Trotz Mehrfaktor-Authentifizierung und fortschrittlichen Lösungen wie Gesichtserkennung, Fingerabdruckscans oder Hardware-Tokens sind Passwörter immer noch eine zentrale Säule für die Datensicherheit. Sie sind aber auch das schwächste Glied in der Kette: Oft genügt schon ein einziges geleaktes Kennwort, um Cyberkriminellen den Zugang zu sensiblen Unternehmensbereichen zu ermöglichen. Doch mit den richtigen Hilfsmitteln lässt sich die Passwort-Strategie optimieren.
„Die Bedrohungslage im Cyberraum ist so hoch wie nie zuvor“ – davon geht das Bundesministerium für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der IT-Sicherheit 2022 aus. Während die erkannten Schwachstellen in Softwareprodukten um 10 % auf 20.174 wuchsen, stieg die Anzahl der neuen Schadprogramm-Varianten im Berichtszeitraum auf rund 116 Millionen. Darüber hinaus richteten zahlreiche Ransomware-Attacken Millionenschäden in Unternehmen an.
Zusätzliche Authentifizierungshürden zur Abwehr von Cyberangriffen – mit Vor- und Nachteilen
Die angespannte und sich weiter zuspitzende Situation erfordert von kleinen, mittleren und großen Unternehmen einen deutlich erhöhten Fokus auf die Integrität der Sicherheitsinfrastruktur. Mit verschiedenen Authentifizierungsmethoden sollen Hacker-Attacken auf digitale Angebote und externe Zugänge ins Unternehmensnetz erschwert werden – doch im Zuge des Trends zum Home-Office stellen sie ein zusätzliches Einfallstor für Cyberkriminelle dar:
- Mehrfaktor-Authentifizierung geht Hand in Hand mit einer Passworteingabe. Dabei wird die Identität des Nutzers über eine oder mehrere weitere Sicherheitsschranken wie Software-Schlüssel auf der lokalen Festplatte oder einen USB-Stick, einen Bestätigungscode via SMS an eine hinterlegte Mobilfunknummer oder den Scan eines QR-Codes über die Kamera eines Authenticators geprüft.
Nachteile: Gelangen die Schlüsseldateien, das Mobiltelefon oder die Authenticator-Hardware in den Besitz von Kriminellen, kann diese Sicherheitsschleuse problemlos ausgehebelt werden – dann hilft nur noch ein starkes Kennwort gegen einen illegalen Zugriff. Zusätzlich sorgen die sogenannte „MFA-Fatique“ (Ermüdung oder Zermürbung des Users wegen zahlreicher Verifizierungsanfragen) und ausgefuchste Abfangmaßnahmen (wie Man-in-the-Middle-Attacks) von Seiten der Angreifer dafür, dass Unberechtigte trotz MFA einen Zugang erlangen können.
- Biometrische Faktoren werten biometrische Merkmale der Nutzer aus und vergleichen sie mit den hinterlegten Dateien, zum Beispiel Gesichtsaufnahmen. Das ermöglich eine unkomplizierte Anmeldung im lokalen Windows-Account oder per Remote-Zugang im Unternehmensnetzwerk.
Nachteile: Bei unausgereiften Systemen genügt oftmals eine gute Nachbildung, um die Systeme zu umgehen. Auch lassen sich biometrische Merkmale bekannterweise schwer ändern oder weitergeben.
- Access Tokens oder Keys sind gern gewählte Authentifizierungsmaßnahmen, die erfordern, dass zum Beispiel ein spezieller USB-Stick oder -Token mit dem Rechner verbunden ist, auf dem die Authentifizierung erfolgen soll.
Nachteil: Diese Systeme sind oftmals nicht besonders kostengünstig in der Umsetzung und schwierig, bei großen Mitarbeiterzahlen umzusetzen. Ein Verlust oder gar das Vergessen des Tokens führt dazu, dass ein alternativer Weg zur Authentifizierung nötig ist, wenn man sich dann einloggen möchte.
Das Passwort als effiziente Sicherheitsschranke
Aufgrund der dargestellten Nachteile oder weil sich zusätzliche Sicherheitsabfragen nicht immer verwenden lassen – etwa unterwegs auf einem Notebook oder bei Verlust des Faktors –, ist die klassische Anmeldung per Passwort oft unumgänglich. Auch als zusätzlicher Schutz in Kombination mit einer den beschriebenen Faktoren leistet ein starkes Kennwort wertvolle Dienste.
Folgende Aspekte sollten in der Passwortrichtlinie eines Unternehmens besonders berücksichtigt werden:
- Kennwortlänge: Die meisten Kennwörter weltweit setzen sich aus acht Zeichen zusammen. Mit jedem weiteren Zeichen potenziert sich die Schutzwirkung gegen Brute-Force-Attacken.
