BLOG
Wissenstransfer von IT-Spezialisten

Welt-Passworttag

Ein kurzer Anruf im Security Operation Center der sepago, ein kurzes: „können wir mal unter vier Augen sprechen“ während des Projektgeschäfts.

Wieder ein Hilfereruf eines angegriffenen Kunden, der mehr oder weniger im Security Operation Center der sepago eingegangen ist. Das Einfallstor ist der User, der Mitarbeiter, die Leitungsperson.

So oder so ähnlich lauten die Meldungen, welche täglich im SOC eingehen oder als Fragen im Projektalltag formuliert werden.

Am 1. Februar verabschiedet sich das BSI von der ursprünglichen Aussage, die Passwörter regelmäßig zu wechseln.

„Hoffentlich war der 1. Februar der letzte „Ändere dein Passwort“-Tag“.

Tatsächlich wurde diese Empfehlung noch so lange aufrecht erhalten, nachdem US-Behörden und ihre britischen Pendats bereits seit 2016 empfehlen, das Passwort nicht zu ändern. Deutsche Mühlen mahlen langsam.

Seit Jahren haben wir mit Passwörtern zu tun, oft beginnt jeder Arbeitstag damit, sich in irgendeiner Weise zu authentifizieren. Meist über ein Passwort. Der Nutzer arbeitet im Unternehmen, geht täglich an seinen Platz im Büro und wird durch die IT als vertrauenswürdig betrachtet. Die Zugriffe auf die Systeme sind physisch beschränkt und enden am klassischen Perimeter.

Doch kollaboratives Arbeiten, flexible Arbeitsorte und der Fortschritt in der IT-Branche verlassen sich nicht mehr auf dieses Vertrauen. Es ist wirkungslos geworden und verlangt nach einem Paradigmenwechsel in der Passwortsicherheit.

Kennwörter werden somit auch zum Kostenfaktor, Probleme in heterogenen Umgebungen verursachen erhebliche Mehrarbeit für IT-Helpdesks. Die Mitarbeiter müssen untätig auf den Support warten, die Produktivität ist gesenkt.

Nach einer Schätzung von Forrester Research geben Konzerne für Kennwortzurücksetzungen bis zu 1 Mio. US-Dollar pro Jahr für Personal und Infrastruktur aus.

Passwörter sind schwer zu merken, der Mensch wird für sich eine Möglichkeit finden, um bei dem nächsten Passwortwechsel ein leicht zu merkendes Muster zu implementieren. Das macht das Passwort besonders anfällig für Spray Attacken. Das sind Angriffe, in denen beliebte Passwörter an einer Vielzahl von Usernames ausprobiert werden.

Hier eine Top 10:

  1. 123456
  2. password
  3. 000000
  4. 1qaz2wsx
  5. a123456
  6. abc123
  7. abcd1234
  8. 1234qwer
  9. qwe123
  10. 123qwe

Passwörter und eine regelmäßige Änderungsrichtlinie sind nun also grundsätzlich riskant.

Microsoft propagiert seit einiger Zeit das Credo der „kennwortlosen Zukunft“.

Grundlage dessen ist das Prinzip der Multi-Faktor-Authentifizerung.

Der User ist gezwungen, über mindestens zwei unterschiedliche Wege den Beweis seiner Identität zu erbringen.

  • Der User authentifiziert sich einerseits über sein Passwort, also über etwas, das er weiß.
  • Der zweite Faktor bestätigt die Authentifizierung über etwas, das er ist. Biometrie, wie den Fingerabdruck zum Beispiel.
  • Microsoft bietet darüber hinaus die Möglichkeit, sich über ein vertrautes Device zu authentifizieren, welches nur der User besitzt.

Die Umsetzung der sogenannten starken Authentifizierung erschwert die Durchführung eines Angriffs enorm. Bereits ein Anteil von 10% macht das eigene Unternehmen für die meisten (Spear)-Phishing Kampagnen unattraktiv.

Die sepago empfiehlt grundsätzlich die Umsetzung von Multi-Faktor-Authentifizierung durch:

  • Windows Hello
  • Microsoft Authenticator App
  • FIDO 2 Keys

Sie bieten eine nahezu reibungslose Nutzererfahrung und sind unkompliziert implementierbar.

Auf lange Sicht gilt es nun, starke Authentifizierung im Unternehmen zu etablieren.

Einbebaute biometrische Lesegeräte sowie TPM 2.0 Chips sind hier herauszustellen.

Doch auch wir kennen die Gegebenheiten beim Kunden, der schwierigste Schritt in heterogenen Umgebungen ist die sog. Legacy-Authentifizierung. Diese enthält veraltete Protokolle zur Authentifizierung welche keine MFA-Fähigkeit mitbringen. Die Erweiterung durch Azure AD kann helfen, diese Legacyprotokolle zu identitfizieren und die Authentifizierung schrittweise zu modernisieren.  https://docs.microsoft.com/en-us/azure/active-directory/conditional-access/block-legacy-authentication

Mein letzter Hinweis ist, grundsätzlich Vorsicht bei der Umsetzung. Mitarbeiter können sich schnell übergangen fühlen, wenn die Authentifizierung nicht wie gewohnt vonstatten geht. Die Absicherung von privilegierten Accounts sowie wichtigen Personen im Unternehmen ist deswegen vorzuziehen.