Fachartikel

Schwache Passwörter vermeiden

Weltweit nehmen Datenschutzverletzungen durch Cyberkriminelle zu, manchmal mit fatalen wirtschaftlichen Konsequenzen für Unternehmen. Genauer betrachtet zeigt sich, dass oft selbst grundlegendste Regeln zur Passwortsicherheit nicht befolgt wurden. Woran das liegt, hat Specops Software erstmalig im Rahmen eines "Weak Passwort Reports" untersucht. Der Fachartikel stellt die Ergebnisse vor und erklärt, wie sich Schwachstellen oft schon mit wenigen Handgriffen beheben lassen.
Schwache Passwörter sollten im Jahr 2022 endgültig der Vergangenheit angehören.
Tagtäglich sehen sich Unternehmen mit hunderten bis tausenden Angriffen über Brute Force, Password Spraying oder Password Dictionary Attacks konfrontiert. Hilfreich ist es für die Angreifer, dass Listen kompromittierter Passwörter relativ leicht zu erhalten sind. Threat Actors könnten beispielsweise über einen Password-Spray-Angriff versuchen, Zugriff auf einen Terminalserver oder ein Exchange-Postfach zu erhalten. Da die Anzahl der Anmeldeversuche pro Benutzer in der Regel unter dem Schwellenwert der Account-Lockout-Richtlinie bleibt, geschehen diese Angriffe meist unerkannt. Besitzt der Angreifer aber einmal Benutzerprivilegien auf einem System, ist es nur eine Frage der Zeit, bis er dies erfolgreich ausweiten kann (Privilege Escalation).

Das Einfallstor: Die Fakten
Doch was macht Passwörter zum schwächsten Glied? Dies hat Specops Software erstmalig im Rahmen eines "Weak Passwort Reports" [1] untersucht. Die Forschungsergebnisse in diesem Bericht basieren auf eigenen Erhebungen und der Analyse von 800 Millionen kompromittierten Passwörtern. Der Report verdeutlicht, dass in einer zunehmend volatilen Cybersicherheits-Landschaft selbst vermeintlich starke Passwörter anfällig für Verstöße sind. So wurde festgestellt, dass

  • viele Passwörter auf leicht zu erratenen Begriffen basieren, mehrfach eingesetzt oder nur leicht abgewandelt werden für unterschiedliche Einsätze
  • 93 Prozent der Passwörter, die bei Brute-Force-Angriffen Verwendung finden, aus acht oder mehr Zeichen bestehen
  • 54 Prozent der Unternehmen über kein Tool zur Verwaltung von Passwörtern verfügen.
Trotz steigender Bedrohung gelingt es vielen Unternehmen nicht, strengere Passwortregeln und -richtlinien für Mitarbeiter zu implementieren. Die Untersuchung hat einige Schwachstellen offengelegt, auf denen die folgenden Empfehlungen zur Erhöhung der Passwortsicherheit fußen.

ISM-Integration und Datenschutzverordnung beachten
Der Passwortreport belegt: Angriffspunkt Nummer eins sind die Mitarbeiter beziehungsweise die von ihnen verwendeten schwachen Kennwörter. Deren Nutzung ist immer noch die häufigste, Methode, um sich im Netzwerk zu authentifizieren. Sofern starke Passwörter zum Einsatz kommen, ist diese Methode auch sehr sicher. Der Faktor Mensch kann sie zugleich aber auch zu einer Schwachstelle innerhalb der IT-Sicherheitskette machen – dann, wenn schwache oder kompromittierte Passwörter Verwendung finden.

Vor diesem Hintergrund gilt es für den IT-Sicherheitsbeauftragten, im ersten Schritt zu überprüfen, ob die dokumentierten Anforderungen an Passwortsicherheit als Bestandteil des eingesetzten ISMS (Information Security Management System) den aktuellen Empfehlungen des BSI Rechnung tragen. Im zweiten Schritt setzt dann das Infrastrukturteam die Anforderungen, wie im ISMS gefordert, um.

