Die richtige Passwort-Sicherheit in Krisenzeiten

Bundesinnenministerin Nancy Faeser hat die IT-Branche auf harte Zeiten eingestimmt. „Die Gefährdungslage im Cyber-Raum ist so hoch wie nie“, warnte die Politikerin am 25. Oktober anlässlich der Veröffentlichung des Berichts zur Lage der IT-Sicherheit in Deutschland 2022. Deswegen lohnt es sich, mit Passwort-Mythen aufzuräumen und über höhere Passwort-Sicherheit nachzudenken.

Laut dem BSI und führenden IT-Experten wird sich die verschärfte Bedrohungslage auch im Jahr 2023 ungebrochen fortsetzen. Neben akuten Krisensituationen wie dem Ukraine-Konflikt tragen auch die zunehmende Professionalisierung der Cyberkriminellen sowie die stärkere Konzentration auf Remote-Verbindungen aus dem Homeoffice dazu bei. Laut Statista loggen sich in Deutschland zwischen 25 und 35 % der Mitarbeiter von unterwegs oder vom Homeoffice aus ins Unternehmensnetzwerk ein.

Diesen ungebrochenen Trend zum Remote-Zugang machen sich Cyberkriminelle zunutze. Externe Endgeräte sind das bevorzugte Ziel von Phishing-, Malware- und Brute-Force-Attacken. Immer wieder ist ein unzureichend gesicherter Rechner eines externen Mitarbeiters im Homeoffice das Einfallstor.

Vom Homeoffice ins Unternehmensnetzwerk: Cyberkriminelle nutzen externe Rechner mit unzureichenden Schutzmechanismen und schwachen Passwörtern als Einfallstor für großangelegte Angriffe auf Unternehmen. Quelle: BSI

Zwischen der Selbstwahrnehmung und dem tatsächlichen Kenntnisstand von Computernutzern klaffen große Lücken. Viele Menschen gehen überraschend leichtfertig mit ihren persönlichen Zugangsdaten um, wie eine repräsentative Umfrage von Google eindrucksvoll belegt:

  • 65 % der Befragten nutzen identische Passwörter für mehrere Konten, wobei 13 % ausschließlich ein einziges Kennwort für all ihre Zugänge verwenden.
  • 69 % der Befragten geben sich selbst die Schulnote 1 oder 2 in Bezug auf den Schutz ihrer Daten, während 59 % von sich glauben, sie seien besser geschützt als der durchschnittliche Computeranwender.
  • 79 % der Befragten war die Wichtigkeit von Updates für die Systemsicherheit ein Begriff, während 33 % nicht wissen, wie sie ihre Software auf den neuesten Stand bringen und deshalb auch nicht proaktiv vorgehen können.
  • Nur 24 % der Befragten nutzen trotz der vielen belegbaren Vorteile keine Passwort-Manager, während lediglich 55 % etwas mit dem Begriff „Zweifaktor-Authentifizierung“ anfangen können.
    eit

Die fünf größten Passwort-Mythen

Dieser explosive Mix erfordert eine klare Sicherheitsstrategie der IT-Verantwortlichen. Bei der transparenten Kommunikation der entsprechenden Stellen mit allen Mitarbeitern sollte das Thema Passwortsicherheit im Fokus stehen. Bei dieser Gelegenheit sollten auch – wenn es die IT-Struktur des jeweiligen Unternehmens zulässt – fünf der größten Mythen aus der Welt der Passwörter ausgeräumt werden:

