Sponsored

Schluss mit schwachen und kompromittierten Passwörtern in Active Directory

image
Illustration: Erstellt mit Midjourney

Passwörter sind immer noch die wich­tigste Methode zur Authentifizierung von Nutzern und zur Absicherung des Zugriffs auf Daten Ihrer Organisation. Das macht sie aber auch zu beliebten Zielen der Cyberkriminellen. Doch es gibt Tools und Methoden, um die Passwortsicherheit wirkungsvoll zu verbessern.

Am 2. Mai war der diesjährige Welt-Passwort-Tag. Dieser Aktionstag soll die vielen Internet-User daran erinnern, wie wichtig starke Passwörter sind. Vorausgegangen war am 1. Februar schon der Ändere-Dein-Passwort-Tag, an dem jeder seine Passwörter ändern sollte. Beide Tage dienen vor allem dazu, die Enduser zu einem besseren Umgang mit Passwörtern zu motivieren. Wie notwendig das ist, hat das Berliner Hasso-Plattner-Institut herausgefunden. Danach war im vorigen Jahr das beliebteste unsichere Passwort 123456789.
Dass Passwörter bei der Unternehmens-Security so wichtig sind, hat einen einfachen Grund: Ein einziges schwaches Passwort im Active Directory kann das Einfallstor für Erpressungsversuche, Spionage oder den Diebstahl von sensiblen personenbezogenen Daten sein und grosse finanzielle Schäden und Imageverluste bedeuten. Microsoft berichtet, dass im Jahr 2023 jede Sekunde über 4000 passwortbasierte Cyberangriffe alleine gegen Entra ID stattfanden und die Verwendung eines bereits kompromittierten Passworts bei der Vergabe von Passwörtern stieg laut einer Analyse von 2022 auf 5,8 Milliarden pro Monat. Erste Massnahme: Passwort regelmässig ändern
Zwar wird diese Empfehlung häufig diskutiert doch in vielen Unternehmen müssen die Passwörter regelmässig geändert werden. Allerdings rücken viele Institutionen langsam davon ab. So verlangt das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) im Grundschutz (ORP.4.A8 ), dass Passwörter erst dann gewechselt werden sollen, wenn der Verdacht besteht, dass es kompromittiert wurde. Doch wie kann man ermitteln, ob ein Passwort weiterhin sicher und stark ist? Wann kann ich mich drauf verlassen, dass die Passwörter von Mitarbeitern stark genug sein müssten, um Brute-Force Angriffen standzuhalten? Nötig ist vor allem eine Passwort-Richtlinie als Teil der gesamten IT-Sicherheitsarchitektur. Darin ist die Mindestlänge, die Komplexität und der regelmässige Austausch genau festgelegt. Als erstes Qualitätskriterium dient, wie schnell ein Angreifer durch Brute-Force- oder Wörterbuch-Angriffe das Passwort knacken kann.
image
Komplexität oder Länge? Auch lange Passwörter können eine harte Nuss für Angreifer darstellen.
Die menschlichen Schwächen
Doch auch das allerbeste Passwort nützt nichts, wenn es fahrlässig oder unbewusst preisgegeben wird. Beispielsweise, indem es für mehrere berufliche und private Accounts oder Logins verwendet wird, beim Online-Arbeiten im Zug, im Café oder im Flugzeug durch unsichere WIFI-Access-Points abgegriffen wurde oder wenn man auf einen Phishing-Trick hereinfällt. Letzteres wird derzeit mithilfe von KI und Deepfake immer raffinierter, sodass es immer schwieriger wird, solche Machenschaften zu erkennen. Auch das Web-Spoofing, also das Erstellen einer falschen Website, die sich als die des Unternehmens ausgibt, greift immer weiter um sich. Hinzu kommen die Bedrohungen aufgrund der rasanten Zunahme bei den Kollaborationstools, die eine neue Bedrohungsart darstellen.
image
Auch Malwareinfektionen auf beruflich oder privat genutzten Geräten können dazu führen, dass Passwörter kompromittiert werden.
Tools, die der IT-Security die Arbeit erleichtern
Zum Glück gibt es heute eine Reihe an Tools und Methoden, mit denen die Vergabe von starken Passwörtern bei Nutzern und Servicekonten gefördert werden kann. Beispielsweise mit Specops Password Policy, dieser Anbieter gehört zum Security-Spezialisten Outpost24, und dessen Lösung erlaubt es, in einer Active Directory-Umgebung alle Anforderungen an die Passwortsicherheit nach dem aktuellen Stand der Technik durchzusetzen. Die Verwaltung der Kennwortrichtlinien als Gruppenrichtlinien erlaubt eine gezieltere Verteilung der Komplexitätsanforderungen beispielsweise je nach Zugriffsrechten der einzelnen Gruppen innerhalb einer Domäne.