Auch bei der Authentifizierung durch Benutzername und Passwort sind regulatorische Vorgaben wie die DSGVO einzuhalten. Kennwörter, die leicht zu erraten sind oder in gängigen Passwortlisten auftauchen, dürfen nicht zum Einsatz kommen. Darüber hinaus muss sichergestellt sein, dass bestehende Zugangsdaten nicht kompromittiert sind. Denn kommt es zu einer Datenschutzverletzung und stellt sich heraus, dass die gesetzlichen Standards nicht befolgt worden sind, droht ein empfindliches Bußgeld. Außerdem sollten die Empfehlungen des NIST (National Institute of Standards and Technology) und des BSI IT-Grundschutzes Berücksichtigung finden.

Startpunkt: Analyse des Ist-Zustands
Zunächst einmal ist es wichtig, eine Bestandsaufnahme der im Unternehmen verwendeten Passwortrichtlinien zu machen. Für dieses Sicherheits-Assessment helfen Tools wie der Specops Password Auditor. Er analysiert die Benutzerkonten im Active Directory auf sämtliche passwortrelevanten Schwachstellen. Die Software scannt und überprüft die Passwort-Hashes der Benutzerkonten und gleicht sie gegen eine Datenbank mit kompromittierten Passwörtern, eine sogenannte Breached-Password-List, ab.

Die Offline-Datenbank umfasst beispielsweise bei der kostenlosen Version des Specops Password Auditor mehr als 800 Millionen Passwort-Hashes, die in der Vergangenheit durch Datendiebstahl bekannt geworden sind. Bei kostenpflichtigen Angeboten sind die Datenbanken bedeutend größer: So umfasst die Specops-Gesamtdatenbank 2,6 Milliarden kompromittierte Kennwörter.

Die gesammelten Informationen landen anschließend in einem Audit-Bericht und ermöglichen es Unternehmen, die Sicherheitsrisiken, die sich aus der Verwendung der eingesetzten Passwortrichtlinien ergeben, zu bewerten. Aufgrund dieser Fakten kann die Geschäftsführung dann je nach Risikobereitschaft entscheiden, ob diese akzeptiert oder mitigiert werden sollen.

Dreh- und Angelpunkt: Starkes Passwort
Im Anschluss geht es darum, technische und / oder organisatorische Maßnahmen zu implementieren, die den Einsatz starker Passwörter im Idealfall unternehmensweit garantieren. Aber was sind eigentlich starke Passwörter, und wie oft sollten diese von den Mitarbeitern gewechselt werden? Es ist bekannt, dass zu häufige Passwortwechsel die Benutzer dazu verleiten, in Muster bei der Passwortvergabe zu verfallen, die sich leicht erraten lassen.

Nach den aktuellen Empfehlungen des BSI fällt die Notwendigkeit die Passwörter regelmäßig zu ändern sogar weg, wenn starke Passwörter Verwendung finden – es sei denn sie sind kompromittiert. Allerdings ist die Gefahr groß, dass ein Kennwort durch "über die Schulter schauen" aufgedeckt wird. Eine mögliche Richtlinie kann es daher beispielsweise sein, Passwörter zumindest einmal pro Jahr zu ändern.

Um deren Stärke zu gewährleisten ist es wichtig, möglichst lange Passwörter zu nutzen. Denn wo bisher beispielsweise eine Kennwortlänge mit mindestens acht Zeichen und hoher Komplexität als Empfehlung galt, ist heute klar, dass sich damit keine starken Kennwörter mehr bilden lassen. Im Gegenteil: Starke Passwörter müssen heute in erster Linie lang sein, dafür aber nicht mehr zwingend komplex. Eine einfache und effektive Methode ist es, Passphrasen zur Generierung starker Kennwörter zu nutzen. Zusammenfassend lautet die einfache Formel: Starkes Passwort = Lang + geringe Komplexität + nicht kompromittiert.