  1. „Ich habe keine sensiblen Unternehmensdaten auf meinem Homeoffice-Rechner und meine Zugriffsrechte sind so niedrig, dass wichtige Unternehmensdaten nicht von einem Angriff betroffen wären.“ Weit gefehlt – sind die Angreifer erst einmal ins Unternehmensnetzwerk eingedrungen, können Sie sich dort durch weitere Maßnahmen wie Brute-Force-Attacken die nötigen Zugriffsrechte für relevante und/oder sensible Daten beschaffen.
  2. „Meine kurzen Passwörter sind extrem sicher, weil ich Sonderzeichen nutze.“ Die Komplexität von Passwörtern spielt eine entscheidende Rolle für die Sicherheit – abstrakte Passphrasen wie „U3$dAq/_“ zeichnen sich in der Tat durch erhöhte Sicherheit aus, lassen sich jedoch nur sehr schwer merken, wodurch das Risiko durch handschriftliche Notizen oder gar das Ablegen auf dem Desktop des Computers erhöht wird. Deshalb nutzen viele Anwender gerne den als „Leetspeak“ bezeichneten Tausch von Buchstaben gegen Ziffern oder Sonderzeichen – zum Beispiel „P@55w0rt“. Solche Entsprechungen sind jedoch fester Bestandteil von Passwortlisten, auf die Cyberkriminelle zurückgreifen.
  3. „Komplexe Passwörter sind immer besser als lange, weniger komplexe Passphrasen.“ Die meisten Angreifer nutzen bei Brute-Force-Attacken zunächst die weit verbreiteten Vorgaben mit 8- oder 12-stelligen Passwörtern. Experten haben in einer Analyse herausgefunden, dass acht in einem so genannten „Hashing Rig“ miteinander gekoppelte RTX-4090-GPUs gerade mal 48 Minuten benötigen, um ein achtstelliges Passwort zu knacken. Längere Passphrasen machen deshalb durchaus Sinn, da jedes weitere Zeichen den Aufwand für die Entschlüsselung drastisch erhöht. Viele Experten fordern deshalb bis zu 64-stellige Phrasen für ein deutliches Plus an Sicherheit. Zudem lassen sich solche Konstrukte viel leichter im Gedächtnis behalten und enthalten Groß- und Kleinschreibung, Zahlen und im besten Fall auch Sonderzeichen. Beispiel: „Keramiktassen für 5 € halten Kakao & Kaffee 0,5 h lang auf 43° C“.
  4. „Der regelmäßige Wechsel des Passworts ist sicherer.“ Die gerade in Unternehmensnetzwerken oft und gerne eingesetzte Sicherheitsrichtlinie der Password Expiration ist ein Auslaufmodell – unter der Bedingung, dass das Passwort „sicher“, also nicht kompromittiert ist. Bereits seit mehreren Jahren erklären Experten dieses Modell für veraltet und den aktuellen Angriffsstrategien der Cyberkriminellen nicht mehr angemessen. So hat sich auch das BSI im Jahr 2020 von dieser Richtlinie verabschiedet. Zudem begünstigen häufige Zwangswechsel weniger sicherer Passwörter, simple Umstellungen von „Passwort1“ auf „Passwort2“ oder im schlimmsten Fall bei quartalsmäßig ablaufenden Kennwörtern saisonale Phrasen wie „Winter22“ oder „Frühjahr23“. Für erhöhte Sicherheit in kritischen Infrastrukturen oder beim Umgang mit sensiblen Daten empfiehlt sich dennoch als Kompromisslösung ein jährlicher Wechsel des Passworts, um das Risiko einer Kompromittierung wie durch Abschauen oder Fehlverhalten des Nutzers zu minimieren.
  5. „Ich habe ein extrem starkes Passwort, das vom Passwort-Checker als „sehr stark“ verifiziert wurde. Deshalb kann ich es bedenkenlos für all meine Konten nutzen.“ Zunächst einmal sind Passwort-Analysetools, wie sie auf vielen Seiten zur Kontoerstellung genutzt werden, kein Garant für Sicherheit. Selbst potenziell unsichere Kennwörter wie das Beispiel „P@55w0rt“ aus Punkt 2 werden von vielen Seiten aufgrund ihrer Merkmale als sehr zuverlässig eingestuft. Doch auch die stärkste Passphrase sollte nicht für mehrere Zugänge verwendet werden – wird sie auf einer Plattform kompromittiert und in öffentlich zugänglichen Listen publiziert, können sich die Angreifer problemlos Zugang zu mehreren anderen Plattformen verschaffen.

Mehr zum Thema

Ein sichereres Jahr 2023 mit Specops

Das ausgehende Jahr war eines der unruhigsten in der IT-Branche, begünstigt durch multiple Krisen und zahllose Attacken. Um Ihr Unternehmen auf ein nicht weniger stürmisches Jahr 2023 vorzubereiten, empfehlen sich Tools von Sicherheitsexperten. So unterstützt Sie Specops Password Policy dabei, moderne Passwortrichtlinien in Ihrem Active Directory umzusetzen. Es erweitert die Funktionalität der Gruppenrichtlinie und vereinfacht die Verwaltung von feinkörnigen Passwortrichtlinien. Specops Password Policy kann auf jede GPO-Ebene, Gruppe, Benutzer oder Computer abzielen, mit individuellen Einstellungsmöglichkeiten zu Passwortkomplexität, Blacklist, Wörterbüchern, Expiration und Passphrasen-Einstellungen.

Specops Passwort Policy hilft Ihnen dabei, die aktualisierten Empfehlungen der Sicherheitsbehörden wie BSI oder NIST an Passwortsicherheit einfach und schnell umzusetzen.

Das Read-Only-Tool Specops Password Auditor scannt das Active Directory, identifiziert passwortrelevante Schwachstellen und fasst diese in einem interaktiven Bericht zusammen. Dabei vergleicht es die Hashwerte der Passwörter Ihrer Benutzerkonten mit denen in einer Liste aus über 800 Millionen bereits kompromittierter Kennwörter und gibt eine Übersicht (bei Bedarf auch anonymisiert) über betroffene Benutzerkonten, bei denen die Kennwörter kompromittiert sind. Außerdem prüft es, ob Ihre Passwortrichtlinien den aktuelle Empfehlung von BSI, NCST, NIST und vielen weiteren Institutionen entsprechen oder ob es gar Benutzerkonten gibt, die keinen Passwortschutz aktiviert haben.

Fazit: Passwortsicherheit im Unternehmen schnell an die Bedrohungslage anpassen

2022 war kein einfaches Jahr für alle Experten, die mit IT-Sicherheit zu tun haben. Im Zuge immer ausgefeilterer Attacken gut organisierter Angreifergruppen, der zunehmenden Zahl von vergleichsweise schlecht gesicherten Remote-Zugängen und politisch motivierten Gefahrenquellen empfiehlt sich eine robuste Sicherheitsrichtlinie für Passwörter, um Risiken zu minimieren. Leistungsstarke Tools wie Password Policy und Password Auditor von Specops helfen Ihnen dabei, die IT-Infrastruktur schnell und effizient gegen Angriffe von außen zu schützen.

kommentar field