Ein besonders Feature ist der kontinuierliche Abgleich der Passwörter in Active Directory mit einer Datenbank aus über vier Milliarden kompromittierten Passwörtern. Diese stammen aus Passwortdumps, Honeypotsystemen sowie aus Infostealer-Logs sodass Sie immer auf dem aktuellen Stand sind. Taucht eines davon im Unternehmen auf, wird es sofort blockiert. So können Sie die aktuellen Passwort-Empfehlungen der Sicherheitsbehörden, wie BSI, NIST, CJIS, NCSC, ANSSI oder CNIL einfach und schnell umsetzen.
Mehr Passwortsicherheit in Ihrer Organisation - Jetzt kostenlos testen!
Auch die Benutzerfreundlichkeit spielt beim Umgang mit Passwörtern eine große Rolle, so können Sie mithilfe von separaten Richtlinien für Passphrasen Ihre Nutzer dazu animieren, längere und einfach zu merkende Kennwörter zu erstellen. Schlummern bereits kompromittierte Kennwörter in Ihrem Active Directory oder wollen Sie überprüfen, ob es andere passwortrelevante Schwachstellen in Ihrer Organisation gibt? Dann hilft der kostenlose Specops Password Auditor dabei einen ersten Überblick über die Lage zu gewinnen.
image
Mit dem Read-Only-Scan des Specops Password Auditor überprüfen Sie Ihr Active Directory auf über 950 Millionen kompromittierte Kennwörter
Mehr als Passwort-Sicherheit
Outpost24, die Muttergesellschaft von Specops, bietet mehr als nur eine umfangreiche Lösung zur Verbesserung der Passwortsicherheit. Deren modularen Cyber Threat Intelligence-Lösung sammelt und analysiert das Verhalten von Angreifern in Ihrer Branche in Echtzeit. So lassen sich viele Gefahren – wie kompromittierte Kennwörter oder geplante Phishing-Angriffe auf Ihre Organisation – erkennen und abwehren, bevor es zu grösseren Schäden kommt. Ein weiterer Bereich ist deren cloudbasiertes External Attack Surface Management (EASM). Durch den Einsatz von EASM kann die Angriffsfläche des Unternehmens gezielter verwaltet werden, was rasche und effiziente Gegenmassnahmen ermöglicht. So lassen sich Sicherheitsrisiken entdecken, bevor sie Hackern ausgenutzt werden. Viele Referenzen
Specops kann mit seinen Security-Tools auf eine solide Basis an Referenzen verweisen. Nachfolgend zwei Beispiele. Bei der schottischen Behörde East Ayrshire Council ergab eine Überprüfung, dass 6.000 Mitarbeiter schwache Passwörter verwenden. „Wir hatten ein Problem mit zu schwachen Passwörtern“, erinnert sich deren ICT Security Manager Ian Aston. Er implementierte Specops Password Policy, um stärkere Passwörter erfolgreich durchzusetzen. Beim englischen Mid Cheshire NHS Foundation Trust ging es darum, die Passwortsicherheit durch kontinuierliche Scans nach kompromittierten Passwörtern zu verbessern. Nach der Bereitstellung von Specops Password Policy zusammen mit Breached Password Protection verbesserte sich die Situation erheblich. „Seit wir die kontinuierlichen Scans für Specops Breached Password Protection aktiviert haben, hat sich unsere Passwort-Sicherheit deutlich gesteigert“, sagt deren Cyber ​​Security Manager Stuart Lawton. Fazit
Passwortsicherheit ist das A & O einer jeden IT-Sicherheits-Strategie. Specops bietet hierzu leistungsstarke Tools an, die schwache Passwörter blockieren und die Benutzerauthentifizierung bestmöglich sichern. Mit einem kompletten Portfolio von Lösungen, die nativ in Active Directory integriert sind, stellt Specops sicher, dass sensible Daten vor Ort und unter der eigenen Kontrolle gespeichert werden.

Loading

Mehr erfahren

Mehr zum Thema

image

Aargau spart bei der Informations­sicherheit

Der Aargauer Regierungsrat will die Cybersicherheit im Kanton für mehrere Millionen verbessern. Einer bürgerlichen Mehrheit im Parlament kostet das aber zu viel.

publiziert am 2.7.2024
image

Schwerwiegende Lücke in OpenSSH entdeckt

Angreifer können sich aus der Ferne Zugriff auf Systeme verschaffen und beliebigen Code ausführen.

publiziert am 2.7.2024
image

Cyberangriff auf Teamviewer

Das Unternehmen hat den Angriff bestätigt. Es gebe keine Anzeichen, dass Kundendaten kompromittiert worden seien.

publiziert am 28.6.2024
image

Das NTC veröffentlicht Schwachstellen

Das Nationale Testinstitut für Cybersicherheit wird auf seinem "Vulnerability Hub" in Zukunft die von ihm gefundenen Schwachstellen veröffentlichen.

publiziert am 28.6.2024