Meldung

Sichere Passwörter allein reichen nicht

Das britische National Cyber Security Centre hat herausgefunden, dass weltweit 23 Millionen Menschen das Passwort "123456" verwenden. Der heutige Welt-Passwort-Tag hat also seine Berechtigung und Sicherheitsexperten überschlagen sich mit nützlichen Tipps. Ein gemeinsamer Tenor dabei: Ein sicheres Passwort kann nur der erste Schritt sein.
Ein Passwort muss sicher sein, stellt jedoch nur einen Teil eines unternehmensweiten Zugriffskonzepts dar.
Checkpoint [1] geht die Sache eher konventionell an und gibt fünf Tipps, wie sich ein Kennwort besonders sicher gestalten lässt. Zunächst sollte es immer aus einer zufälligen Folge aus einer Kombination verschiedener Zahlen, Buchstaben und Symbole bestehen. Außerdem sei es wichtig, für jede App und jeden Dienst ein unterschiedliches Kennwort zu verwenden. Der Grundsatz "je länger, desto stärker" sowie das regelmäßige Ändern des Zugangsworts gehören laut Checkpoint ebenso zum Passwortmanagement. Und auch wenn die Credentials sicher gewählt sind, empfiehlt der Anbieter für einen umfassenden Schutz die die Implementierung einer Zweifaktor-Authentifizierung.

Ins gleiche Horn stößt Skyhigh Security [2] Es reiche heute nicht mehr aus, nur einen Benutzernamen und ein Passwort zu haben. Unternehmen müssen darüber hinausgehen und sicherere Verfahren anbieten, zum Beispiel durch Einführung von Multifaktor-Authentifizierung. Der zweite Schritt ist laut dem Anbieter die Umsetzung von "Zero Trust" im gesamten Unternehmensnetz. Das bedeutet, dass den Benutzern nicht automatisch Vertrauen geschenkt wird, sondern, dass sie es sich durch ihre Anmeldemuster und ihr Verhalten "verdienen" müssen.

Wie sich Zero Trust in der Praxis umsetzen lässt, damit beschäftigen sich die Experten von Versa Networks [3]. Technologien wie Secure Access Service Edge (SASE) sollen dafür sorgen, dass Benutzer erst dann Zugang zum Netzwerk erhalten, wenn sie ordnungsgemäß identifiziert sind und bestätigt wurde, dass sie über die richtigen Anmeldedaten verfügen. Zudem sollten Nutzer immer nur auf das zugreifen können, was sie für die Ausübung ihrer jeweiligen Tätigkeit auch tatsächlich benötigen: Durch diese Segmentierung des Netzwerks wird die Bewegung von Malware eingeschränkt.

Thales [4] stellt sich die grundsätzliche Frage, ob gewöhnliche Passwörter überhaupt noch ausreichend Sicherheit für die Authentifizierungsprozesse der Unternehmen bieten können. Organisationen sollten stattdessen zuverlässigere Zugriffsmanagementlösungen, wie passwortlose Authentifizierung auf der Grundlage von FIDO einsetzen. Eine weitere Möglichkeit stellen zertifikatsbasierte PKI-Authentifizierung und richtlinienbasierte Zugriffs- und Cloud-Zugriffsmanagementlösungen dar. Nur so ließen sich die inhärenten Schwachstellen von textbasierten Passwörtern überwinden.

Explizit auf die Risiken der Cloudnutzung weist Orca Security [5] hin: Angesichts einer sich ständig erweiternden Bedrohungslandschaft müssen Unternehmen in der Lage sein, alle Passwörter und geheimen Schlüssel zu finden, die fälschlicherweise in ihren Cloudbeständen gespeichert wurden und bei Diebstahl ein ernstes Sicherheitsrisiko darstellen. Das Forschungsteam des Anbieters hat kürzlich herausgefunden, dass eins von drei Unternehmen Root-Admin-Zugriff auf Cloudkonten ohne MFA bereitgestellt hat – was zeige, welchen Schaden ein Passwort anrichten kann.

Delinea wiederum [6] betont, dass Automatisierung auch bei der Kennwortverwaltung wichtig ist, Für Unternehmen sollte ein Passwortmanager mittlerweile eine Standardimplementierung sein, ebenso wie spezielle Kontrollen von privilegierten Zugängen. Diese ermöglichen es, Passwörter zu automatisieren, zu rotieren und abzusichern. Um noch einen Schritt weiter zu gehen, sollten Firmen nicht nur auf ihre interne Passworthygiene achten, sondern auch ihre Zulieferer und Auftragnehmer unter die Lupe nehmen.

Von CyberArk [7] kommt schließlich der Hinweis, dass nicht nur Menschen für Angreifer interessant sind, sondern auch Software-Bots – kleine Codeteile, die sich wiederholende Aufgaben erledigen. Cyberkriminelle haben es besonders auf diese Bots abgesehen, weil sie wissen, dass ihre Passwörter in vielen Fällen unregelmäßig geändert werden. Außerdem haben Bots in der Regel zu viele Berechtigungen und mehr Zugriffsmöglichkeiten als nötig. Zudem sei es wichtig, hart kodierte Kennwörter zu eliminieren und Secrets zu schützen, die über die gesamte Umgebung verteilt sind.
5.05.2022/ln

Tipps & Tools

Naturkatastrophen treffen auf Disaster Recovery [12.05.2022]

Der Klimawandel macht auch vor Deutschland keinen Halt. Ob Flut, Waldbrand oder Tornado – derartige Naturkatastrophen lassen sich immer öfter beobachten und können für Unternehmen schwerwiegende Folgen nach sich ziehen. Besonders wenn das eigene Rechenzentrum oder das des Cloudanbieters betroffen ist, droht Datenverlust. Wie Disaster-Recovery-Pläne und darauf abgestimmte Backupsysteme bei einem Ernstfall helfen können, erläutert unser Fachartikel. [mehr]

Exchange verabschiedet Basic-Auth-Anmeldung im Herbst [10.05.2022]

Microsoft schaltet zum 1. Oktober das Basic-Auth-Verfahren zur Anmeldung an Exchange-Online-Postfächern ab. Das Authenifizierungsverfahren gilt als äußerst unsicher, da eine Klartextübertragung der Anmeldedaten, die lediglich Base64-kodiert sind, stattfindet. Diese Maßnahme war überfällig, denn laut Microsoft ist Basic-Auth eine der am häufigsten genutzten Schwachstellen zur Kompromittierung der Nutzerdaten – wobei die Anzahl der Angriffe darauf noch laut Redmond noch immer ansteigt. [mehr]

Fachartikel

Pass-the-Hash-Angriffe vermeiden (3) [16.05.2022]

Mit einer erfolgreichen Pass-the-Hash-Attacke wird ein Angreifer leicht Administrator der Windows-Domäne. Doch weil es technisch sehr schwierig ist, Inhalte des Arbeitsspeichers zu verteidigen, gibt es für die seit mehr als zwei Jahrzehnten bekannte Sicherheitslücke keinen Patch, sondern nur Empfehlungen für eine bessere Organisation der IT. Denn der ursprünglich sehr aufwändige Pass-the-Hash-Angriff ist heutzutage nur noch eine Sache weniger Klicks. Im dritten und letzten Teil der Workshopserie geht es unter anderem darum, warum sie überflüssiges Clientgeschwätz abschalten und generell die Anzahl der Konten reduzieren sollten. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen