von Redaktion IT-A…
Lesezeit
2 Minuten
Sichere Passwörter allein reichen nicht
Das britische National Cyber Security Centre hat herausgefunden, dass weltweit 23 Millionen Menschen das Passwort "123456" verwenden. Der heutige Welt-Passwort-Tag hat also seine Berechtigung und Sicherheitsexperten überschlagen sich mit nützlichen Tipps. Ein gemeinsamer Tenor dabei: Ein sicheres Passwort kann nur der erste Schritt sein.
Checkpoint [1] geht die Sache eher konventionell an und gibt fünf Tipps, wie sich ein Kennwort besonders sicher gestalten lässt. Zunächst sollte es immer aus einer zufälligen Folge aus einer Kombination verschiedener Zahlen, Buchstaben und Symbole bestehen. Außerdem sei es wichtig, für jede App und jeden Dienst ein unterschiedliches Kennwort zu verwenden. Der Grundsatz "je länger, desto stärker" sowie das regelmäßige Ändern des Zugangsworts gehören laut Checkpoint ebenso zum Passwortmanagement. Und auch wenn die Credentials sicher gewählt sind, empfiehlt der Anbieter für einen umfassenden Schutz die die Implementierung einer Zweifaktor-Authentifizierung.
Ins gleiche Horn stößt Skyhigh Security [2] Es reiche heute nicht mehr aus, nur einen Benutzernamen und ein Passwort zu haben. Unternehmen müssen darüber hinausgehen und sicherere Verfahren anbieten, zum Beispiel durch Einführung von Multifaktor-Authentifizierung. Der zweite Schritt ist laut dem Anbieter die Umsetzung von "Zero Trust" im gesamten Unternehmensnetz. Das bedeutet, dass den Benutzern nicht automatisch Vertrauen geschenkt wird, sondern, dass sie es sich durch ihre Anmeldemuster und ihr Verhalten "verdienen" müssen.
Wie sich Zero Trust in der Praxis umsetzen lässt, damit beschäftigen sich die Experten von Versa Networks [3]. Technologien wie Secure Access Service Edge (SASE) sollen dafür sorgen, dass Benutzer erst dann Zugang zum Netzwerk erhalten, wenn sie ordnungsgemäß identifiziert sind und bestätigt wurde, dass sie über die richtigen Anmeldedaten verfügen. Zudem sollten Nutzer immer nur auf das zugreifen können, was sie für die Ausübung ihrer jeweiligen Tätigkeit auch tatsächlich benötigen: Durch diese Segmentierung des Netzwerks wird die Bewegung von Malware eingeschränkt.
Thales [4] stellt sich die grundsätzliche Frage, ob gewöhnliche Passwörter überhaupt noch ausreichend Sicherheit für die Authentifizierungsprozesse der Unternehmen bieten können. Organisationen sollten stattdessen zuverlässigere Zugriffsmanagementlösungen, wie passwortlose Authentifizierung auf der Grundlage von FIDO einsetzen. Eine weitere Möglichkeit stellen zertifikatsbasierte PKI-Authentifizierung und richtlinienbasierte Zugriffs- und Cloud-Zugriffsmanagementlösungen dar. Nur so ließen sich die inhärenten Schwachstellen von textbasierten Passwörtern überwinden.
Explizit auf die Risiken der Cloudnutzung weist Orca Security [5] hin: Angesichts einer sich ständig erweiternden Bedrohungslandschaft müssen Unternehmen in der Lage sein, alle Passwörter und geheimen Schlüssel zu finden, die fälschlicherweise in ihren Cloudbeständen gespeichert wurden und bei Diebstahl ein ernstes Sicherheitsrisiko darstellen. Das Forschungsteam des Anbieters hat kürzlich herausgefunden, dass eins von drei Unternehmen Root-Admin-Zugriff auf Cloudkonten ohne MFA bereitgestellt hat – was zeige, welchen Schaden ein Passwort anrichten kann.
Delinea wiederum [6] betont, dass Automatisierung auch bei der Kennwortverwaltung wichtig ist, Für Unternehmen sollte ein Passwortmanager mittlerweile eine Standardimplementierung sein, ebenso wie spezielle Kontrollen von privilegierten Zugängen. Diese ermöglichen es, Passwörter zu automatisieren, zu rotieren und abzusichern. Um noch einen Schritt weiter zu gehen, sollten Firmen nicht nur auf ihre interne Passworthygiene achten, sondern auch ihre Zulieferer und Auftragnehmer unter die Lupe nehmen.
