69.438 
37.892 
4.938 
12.500 
LK Fulda
Archiv
Heute ist Welt-Passwort-Tag: "Benutzerkennwörter sind unbemerktes Einfallstor"
06.05.21 - Sind wir ehrlich - Benutzerkennwörter sind für uns alle unbequem und der Fluch eines jeden IT-Verantwortlichen. Mitarbeiter möchten keinen häufigen Kennwortwechsel und wissen oftmals nicht, worauf es bei einem "sicheren Kennwort" überhaupt ankommt. In der Folge verwenden Mitarbeiter Kennwörter, welche vorhersehbaren Mustern folgen und somit für Dritte systematisch errechnet werden können.
Aus Sicht der IT-Sicherheit muss das Thema der Benutzerkennwörter jedoch ernst genommen werden. Auf der einen Seite investieren Unternehmen viel Zeit und Geld in IT-Sicherheitsmaßnahmen wie Firewalls oder Virenscanner. Das Risiko schwacher Benutzerkennwörter wird jedoch oftmals außer Acht gelassen. Lesen Sie hier, warum schwache Benutzerkennwörter ein Risiko für Unternehmensnetzwerke darstellen, wie Unternehmen sich wirksam schützen können und wie Sie ihren Anwendern dennoch ein Stück entgegenkommen können.
Warum stellen schwache Benutzerkennwörter ein Risiko dar?
Für den mobilen Zugriff auf das Unternehmensnetzwerk veröffentlichen Unternehmen Dienste wie Outlook Web Access, Exchange-ActiveSync, Outlook Anywhere oder VPN Einwahlen in das Internet. Diese Dienste sind öffentlich sichtbar, somit durch Externe permanent erreichbar und angreifbar. Schwache Benutzerkennwörter sind ein beliebter Einstiegspunkt, durch welchen Externe über das Internet in IT-Infrastrukturen eindringen. Als Grundlage nutzen die Angreifer Listen besonders schwacher oder bereits gestohlener Kennwörter. Verwenden Mitarbeiter Kennwörter unzureichender Qualität, werden Unternehmensdaten einem erhöhten Risiko ausgesetzt.Wie sieht die Realität in vielen Unternehmen aus?
In Unternehmen trifft man zumeist auf die klassische Form einer Kennwortrichtlinie: Mindestlänge von 8 Zeichen und das Kennwort muss alle 3 Monate gewechselt werden. In diesem Szenario können die Anwender sehr schwache Kennwörter wie "passwort" verwenden. Einige Unternehmen haben diese Schwachstelle bereits erkannt und ihre Richtlinie um die Option "Komplexität" erweitert. Somit müssen Anwender Kennwörter aus drei der vier Kriterien Kleinbuchstaben, Großbuchstaben, Sonderzeichen und Zahlen bilden. Dieses Szenario suggeriert eine gewisse Sicherheit. In der Realität lassen sich jedoch weiterhin einfach zu erratende Kennwörter wie z.B. Passwort123, Kennwort!, Firma2021 vergeben.Was Unternehmen ändern sollten
Im ersten Schritt sollten sie Mitarbeiter von unnötigen Kennwortwechseln befreien. Der Ansatz eines kurz getakteten Kennwortwechsels gilt als überholt und kontraproduktiv. Mit einem jährlichen Kennwortwechsel kommt man den Mitarbeitern entgegen und steigert somit die Akzeptanz einer Kennwortrichtlinie. Im zweiten Schritt sollten sie den Zwang zu Sonderzeichen und Zahlen abstellen. Ein langes Kennwort aus Groß- und Kleinbuchstaben ist im Regelfall sicherer als kurze Kennwörter mit Sonderzeichen und Zahlen.Durch die Einführung eines Passwort-Filters wird im dritten Schritt die Qualität der Kennwörter sichergestellt. Kennwörter, die einfach zu erraten sind, einfach zu errechnen sind oder bereits in öffentlich gewordenen Datenlecks enthalten waren (=kompromittiert), können dann nicht mehr vergeben werden.
Konkret heißt das
1. Mitarbeiter sensibilisieren und "ins Boot holen"2. Mitarbeiter vergeben sich qualitativ gute Kennwörter und dürfen diese länger verwenden (z.B. 1 Jahr)
3. Beim Einsatz eines Passwortfilters werden die Benutzer bei der Kennwortvergabe daran gehindert, schwache, bereits kompromittierte oder leicht zu erratende Kennwörter zu vergeben
4. Bei einem Sicherheitsvorfall (z.B. falls Zugangsdaten des Unternehmens im Dark Web auftauchen oder ein Trojaner im Netzwerk ausgebrochen ist) wird ein sofortiger Kennwortwechsel im Unternehmen veranlasst
Durch diese zeitgemäßen Maßnahmen ist zudem der "Stand der Technik" im Sinne des Datenschutzes (Art. 32 DSGVO) gewährleistet. Auch das Bundesamt für Sicherheit und Informationstechnik empfiehlt mittlerweile, Maßnahmen zu ergreifen, um die Kompromittierung von Kennwörter zu erkennen. (siehe BSI Grundschutz-Kompendium) Um in Echtzeit zu erfahren, ob Kennwörter des eigenen Unternehmens im Dark Web aufgetaucht sind, empfiehlt sich ein Dark Web Monitoring.
Ein solches kann man zum Beispiel von der Firma Drimalski & Partner in Fulda durchführen lassen. Diese bietet ein Passwort Audit an. Hier wird das Active Directory auf den Einsatz bereits kompromittierter Kennwörter geprüft, die Kennwortrichtlinie gesichtet und das Dark Web nach Funden in Bezug zur Unternehmensdomain gescannt. Anschließend unterstützt die Firma bei der Implementierung eines Active Directory Passwortfilters und zugehörigen Richtlinien, die auf das jeweilige Unternehmen zugeschnitten sind. (pm) +++
Dein Heimatpodcast
| Fulda |  | Bedeckt | 2° 4° |
| Bad Hersfeld | | Bedeckt | 2° 3° |
| Wasserkuppe | | Überwiegend bewölkt | -3° -3° |
| Fulda |  | Bedeckt | 4° 18.0° |
| Bad Hersfeld | | Bedeckt | 3° 18.0° |
| Wasserkuppe | | Überwiegend bewölkt | 2° 15.0° |
| Fulda |  | Mäßig bewölkt | 9° 18.0° |
| Bad Hersfeld | | Mäßig bewölkt | 8° 20.0° |
| Wasserkuppe | | Mäßig bewölkt | 7° 17.0° |
Kontakt
 |
Fulda: | 0661 - 480 488 151 |
|
Bad Hersfeld: | 06621 - 640 56 80 |
| Email: [email protected] | ||
