Schwache Passwörter öffnen Hackern Tür und Tor. Ein durchdachter Passwortschutz ist daher nach wie vor ein „Must have“– das nicht nur zum Eigenschutz, sondern auch, weil es die DSGVO explizit fordert. Wie IT-Admins in Unternehmen die Passwortsicherheit erhöhen und die Gefahr von Bußgeldern vermeiden können, erfahren Sie hier.
Passwörter sind das häufigste Einfallstor der Cyberkriminellen. Vor allem, wenn sie kurz oder simpel aufgebaut sind, können sie blitzschnell geknackt werden. Codewörter wie „1234”oder „Passwort” sind zwar für Anwender bequem und einfach zu merken. Doch für Unternehmen können sie schlimme Folgen haben – egal, wie gut das Netzwerk abgesichert ist.
Beispiele dafür gibt es en masse. Erst jüngst verschaffte sich ein Hackerkollektiv Zugriff auf 174.000 Datensätze in Corona-Testzentren, weil die Passwörter zu leicht zu erraten waren. Unter den gestohlenen Daten waren Buchungsbestätigungen sowie streng vertrauliche, personenbezogene Infos wie Name, Anschrift, Telefonnummer, E-Mail-Adresse und Geburtsdatum der Patienten. Selbst Testergebnisse und in einigen Fällen sogar die Ausweisnummer lagen den Angreifern vor. Betroffen waren 34 Testzentren.
Wie konnte das passieren?Die Passwörter der Accounts wurden schlampig generiert: Eine Software setzte Passwörter einfach in aufsteigender Reihenfolge aus den Zahlen 0-9 sowie aus den Buchstaben A-F zusammen. Die Hacker hatten somit leichtes Spiel und konnten massenhaft Patientendaten einsehen. Das BSI bezeichnete den Vorfall als „gravierendes IT-Sicherheits- und Datenschutzproblem“.
So werden Passwörter kompromittiert
Hacker können über schwache Passwörter auf unterschiedlichste Arten in Unternehmen eindringen. Solche Passwörter ermöglichen beispielweise Brute-Force-Angriffe, bei denen der Passwort-Hash bekannt ist, oder Online-Attacken wie das Password Spraying. Bei letzterem werden einige wenige kompromittierte Kennwörter gegen eine große Anzahl von Benutzerkonten getestet.
Systematisch betrachtet kommen Hacker über folgende Vorgehensweisen an Passwörter:
- Ankauf geleakter Daten im Darknet
- Credential Stuffing
- Passwort Spraying
- Brute Force
- Social Engineering
- Keylogger
- Shoulder Surfing
- Gestohlene Password Hashes
- Erraten von Passwörtern
Die DSGVO fordert starke Passwörter
In Unternehmen sind Attacken auf Passwörter oft erfolgreich, weil Mitarbeiter freie Hand in der Generierung ihrer Passwörter haben und dabei eingefahrenen Gewohnheiten folgen. Sie wählen zu einfache oder zu kurze Zeichenketten, nutzen über Jahre das gleiche Kennwort oder verwenden in ihrem Zugangscode persönliche Daten wie Namen oder Geburtsdatum. Das Hasso-Plattner-Institut verzeichnet seit Jahren Zahlenfolgen wie „123456“ „123456789“ und „passwort“ als Spitzenreiter.
Solche Passwörter sind ein hohes Sicherheitsrisiko, für das adäquate Schutzmaßnahmen ergriffen werden müssen. Abgesehen vom Eigenschutz sind eine durchdachte Passwortstrategie und starke Passwörter aber auch eine gesetzliche Verpflichtung: Laut Artikel 32 DSGVO gehört ein angemessener Passwortschutz zu den organisatorischen und technischen Maßnahmen, die jedes Unternehmen ergreifen muss, um personenbezogene Daten zu schützen.
Wer solche Maßnahmen unterlässt, riskiert nicht nur in Deutschland hohe Bußgelder – so musste die Luftfahrtgesellschaft British Airways wegen eines Datendiebstahls aufgrund eines vermeidbaren Passwortbruchs 183 Millionen Euro Strafe zahlen.
