Passwörter sind immer noch die wichtigste Methode zur Authentifizierung von Nutzern und zur Absicherung des Zugriffs auf Daten Ihrer Organisation. Das macht sie aber auch zu beliebten Zielen der Cyberkriminellen. Doch es gibt Tools und Methoden, um die Passwortsicherheit wirkungsvoll zu verbessern.
Am 2. Mai war der diesjährige Welt-Passwort-Tag. Dieser Aktionstag soll die vielen Internet-User daran erinnern, wie wichtig starke Passwörter sind. Vorausgegangen war am 1. Februar schon der Ändere-Dein-Passwort-Tag, an dem jeder seine Passwörter ändern sollte. Beide Tage dienen vor allem dazu, die Enduser zu einem besseren Umgang mit Passwörtern zu motivieren. Wie notwendig das ist, hat das Berliner Hasso-Plattner-Institut herausgefunden. Danach war im vorigen Jahr das beliebteste unsichere Passwort 123456789.
Dass Passwörter bei der Unternehmens-Security so wichtig sind, hat einen einfachen Grund: Ein einziges schwaches Passwort im Active Directory kann das Einfallstor für Erpressungsversuche, Spionage oder den Diebstahl von sensiblen personenbezogenen Daten sein und grosse finanzielle Schäden und Imageverluste bedeuten. Microsoft berichtet, dass im Jahr 2023 jede Sekunde über 4000 passwortbasierte Cyberangriffe alleine gegen Entra ID stattfanden und die Verwendung eines bereits kompromittierten Passworts bei der Vergabe von Passwörtern stieg laut einer Analyse von 2022 auf 5,8 Milliarden pro Monat.
Erste Massnahme: Passwort regelmässig ändern
Zwar wird diese Empfehlung häufig diskutiert doch in vielen Unternehmen müssen die Passwörter regelmässig geändert werden. Allerdings rücken viele Institutionen langsam davon ab. So verlangt das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) im Grundschutz (ORP.4.A8 ), dass Passwörter erst dann gewechselt werden sollen, wenn der Verdacht besteht, dass es kompromittiert wurde. Doch wie kann man ermitteln, ob ein Passwort weiterhin sicher und stark ist? Wann kann ich mich drauf verlassen, dass die Passwörter von Mitarbeitern stark genug sein müssten, um Brute-Force Angriffen standzuhalten? Nötig ist vor allem eine Passwort-Richtlinie als Teil der gesamten IT-Sicherheitsarchitektur. Darin ist die Mindestlänge, die Komplexität und der regelmässige Austausch genau festgelegt. Als erstes Qualitätskriterium dient, wie schnell ein Angreifer durch Brute-Force- oder Wörterbuch-Angriffe das Passwort knacken kann.
Komplexität oder Länge? Auch lange Passwörter können eine harte Nuss für Angreifer darstellen.
Die menschlichen Schwächen
Doch auch das allerbeste Passwort nützt nichts, wenn es fahrlässig oder unbewusst preisgegeben wird. Beispielsweise, indem es für mehrere berufliche und private Accounts oder Logins verwendet wird, beim Online-Arbeiten im Zug, im Café oder im Flugzeug durch unsichere WIFI-Access-Points abgegriffen wurde oder wenn man auf einen Phishing-Trick hereinfällt. Letzteres wird derzeit mithilfe von KI und Deepfake immer raffinierter, sodass es immer schwieriger wird, solche Machenschaften zu erkennen. Auch das Web-Spoofing, also das Erstellen einer falschen Website, die sich als die des Unternehmens ausgibt, greift immer weiter um sich. Hinzu kommen die Bedrohungen aufgrund der rasanten Zunahme bei den Kollaborationstools, die eine neue Bedrohungsart darstellen.
Auch Malwareinfektionen auf beruflich oder privat genutzten Geräten können dazu führen, dass Passwörter kompromittiert werden.