Von CyberArk [7] kommt schließlich der Hinweis, dass nicht nur Menschen für Angreifer interessant sind, sondern auch Software-Bots – kleine Codeteile, die sich wiederholende Aufgaben erledigen. Cyberkriminelle haben es besonders auf diese Bots abgesehen, weil sie wissen, dass ihre Passwörter in vielen Fällen unregelmäßig geändert werden. Außerdem haben Bots in der Regel zu viele Berechtigungen und mehr Zugriffsmöglichkeiten als nötig. Zudem sei es wichtig, hart kodierte Kennwörter zu eliminieren und Secrets zu schützen, die über die gesamte Umgebung verteilt sind.
ln
[1] www.checkpoint.com/de/
[2] www.skyhighsecurity.com/en-us/index.html
[3] https://versa-networks.com/de/
[4] www.thalesgroup.com/de/europe/deutschland
[5] https://orca.security/de/
[6] https://delinea.com
[7] www.cyberark.com/de/
Ins gleiche Horn stößt Skyhigh Security [2] Es reiche heute nicht mehr aus, nur einen Benutzernamen und ein Passwort zu haben. Unternehmen müssen darüber hinausgehen und sicherere Verfahren anbieten, zum Beispiel durch Einführung von Multifaktor-Authentifizierung. Der zweite Schritt ist laut dem Anbieter die Umsetzung von "Zero Trust" im gesamten Unternehmensnetz. Das bedeutet, dass den Benutzern nicht automatisch Vertrauen geschenkt wird, sondern, dass sie es sich durch ihre Anmeldemuster und ihr Verhalten "verdienen" müssen.
Wie sich Zero Trust in der Praxis umsetzen lässt, damit beschäftigen sich die Experten von Versa Networks [3]. Technologien wie Secure Access Service Edge (SASE) sollen dafür sorgen, dass Benutzer erst dann Zugang zum Netzwerk erhalten, wenn sie ordnungsgemäß identifiziert sind und bestätigt wurde, dass sie über die richtigen Anmeldedaten verfügen. Zudem sollten Nutzer immer nur auf das zugreifen können, was sie für die Ausübung ihrer jeweiligen Tätigkeit auch tatsächlich benötigen: Durch diese Segmentierung des Netzwerks wird die Bewegung von Malware eingeschränkt.
Thales [4] stellt sich die grundsätzliche Frage, ob gewöhnliche Passwörter überhaupt noch ausreichend Sicherheit für die Authentifizierungsprozesse der Unternehmen bieten können. Organisationen sollten stattdessen zuverlässigere Zugriffsmanagementlösungen, wie passwortlose Authentifizierung auf der Grundlage von FIDO einsetzen. Eine weitere Möglichkeit stellen zertifikatsbasierte PKI-Authentifizierung und richtlinienbasierte Zugriffs- und Cloud-Zugriffsmanagementlösungen dar. Nur so ließen sich die inhärenten Schwachstellen von textbasierten Passwörtern überwinden.
Explizit auf die Risiken der Cloudnutzung weist Orca Security [5] hin: Angesichts einer sich ständig erweiternden Bedrohungslandschaft müssen Unternehmen in der Lage sein, alle Passwörter und geheimen Schlüssel zu finden, die fälschlicherweise in ihren Cloudbeständen gespeichert wurden und bei Diebstahl ein ernstes Sicherheitsrisiko darstellen. Das Forschungsteam des Anbieters hat kürzlich herausgefunden, dass eins von drei Unternehmen Root-Admin-Zugriff auf Cloudkonten ohne MFA bereitgestellt hat – was zeige, welchen Schaden ein Passwort anrichten kann.
Delinea wiederum [6] betont, dass Automatisierung auch bei der Kennwortverwaltung wichtig ist, Für Unternehmen sollte ein Passwortmanager mittlerweile eine Standardimplementierung sein, ebenso wie spezielle Kontrollen von privilegierten Zugängen. Diese ermöglichen es, Passwörter zu automatisieren, zu rotieren und abzusichern. Um noch einen Schritt weiter zu gehen, sollten Firmen nicht nur auf ihre interne Passworthygiene achten, sondern auch ihre Zulieferer und Auftragnehmer unter die Lupe nehmen.
Von CyberArk [7] kommt schließlich der Hinweis, dass nicht nur Menschen für Angreifer interessant sind, sondern auch Software-Bots – kleine Codeteile, die sich wiederholende Aufgaben erledigen. Cyberkriminelle haben es besonders auf diese Bots abgesehen, weil sie wissen, dass ihre Passwörter in vielen Fällen unregelmäßig geändert werden. Außerdem haben Bots in der Regel zu viele Berechtigungen und mehr Zugriffsmöglichkeiten als nötig. Zudem sei es wichtig, hart kodierte Kennwörter zu eliminieren und Secrets zu schützen, die über die gesamte Umgebung verteilt sind.
ln
[1] www.checkpoint.com/de/
[2] www.skyhighsecurity.com/en-us/index.html
[3] https://versa-networks.com/de/
[4] www.thalesgroup.com/de/europe/deutschland
[5] https://orca.security/de/
[6] https://delinea.com
[7] www.cyberark.com/de/
