Auf den Punkt: Temporäre Onboarding-Passwörter, die über E-Mail oder SMS verteilt und nicht konsequent geändert werden, erzeugen unnötige Sicherheitsrisiken für Unternehmen und verstoßen gegen NIS2-Standards.
Bei der Mitarbeiterverwaltung werden temporäre Passwörter häufig über unsichere Kanäle wie E-Mail oder SMS verteilt und danach nicht ordnungsgemäß geändert. Dies schafft persistente Sicherheitslücken, die regulatorischen Anforderungen widersprechen.
Der Onboarding-Prozess für neue Mitarbeiter unterliegt bei IT-Teams zeitlichem Druck: Geräte, Accounts, Berechtigungen und Passwörter müssen innerhalb kurzer Fristen bereitgestellt werden. Häufig geschieht dies durch die Verteilung eines temporären Passworts für den ersten Arbeitstag.
Das Kernproblem liegt in der Praxis: Diese Passwörter bleiben oft nicht temporär. Sie werden per E-Mail oder SMS versendet, über mehrere Accounts hinweg wiederverwendet und von Mitarbeitern nicht mehr geändert, nachdem sie sich initial angemeldet haben. Diese Praxis widerspricht NIS2-Anforderungen und schafft Vektoren für unbefugte Zugriffe durch Abfangen von Credentials oder Brute-Force-Attacken.
Aus CISO-Perspektive ist dies ein Compliance- und Sicherheitsrisiko: Schwache oder wiederverwendete Standardpasswörter erhöhen die Angriffsflächfläche erheblich, besonders wenn sie über unverschlüsselte Kanäle übermittelt werden. Regulatorische Anforderungen wie NIS2 verlangen sichere Credential-Handhabung und Authentifizierung ab der Erstzugriffsvergabe.
Lösungsansätze sind: Einsatz von One-Time-Passwörtern (OTP), temporär begrenzte Credentials mit erzwungener Änderung beim ersten Login, sichere Out-of-Band-Verteilung (physisch oder über separate Kanäle) sowie automatisierte Compliance-Audits der Onboarding-Workflows. Eine dokumentierte und regelmäßig überprüfte Onboarding-Policy ist erforderlich, um sowohl Sicherheit als auch Audit-Anforderungen zu erfüllen.
Quelle: thehackernews.com · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.