere Jahre alt sind. Es gibt eine Seite zum Thema Cybersicherheit, sie bietet jedoch recht allgemeine Empfehlungen, die von CISA übernommen wurden. Ein Cybersicherheits-Risikohinweis aus dem Jahr 2020 mit dem Titel „Cybersecurity: Safeguarding Client Accounts against Credential Compromise“ führt zu einem PDF, in dem Credential Stuffing behandelt wird. Das Wort „Passwort“ wird zwar durchgehend verwendet, „Passwortsicherheit“ wird jedoch nicht ausdrücklich erwähnt. „Starke Passwörter“ werden im folgenden Kontext genannt:

Empfehlung der Behörde:

• Während sich Unternehmen auf Credential-Stuffing-Angriffe vorbereiten, ermutigen die Mitarbeitenden von OCIE die Unternehmen, ihre aktuellen Praktiken (z. B. MFA und andere oben beschriebene Praktiken) sowie mögliche Einschränkungen dieser Praktiken zu prüfen und zu überlegen, ob die Kunden und Mitarbeitenden des Unternehmens angemessen darüber informiert sind, wie sie ihre Konten besser schützen können. Informierte Kunden: Die meisten Unternehmen verlangen von Kunden und Mitarbeitenden, starke Passwörter zu erstellen und zu verwenden. Die Verwendung von Passwörtern ist jedoch weniger wirksam, wenn Kunden und/oder Mitarbeitende Passwörter von anderen Websites wiederverwenden. Um die Wirksamkeit zu erhöhen, haben einige Unternehmen Kunden und Mitarbeitende informiert und dazu angehalten, starke, eindeutige Passwörter zu erstellen und Passwörter zu ändern, wenn es Hinweise darauf gibt, dass ihr Passwort kompromittiert wurde.

• Referenz

Dieser Abschnitt wurde im Januar 2025 aktualisiert und wird angepasst, um neue Richtlinien der Regierung zu berücksichtigen, sobald sie verfügbar sind.

Empfehlung der Behörde:

• „Ich rufe die Menschen, Unternehmen und Institutionen der Vereinigten Staaten dazu auf, die Bedeutung der Cybersicherheit anzuerkennen und entsprechend zu handeln sowie den Cybersecurity Awareness Month zur Unterstützung unserer nationalen Sicherheit und Resilienz zu begehen. Ich rufe auch Unternehmen und Institutionen dazu auf, Maßnahmen zu ergreifen, um das amerikanische Volk besser vor Cyberbedrohungen zu schützen und neue Möglichkeiten für amerikanische Arbeitnehmer zu schaffen, gut bezahlte Cyber-Jobs auszuüben. Amerikaner können auch sofort Maßnahmen ergreifen, um sich besser zu schützen, z. B. die Multifaktor-Authentifizierung aktivieren, Software auf Computern und Geräten aktualisieren, starke Passwörter verwenden und vorsichtig bleiben, wenn sie auf verdächtig aussehende Links klicken.“

• Referenz

Empfehlung der Behörde:

• Behörden müssen sicherstellen, dass Websites, bei denen sich die Öffentlichkeit authentifizieren muss, mit gängigen Passwort-Managern kompatibel sind, und dürfen das „Einfügen“ von Passwörtern oder andere automatisierte, clientseitige Hilfsmechanismen nicht verhindern.

• Referenz

Empfehlung der Behörde:

• „Sie brauchen mehr als ein Passwort, um online sicher zu bleiben – und genau hier kommt die Multifaktor-Authentifizierung ins Spiel, damit Ihre Daten besser vor böswilligen Cyberakteuren geschützt sind“, sagte CISA-Exekutivdirektor Brandon Wales. „CISA hat Organisationen konsequent dazu aufgefordert, MFA für alle Benutzer einzuführen, um den Zugriff auf kritische Daten zu erschweren. Beim heutigen Symposium geht es darum, zusammenzukommen, um die Vision zu skizzieren, die wir alle verwirklichen wollen.“

• Referenz

Biden-Harris-Regierung kündigt Cybersicherheits-Kennzeichnungsprogramm für Smart Devices zum Schutz amerikanischer Verbraucher an

Empfehlung der Behörde

• In Ausübung ihrer Befugnis zur Regulierung drahtloser Kommunikationsgeräte wird erwartet, dass die FCC öffentliche Stellungnahmen zur Einführung des vorgeschlagenen freiwilligen Cybersicherheits-Kennzeichnungsprogramms einholt, das voraussichtlich 2024 starten soll. Wie vorgeschlagen, würde das Programm von Stakeholdern geleitete Bemühungen nutzen, um Produkte auf Grundlage spezifischer Cybersicherheitskriterien zu zertifizieren und zu kennzeichnen, die vom National Institute of Standards and Technology (NIST) veröffentlicht wurden und beispielsweise eindeutige und starke Standardpasswörter, Datenschutz, Softwareaktualisierungen und Funktionen zur Erkennung von Vorfällen verlangen.

• Referenz

Es gibt viele Maßnahmen, die Sie ergreifen können, um online sicher zu bleiben, aber die einfachste Maßnahme mit der größten und unmittelbarsten Wirkung auf Ihre Sicherheit ist die Verwendung eines Passwort-Managers. Wählen Sie einen plattformübergreifenden Passwort-Manager mit Zero-Knowledge-Ende-zu-Ende-Verschlüsselung der unbegrenzt viele eindeutige und starke Passwörter generieren und speichern kann. Sie können Bitwarden mit einem kostenlosen Konto nutzen oder sich für Premium für weniger als 10 $/Jahr entscheiden, um erweiterte Funktionen zu erhalten.

• Sehen Sie sich die Präsentation zum Stand der Passwortsicherheit