Besonderen Schutz erfordern die IT-Bereiche, die bei einem Sicherheitsvorfall den Zugriff vieler Nutzerprofile eröffnen. In den in Unternehmen verbreiteten Microsoft-Umgebungen gilt dies für das Active Directory.
Schwache Passwörter auditieren
Schwache Passwörter lassen sich am besten mit einem Tool wie dem Specops Password Auditor identifizieren. Das kostenlos zur Verfügung stehende Werkzeug verschafft Systemadministratoren einen Überblick über passwortrelevante Schwachstellen im Active Directory.
Die Software scannt das Active Directory und identifiziert Schwachstellen, die auf Passwörter zurückzuführen sind. Für den Check verwendet der Auditor mehrere Prüfverfahren – eines besteht darin, Konten auf kompromittierte Passwörter zu testen. Dabei werden in einem Read-Only-Scan die Hash-Werte der Benutzer-Passwörter mit den Hash-Werten von bereits kompromittierten Passwörtern verglichen – Vergleichsbasis ist die Specops Password Protection List. Die regelmäßig aktualisierte Liste ist Teil des Specops Password Auditors und enthält mehr als 750 Millionen kompromittierte Passwörter.
Der Specops Password Auditor zeigt aber auch kritische Konten an, die kein Passwort benötigen, und überprüft die Umsetzung der geltenden Password Policies. Alle relevanten Informationen werden anschließend zusammengestellt und in einem ausführlichen und personalisierten PDF-Bericht grafisch übersichtlich präsentiert. Auf Basis des Berichts können Admins dann die entsprechenden Maßnahmen ergreifen, um ihre Systeme sicherer zu machen.
Passwort-Richtlinien umsetzen
Wenn Sysadmins durch einen Scan ihres Active Directory festgestellt haben, dass ihre Benutzer schwache und kompromittierte Passwörter verwenden, sollten sie weitere technische Maßnahmen ergreifen, um die Passwortsicherheit im Unternehmen zu gewährleisten. Mithilfe fein abgestimmter Passwortrichtlinien können sie starke Passwörter im Unternehmen durchsetzen. Hierbei unterstützt sie die Software Specops Password Policy.
Mit dem Programm können Sysadmins die Funktionalität ihrer Gruppenrichtlinien erweitern und ihre fein abgestimmten Passwortrichtlinien umsetzen.
Specops Password Policy ermöglicht es Administratoren, die aktuellen Empfehlungen für Passwort-Sicherheit von Sicherheitsbehörden wie BSI oder NIST schnell und einfach umzusetzen.
Wählt ein Benutzer ein Passwort, das diesen Empfehlungen oder den mit Specops Password Policy definierten Richtlinien nicht entspricht, wird dieses Passwort abgelehnt und der Benutzer bekommt ein direktes Feedback, welche Richtlinien nicht erfüllt sind. Bereits kompromittierte Passwörter werden ebenfalls blockiert. Specops Password Policy unterstützt Nutzer auch dabei, Passphrasen als Passwort zu verwenden. Sie haben den Vorteil, dass Benutzer sich diese leichter merken können. Zudem sind sie durch eine vorgeschriebene Mindestlänge von mindestens 20 Zeichen entsprechend schwer zu kompromittieren. Bekannte Muster wie das Voranstellen oder Anhängen von Ziffern, können durch den Einsatz von Specops Password Policy ebenfalls unterbunden werden.
Stellen Sie jetzt durch einen Scan Ihres Active Directory fest, wie viele Ihrer Benutzer schwache und kompromittierte Passwörter verwenden. Das Tool Specops Password Auditor erhalten Sie hier kostenlos als Download.
Oder testen Sie jetzt die Lösung Specops Password Policy einen Monat lang kostenlos – und setzen Sie starke Passwörter in Ihrem Unternehmen durch den Einsatz fein abgestimmter Passwortrichtlinien durch. Hier geht es zum Download
kommentar field