09. 07. 2019

Ist Ihr Passwort noch sicher?

"Die alte Passwortrichtlinie ist tot, lang lebe die neue Passwortrichtlinie" - Warum Ihre Passwörter nicht mehr sicher sind und Sie heute handeln sollten!

Im Buch der IT-Sicherheit steht geschrieben: „Ein gutes Passwort besteht aus mindestens 8 Zeichen, aus Klein- & Großbuchstaben, mit Zahlen und Sonderzeichen. Es ist nicht ähnlich mit den 10 vorherigen Passwörtern, sondern es ist neu gestaltet. Passwörter werden alle 90 Tage gewechselt, sie dürfen keine persönlichen Angaben wie Name, Vorname, Geburtsdatum enthalten – und so weiter“.

Wo kommt diese Empfehlung her?

Das ist bisher der Defacto-Standard einer sicheren Passwortrichtlinie, wie sie von der Mehrzahl der deutschen Unternehmen heute noch eingesetzt wird. Ein immer wiederkehrender Graus für Anwender und IT-Supporter. Die Empfehlung selber geht zurück auf die NIST (National Institute of Standards and Technology, amerikanische Bundesbehörde) aus dem Jahre 2003. Die Grundlagen hierfür bildeten wiederum Vorschläge aus den 1980ern, als man noch davon ausgegangen war, dass ein jeder sich maximal 3 bis 5 Passwörter in seinem Leben merken muss. Die Entwicklung zu immer mehr dezentralisierten und miteinander verbundenen Internetdiensten führten aber dazu, dass sich Anwender heute viel mehr komplexe Passwörter merken müssen oder aus Bequemlichkeit einfach ein Passwort für die Mehrheit ihrer Zugänge recyceln. Auch Hacking mit krimineller Absicht sowie Daten- und Identitätsdiebstahl waren damals in den heutigen Ausmaßen unvorstellbar.

Sicher ist nicht immer sicher

Die Folgen hieraus zeigen sich heute in vielerlei Hinsicht: Anwender variieren ihre bestehenden Passwörter bei Wechselaufforderung nur minimal, Passwörter enthalten mehrheitlich einfache Begriffe und nutzen dieselben Passwörter im Privaten wie Beruflichen. Auf Grund der Menge an Passwörtern müssen häufiger Passwörter zurückgesetzt werden, was gerade in Unternehmen einen hohen Administrations-, Zeit- und Kostenaufwand im IT-Support bedeutet!

Zahlreiche Studien über gestohlene und veröffentlichte Passwörter belegen, dass sicher geglaubte Passwörter nicht die beste Wahl sind und auch nicht zu einer höheren Passwortsicherheit führen. Eher hat sich gezeigt, dass längere Passwörter schwerer als kurze komplexe zu „erraten“ sind.

Quelle: https://xkcd.com/936

Ein Paradigmenwechsel

Die NIST hat diese Entwicklung erkannt und hat die alte Empfehlung „NIST Special Publication 800-63. Appendix A“ Ende 2017 komplett überarbeitet. Gerade der Aspekt der Nutzung internet-basierter Dienste oder öffentlicher Unternehmenszugänge wurden mitberücksichtigt. Punkte, wie periodisch wechselnde Passwörter, Sicherheitsabfragen und auch die Komplexitätsanforderungen wurden herausgenommen. Auch empfiehlt die NIST anstelle der klassischen „Memorized Passwords“, also der gemerkten Anwenderpasswörter, eher den Einsatz von Multifaktorauthentifizierung (MFA) oder Einmalpasswörter (OTP).

Bereits heute bieten viele Betreiber interbasierter Dienste an, sich als Alternative zum klassischen Passwort mit einem weiteren Faktor wie PIN per E-Mail oder Handy oder Mobile Apps anzumelden. Mit dem aktuellen Windows 10 Build 1903 übernimmt auch Microsoft diesen Paradigmenwechsel und geht soweit, dass neben der Empfehlung zum Einsatz von MFA auch der altbekannte „Kennwortablauf“ aus den Gruppenrichtlinien in der Security Baseline nicht mehr auftaucht.

Offene Fragen

Viele unserer Kunden, die wir bereits in der Vergangenheit auf die Änderung der Empfehlung hingewiesen haben, reagierten mit Überraschung und Zurückhaltung. Das ist durchaus verständlich, da in den letzten 20 Jahren genau das Gegenteil durch die IT-Sicherheitsbranche propagiert wurde. Als Feedback erhielten wir dann folgerichtig die Rückfragen, wie * nun eine gute Microsoft Passwortrichtlinie in Unternehmen am besten aussehen sollte,
* man unter Windows 10 Multifaktor ohne Nutzung der Microsoft Cloud Dienste nutzen kann,
* man einen Missbrauch oder Penetration von kritischen Unternehmensbereichen identifiziert,
und vieles mehr.

Bieten Hilfe: SystoLock & Netwrix

Neben unseren klassischen Dienstleistungen im Bereich Infrastruktursicherung, aber auch Endanwender Security Awareness, bieten wir mit SystoLOCK und Netwrix Auditor zwei weiterführende Lösungen zur Sicherung ihrer IT-Umgebung ab.

Mit SystoLOCK, made in Germany, melden sich Benutzer mit zwei Faktoren bei allen Ressourcen des Unternehmens an: vom Login am eigenen Windows 10 Endgerät, über den Zugriff auf Exchange, Web- und Dateidienste, bis hin zum Starten einer Remote-Desktop-Sitzung. Es bietet starken Schutz für alle Anmeldedialoge, Dienste und Protokolle im Netzwerk, indem es Windows-Passwörter vollständig aus der Domäne eliminiert. SystoLOCK ist besonders schlank, universell und wartungsarm. Es unterstützt OTP-basierte Mobile Apps sowie Hardware-Tokens.

Netwrix Auditor ist eine Sicherheitslösung, mit der Administratoren Serverprotokolldateien, Sicherheitsereignisse und Syslogs im gesamten Unternehmensnetzwerk verwalten können. Die Lösung warnt Administratoren in Echtzeit bei kritischen Ereignissen. Administratoren können die regelmäßige Zustellung von Protokollberichten per E-Mail planen und können Protokolle in einer zweistufigen Speicherstruktur komprimieren, konsolidieren und archivieren. Des Weiteren bietet Netwrix Auditor angepasste Protokollberichte, mit denen Daten nach einem bestimmten Benutzer oder einer bestimmten Endstation gefiltert werden können. Die Lösung informiert Administratoren außerdem regelmäßig über Änderungen an Servern (Active Directory, MSSQL Exchange, Oracle DB’s, etc.).

Möchten Sie mehr zu diesem Thema erfahren?

Unser Kollege Dirk Nebermann ist einer unserer technischen Experten im Haus und freut sich auf Ihre Anfrage. Wir beraten Sie gern! Melden Sie sich einfach hier. Oder schreiben Sie uns eine E-Mail an dirk.nebermann@mcs.de.