Tools, die der IT-Security die Arbeit erleichtern
Zum Glück gibt es heute eine Reihe an Tools und Methoden, mit denen die Vergabe von starken Passwörtern bei Nutzern und Servicekonten gefördert werden kann. Beispielsweise mit Specops Password Policy, dieser Anbieter gehört zum Security-Spezialisten Outpost24, und dessen Lösung erlaubt es, in einer Active Directory-Umgebung alle Anforderungen an die Passwortsicherheit nach dem aktuellen Stand der Technik durchzusetzen. Die Verwaltung der Kennwortrichtlinien als Gruppenrichtlinien erlaubt eine gezieltere Verteilung der Komplexitätsanforderungen beispielsweise je nach Zugriffsrechten der einzelnen Gruppen innerhalb einer Domäne.
Ein besonders Feature ist der kontinuierliche Abgleich der Passwörter in Active Directory mit einer Datenbank aus über vier Milliarden kompromittierten Passwörtern. Diese stammen aus Passwortdumps, Honeypotsystemen sowie aus Infostealer-Logs sodass Sie immer auf dem aktuellen Stand sind. Taucht eines davon im Unternehmen auf, wird es sofort blockiert. So können Sie die aktuellen Passwort-Empfehlungen der Sicherheitsbehörden, wie BSI, NIST, CJIS, NCSC, ANSSI oder CNIL einfach und schnell umsetzen.
Auch die Benutzerfreundlichkeit spielt beim Umgang mit Passwörtern eine große Rolle, so können Sie mithilfe von separaten Richtlinien für Passphrasen Ihre Nutzer dazu animieren, längere und einfach zu merkende Kennwörter zu erstellen. Schlummern bereits kompromittierte Kennwörter in Ihrem Active Directory oder wollen Sie überprüfen, ob es andere passwortrelevante Schwachstellen in Ihrer Organisation gibt? Dann hilft der kostenlose Specops PasswordAuditor dabei einen ersten Überblick über die Lage zu gewinnen.
Mit dem Read-Only-Scan des Specops Password Auditor überprüfen Sie Ihr Active Directory auf über 950 Millionen kompromittierte Kennwörter
Mehr als Passwort-Sicherheit
Outpost24, die Muttergesellschaft von Specops, bietet mehr als nur eine umfangreiche Lösung zur Verbesserung der Passwortsicherheit. Deren modularen Cyber Threat Intelligence-Lösung sammelt und analysiert das Verhalten von Angreifern in Ihrer Branche in Echtzeit. So lassen sich viele Gefahren – wie kompromittierte Kennwörter oder geplante Phishing-Angriffe auf Ihre Organisation – erkennen und abwehren, bevor es zu grösseren Schäden kommt. Ein weiterer Bereich ist deren cloudbasiertes External Attack Surface Management (EASM). Durch den Einsatz von EASM kann die Angriffsfläche des Unternehmens gezielter verwaltet werden, was rasche und effiziente Gegenmassnahmen ermöglicht. So lassen sich Sicherheitsrisiken entdecken, bevor sie Hackern ausgenutzt werden.
Viele Referenzen
Specops kann mit seinen Security-Tools auf eine solide Basis an Referenzen verweisen. Nachfolgend zwei Beispiele. Bei der schottischen Behörde East Ayrshire Council ergab eine Überprüfung, dass 6.000 Mitarbeiter schwache Passwörter verwenden. „Wir hatten ein Problem mit zu schwachen Passwörtern“, erinnert sich deren ICT Security Manager Ian Aston. Er implementierte Specops Password Policy, um stärkere Passwörter erfolgreich durchzusetzen. Beim englischen Mid Cheshire NHS Foundation Trust ging es darum, die Passwortsicherheit durch kontinuierliche Scans nach kompromittierten Passwörtern zu verbessern. Nach der Bereitstellung von Specops Password Policy zusammen mit Breached Password Protection verbesserte sich die Situation erheblich. „Seit wir die kontinuierlichen Scans für Specops Breached Password Protection aktiviert haben, hat sich unsere Passwort-Sicherheit deutlich gesteigert“, sagt deren Cyber Security Manager Stuart Lawton.
Fazit
Passwortsicherheit ist das A & O einer jeden IT-Sicherheits-Strategie. Specops bietet hierzu leistungsstarke Tools an, die schwache Passwörter blockieren und die Benutzerauthentifizierung bestmöglich sichern. Mit einem kompletten Portfolio von Lösungen, die nativ in Active Directory integriert sind, stellt Specops sicher, dass sensible Daten vor Ort und unter der eigenen Kontrolle gespeichert werden.