- Zeichenraum: Idealerweise basieren Kennwörter auf allen 96 verfügbaren Zeichen auf einer Standardtastatur, darunter Groß- und Kleinschreibung, numerische Werte und Sonderzeichen.
- Iterationen: Damit ist gemeint, aufeinanderfolgende Zeichen wie „1234“ oder „abcd“ zurückzuweisen. Besonders beliebt ist das bei der Änderung von Kennwörtern.
- Typische Ersetzungen: Vom Ersetzen von Buchstaben durch ähnlich aussehende Sonderzeichen wie in „P@55w0rt“ (Fachjargon „Leetspeak“) ist abzuraten.
- Unterstützung von Passphrasen: Längere Kennwörter sind ungleich schwerer zu knacken als kurze Passwörter. Allerdings lassen sich kryptische Sequenzen nur schwer merken. Deshalb sollte die Richtlinie auch Passphrasen erlauben, die sich aus mehreren Wörtern im Klartext zusammensetzen und damit oft länger als 20 Zeichen sind.
- Erkennen kompromittierter Passwörter: Basierend auf lokalen Datenbeständen und externen Listen sollten Kennwörter, die bei vorangegangenen Breaches erbeutet und danach publiziert wurden, erkannt und von der Vergabe ausgeschlossen werden. Das bietet zusätzlichen Schutz gegen Passwort-Spraying-Attacken.
- Flexible Erneuerung von Kennwörtern: Hier scheiden sich die Geister, und Behörden empfehlen, keine festgelegten Ablaufdaten für Kennwörter mehr zu nutzen. Aufgrund der Wahrscheinlichkeit, dass selbst ein starkes Kennwort einmal aus Versehen kompromittiert wird, empfiehlt es sich dennoch, eine Kennwortänderung basierend auf der Länge des Passwortes umzusetzen. Dabei sollten geringfügige Änderungen sowie Iterationen zurückgewiesen werden.
„Fine Grained Password Policies“ im Active Directory
In großen Unternehmensnetzwerken werden die Passwortrichtlinien in den Gruppenrichtlinien des Active Directory definiert und lassen sich oft nur mit großem Aufwand an erweiterte Sicherheitsvorgaben anpassen. Zudem lassen sich oftmals verpflichtende Merkmale, wie sie von Organisationen wie dem BSI empfohlen werden, nicht ohne weiteres im Active Directory umsetzen.
Mit „Specops Password Policy“ bekommen IT-Verantwortliche und Systemadministratoren ein leistungsstarkes Tool an die Hand, das die schnelle und unkomplizierte Definition moderner Passwortrichtlinien auf Gruppenebene vereinfacht. Dabei lassen sich Empfehlungen von Sicherheitsbehörden wie BSI, NIST, CJIS, NCSC, ANSSI oder CNIL problemlos umsetzen. Zusätzlich steht mit der „Managed Service Breached Password Protection“ eine Datenbank mit derzeit mehr als drei Milliarden kompromittierten Kennwörtern zur Verfügung, die sich aus aktuellen und vergangenen Datenleaks sowie Daten, die aus eigenen Honeypots gesammelt werden, zusammensetzt.
Specops Password Policy ermöglicht die Integration feinkörniger Passwortrichtlinien („Fine Grained Password Policies“) innerhalb eines übersichtlichen Benutzerinterfaces.
Zur Überprüfung vorhandener Passwortrichtlinien leistet das kostenlose Tool „Specops Password Auditor“ wertvolle Dienste. Damit werden die Passwortrichtlinien einer Domain tiefgehend analysiert. Geprüft werden dabei unter anderem die Möglichkeiten zur Vergabe sicherer Kennwörter, ob Konten mit kompromittierten, schwachen und/oder abgelaufenen Passwörtern vorhanden sind, und welche passwortrelevanten Einstellungen in Ihrem Active Directory für weitere Sicherheitsmaßnahmen interessant sein könnten.
Fazit: Starke Passwörter sind wichtig wie nie zuvor
Trotz fortschrittlicher Technologien wie Mehrfaktor-Authentifizierung, Hardware- Tokens oder Gesichts- und Fingerabdruckerkennung kommt starken Passwörtern immer noch eine zentrale Rolle bei der Sicherung von Unternehmensnetzwerken zu. Mit Tools wie Password Policy oder Password Auditor von Specops lassen sich Passwortrichtlinien bis ins kleinste Detail realisieren und prüfen. Damit lassen sich unternehmensweit Kennwörter etablieren, die sich durch eine hohe Resistenz gegen Cyberangriffe auszeichnen.
kommentar field