Die Durchsetzung dieser Richtlinien lässt sich durch den Einsatz einer Third Party Password Policy beziehungsweise eines externen Passwortfilters für das Active Directory sicherstellen. Insbesondere der Übergang von klassischen Richtlinien (Acht Zeichen plus hohe Komplexität) zu Passphrasen kann über ein längenbasiertes Ablaufdatum schonend erfolgen. Hierbei sind sehr detaillierte und rollenbasierte Richtlinien möglich. So ergibt es Sinn, dort festzulegen, dass privilegierte Konten mindestens eine Länge von 15 Zeichen haben müssen und unterschiedliche Regeln für Standard- und Admin-Accounts gelten. Um die Stärke der Passwörter noch besser zu gewährleisten, muss die IT zwingend alle Kennwörter gegen Listen mit kompromittierten Passwörtern validieren und einfach zu erratene Kennwörter blockieren.

Fazit
Die Bedrohungslage durch Cyberkriminelle nimmt weiter zu. Gleichzeitig ist die Durchsetzung von starken Passwörtern ist einer sich zunehmend dezentral organisierten Unternehmenswelt wichtiger denn je. Nötig ist es daher, die Schwachstelle Passwort in einen effektiven Schutz und aktiven Posten in der Gefahrenabwehr umzugestalten. Hilfreich, wenn nicht unentbehrlich, ist dabei der Einsatz von Password Policies als technische Maßnahme, die individuell auf die Sicherheitsbedürfnisse des Unternehmens zugeschnitten ist und es den Benutzern ermöglichen, starke Passwörter zu erstellen, die in Echtzeit auf Kompromittierung überprüft werden.
22.06.2022/ln/Stephan Halbmeier, Product Specialist bei Specops Software

Nachrichten

NoSpamProxy 14 unterstützt S/MIME 4 [1.07.2022]

NoSpamProxy steht ab sofort in der Version 14 zur Verfügung. Neue Funktionen wie S/MIME-4-Support, der Metadaten-Service 32Guards und Flow Guard sowie eine neue Web-App für die Administration sollen die E-Mail-Kommunikation noch besser schützen und die Konfiguration vereinfachen. [mehr]

Cloudsecurity ist Hauptsorge von Sicherheitsexperten [29.06.2022]

Cloudsicherheit bereitet Cybersecurity-Experten aktuell die größte Sorge, wie eine Umfrage von Delinea zeigt. Dabei wurden im Rahmen der diesjährigen RSA Conference in San Francisco mehr als 100 Sicherheitsfachleute zu ihren derzeit größten Problemen sowie ihren Cyberhygiene-Praktiken interviewt. Für 37 Prozent der Befragten ist die Absicherung der Cloud demnach Hauptanlass zur Besorgnis, gefolgt von Ransomware sowie einer verteilt arbeitenden Belegschaft. [mehr]

Tipps & Tools

Online-Intensivseminar "Hyper-V unter Windows Server 2019" [13.06.2022]

Allen Public-Cloud-Trends zum Trotz: Die lokale Virtualisierung ist bei vielen Unternehmen nach wie vor die sicherere Basis des IT-Betriebs. Lernen Sie in unserem dreitägigen Intensivseminar deshalb, wie diese optimal mit Microsofts Hyper-V gelingt. Dabei führt Sie die Onlineveranstaltung durch die komplette Arbeit mit virtuellen Maschinen – vom Erstellen, dem Anbinden ans Netz bis hin zur Versorgung mit passendem Speicher – Hochverfügbarkeit und Replikation der VMs inklusive. Die Veranstaltung findet vom 19. bis 21. Oktober virtuell statt. Zögern Sie nicht, sich Ihren Platz zu sichern – und vergessen Sie nicht, dass für Abonnenten wie immer ein Sondertarif gilt. [mehr]

AWS Summit 2022 Berlin: Cloud more in Germany [17.05.2022]

Nach zwei Jahren pandemiebedingtem Onlineformat startete der AWS Summit 2022 wieder als Präsenzveranstaltung in Berlin. Rund 7000 Teilnehmer folgten der Einladung von Amazon Web Services für die zwei Tage mit den inhaltlichen Schwerpunkten "Sicherheit im Cloudbereich" sowie "Machine Learning für jedermann" und sorgten für ein ausgebuchtes Event. [mehr]

Buchbesprechung

Kerberos

von Mark Pröhl und Daniel Kobras

Anzeigen