Drimalski & Partner Blog Benutzerkennwörter - Das unbemerkte Einfallstor

Benutzerkennwörter - Das unbemerkte Einfallstor

Sind wir ehrlich - Benutzerkennwörter sind für uns alle unbequem und der Fluch eines jeden IT-Verantwortlichen. Mitarbeiter möchten keinen häufigen Kennwortwechsel und wissen oftmals nicht, worauf es bei einem „sicheren Kennwort“ überhaupt ankommt. In der Folge verwenden Mitarbeiter Kennwörter, welche vorhersehbaren Mustern folgen und somit für Dritte systematisch errechnet werden können.

Aus Sicht der IT-Sicherheit muss das Thema der Benutzerkennwörter jedoch ernst genommen werden. Auf der einen Seite investieren Unternehmen viel Zeit und Geld in IT-Sicherheitsmaßnahmen wie Firewalls oder Virenscanner. Das Risiko schwacher Benutzerkennwörter wird jedoch oftmals außer Acht gelassen. 

In diesem Beitrag zeigen wir auf, warum schwache Benutzerkennwörter ein Risiko für Unternehmensnetzwerke darstellen, wie Unternehmen sich wirksam schützen können und wie Sie Ihren Anwendern dennoch ein Stück entgegen kommen können. 

Warum stellen schwache Benutzerkennwörter ein Risiko dar?

Für den mobilen Zugriff auf das Unternehmensnetzwerk veröffentlichen Unternehmen Dienste wie Outlook Web Access, Exchange-ActiveSync, Outlook Anywhere oder VPN Einwahlen in das Internet. Diese Dienste sind öffentlich sichtbar, somit durch Externe permanent erreichbar und angreifbar. 

Schwache Benutzerkennwörter sind ein beliebter Einstiegspunkt, durch welchen Externe über das Internet in IT-Infrastrukturen eindringen. Als Grundlage nutzen die Angreifer Listen besonders schwacher oder bereits gestohlener Kennwörter. Verwenden Mitarbeiter Kennwörter unzureichender Qualität, werden Unternehmensdaten einem erhöhten Risiko ausgesetzt. 

Wie sieht die Realität in vielen Unternehmen aus?

Im Rahmen unserer IT-Sicherheitsaudits treffen wir in Unternehmen zumeist die klassische Form einer Kennwortrichtlinie an: 

  • Mindestlänge von 8 Zeichen 
  • Das Kennwort muss alle 3 Monate gewechselt werden 

In diesem Szenario können die Anwender sehr schwache Kennwörter wie "passwort" verwenden. 

Einige Unternehmen haben diese Schwachstelle bereits erkannt und ihre Richtlinie um die Option "Komplexität" erweitert. Somit müssen Anwender Kennwörter aus drei der vier Kriterien Kleinbuchstaben, Großbuchstaben, Sonderzeichen und Zahlen bilden. Dieses Szenario suggeriert eine gewisse Sicherheit. In der Realität lassen sich jedoch weiterhin einfach zu erratende Kennwörter wie z.B. Passwort123, Kennwort!, Firma2022 vergeben. 

Was Unternehmen ändern sollten

Im ersten Schritt sollten Sie Mitarbeiter von unnötigen Kennwortwechseln befreien. Der Ansatz eines kurz getakteten Kennwortwechsels gilt als überholt und kontraproduktiv. Mit einem jährlichen Kennwortwechsel kommt man den Mitarbeitern entgegen und steigert somit die Akzeptanz einer Kennwortrichtlinie. 

Im zweiten Schritt sollten Sie den Zwang zu Sonderzeichen und Zahlen abstellen. Ein langes Kennwort aus Groß- und Kleinbuchstaben ist im Regelfall sicherer als kurze Kennwörter mit Sonderzeichen und Zahlen. 

Durch die Einführung eines Passwort-Filters wird im dritten Schritt die Qualität der Kennwörter sichergestellt. Kennwörter die einfach zu erraten sind, einfach zu errechnen sind oder bereits in öffentlich gewordenen Datenlecks enthalten waren (=kompromittiert), können dann nicht mehr vergeben werden. 

Konkret heißt das: 

  1. Mitarbeiter sensibilisieren und "ins Boot holen" 
  2. Mitarbeiter vergeben sich qualitativ gute Kennwörter und dürfen diese länger verwenden (z.B. 1 Jahr) 
  3. Beim Einsatz eines Passwortfilters werden die Benutzer bei der Kennwortvergabe daran gehindert, schwache, bereits kompromittierte oder leicht zu erratende Kennwörter zu vergeben 
  4. Bei einem Sicherheitsvorfall (z.B. falls Zugangsdaten des Unternehmens im Dark Web auftauchen oder ein Trojaner im Netzwerk ausgebrochen ist) wird ein sofortiger Kennwortwechsel im Unternehmen veranlasst 

Durch diese zeitgemäßen Maßnahmen ist zudem der „Stand der Technik“ im Sinne des Datenschutzes (Art. 32 DSGVO) gewährleistet. 

Auch das Bundesamt für Sicherheit und Informationstechnik empfiehlt mittlerweile, Maßnahmen zu ergreifen, um die Kompromittierung von Kennwörter zu erkennen. (siehe BSI Grundschutz-Kompendium

Um in Echtzeit zu erfahren, ob Kennwörter Ihres Unternehmens im Dark Web aufgetaucht sind, empfiehlt sich ein Dark Web Monitoring

Sie möchten gerne wissen wo Sie stehen?

Im Rahmen eines D&P Password Audits prüfen wir Ihr Active Directory auf den Einsatz bereits kompromittierter Kennwörter, sichten Ihre Kennwortrichtlinie und scannen das Dark Web nach Funden in Bezug zu Ihrer Unternehmensdomain. Wir unterstützen Sie bei der Implementierung eines Active Directory Passwortfilters und zugehörigen Richtlinien, die auf Ihr Unternehmen zugeschnitten sind. 

 
zurück

Anmeldung zum Infoletter

Nutzen Sie die Chance in unregelmäßigen Abständen alle wichtigen News zu den Themen IT Security, digitale Lösungen und weiteren IT-Dienstleistungen zu erhalten.