Teure Schwachstelle: Passwortsicherheit

Per E-Mail Passwortsicherheit gewinnen

Auch in der Schweiz sind Cyberangriffe zu einer ernsthaften Bedrohung der Sicherheit und Wirtschaft geworden. Täglich finden Angriffe auf Unternehmen und Behörden statt. Das Schweizer Nationale Zentrum für Cybersicherheit (NCSC) erhält im Durchschnitt wöchentlich über 300 freiwillige Meldungen zu erfolgreichen oder versuchten Cyberangriffen.

Aber was ist das Einfallstor? Genauer betrachtet zeigt sich, dass oft selbst grundlegendste Regeln zur Passwortsicherheit nicht befolgt wurden. Wie Schwachstellen behoben werden können und ein besserer Schutz aufgebaut werden kann, erläutert Stephan Halbmeier von Specops Software.

Ransomware-Angriffe: Es kann teuer werden

Tagtäglich sehen sich Unternehmen also mit hunderten bis tausenden Angriffen über Brute Force, Password Spraying oder Password Dictionary Attacks konfrontiert. Angriffspunkt Nummer eins sind die Mitarbeiter bzw. die von ihnen verwendeten schwachen Passwörter.
Auch Ransomware-Angriffe bauen auf diesen Methoden auf, haben aber in erster Linie die (vorübergehende) Sabotage der IT/OT zum Ziel, die nur durch Zahlung eines Lösegeldes rückgängig gemacht werden kann. Im Unterschied zu anderen Cyberangriffen geht es den Angreifern bei einem Ransomware Angriff primär daher nicht darum Schaden zu erzeugen, sondern "nur" um Geld zu verdienen.  Die Höhe des Lösegelds hängt von den Tätern, die den Angriff durchführen, und der angegriffenen Organisation ab. Angestrebt ist seitens der Kriminellen ein möglichst großes Schadensszenario aufzubauen. In der Folge stehen Unternehmen, die zur kritischen Infrastruktur eines Landes zählen, besonders im Fadenkreuz.
Die Auswirkungen eines Angriffs können weitreichend und schnell sein. Unternehmen haben sofort keinen Zugriff mehr auf wichtige Dokumente und Systeme, in manchen Fällen sogar auf ihr gesamtes Netzwerk. Die Produktivität kann für einige Tage bis hin zu einigen Wochen zum Erliegen kommen.Das kann sehr teuer werden, so zahlte das Management der  Colonial Pipeline 4,4 Millionen US Dollar Lösegeld. Und dies ist nur ein Teil des verursachten Schadens. Die Auswirkungen eines Angriffs lassen sich an den finanziellen Kosten, dem Produktivitätsverlust, den zusätzlichen Aufwand für die Behebung der Schwachstelle und der Schädigung des Rufs ablesen. Sophos, ein weltweit führender Anbieter von Cybersicherheit, hat in seiner Studie "The State of Ransomware 2021" herausgefunden, dass sich die durchschnittlichen Gesamtkosten für die Wiederherstellung nach einem Ransomware-Angriff innerhalb eines Jahres mehr als verdoppelt haben und von 761.106 US-Dollar im Jahr 2020 auf 1,85 Millionen US-Dollar im Jahr 2021.

Was tun? Passwortsicherheit gehört ins ISMS

Angriffspunkt Nummer eins sind nach wie vor die Mitarbeiter bzw. die von ihnen verwendeten schwachen Passwörter. Die Nutzung von Passwörtern, auch wenn schon lange totgesagt, ist immer noch die häufigste, und sofern starke Passwörter verwendet werden, eine sichere Methode, um sich im Netzwerk zu authentifizieren. Durch den Faktor Mensch, kann diese Methode zugleich aber auch zu einer Schwachstelle innerhalb der IT-Sicherheitskette werden, wenn schwache oder kompromittierte Passwörter verwendet werden. Vor diesem Hintergrund gilt es im ersten Schritt für den IT-Sicherheitsbeauftragten zu überprüfen, ob die dokumentierten Anforderungen an Passwortsicherheit als Bestandteil des eingesetzten ISMS (Information Security Management System), den aktualisierten Empfehlungen des NCSCs  bzw. des neuen Informationssicherheitsgesetz (ISG), das auf international anerkannten Standards, insbesondere ISO 27001 und NIST: National Institute of Standards and Technology, basiert, Rechnung tragen.

Wo in den vergangenen Jahren beispielsweise eine Kennwortlänge mit mindestens acht Zeichen und hoher Komplexität empfohlen wurde, ist heute klar, dass man damit keine starken Passwörter mehr bilden kann. Im Gegenteil starke Passwörter müssen heutzutage in erster Linie lang sein, dafür aber nicht mehr zwingend komplex. Eine einfache und effektive Methode ist es, Passphrasen zur Generierung starker Kennwörter zu verwenden.
Im zweiten Schritt setzt dann das Infrastruktur-Team die Anforderungen, wie im ISMS gefordert um.

Sicherstellen. Starke Passwörter unternehmensweit

Zunächst ist es wichtig eine Bestandsaufnahme, der im Unternehmen verwendeten Passwörter aufzustellen. Für dieses Passwort-Sicherheits-Assessment helfen Tools wie der Specops Password Auditor. Er analysiert die Benutzerkonten im Active Directory auf Schwachstellen im Zusammenhang mit Passwörtern. Die Software scannt und überprüft die Passwörter der Benutzerkonten und gleicht sie gegen eine Datenbank, eine sogenannte Blacklist, mit kompromittierten Passwörtern ab. Die Offline-Datenbank umfasst mehr als 700 Millionen Passwörter (bzw. deren Hashes), die in der Vergangenheit durch Datendiebstahl bekannt geworden sind. Die gesammelten Informationen werden anschließend in einem Audit-Bericht ausgegeben und ermöglichen es Unternehmen, die Sicherheitsrisiken, die sich aus der Verwendung der eingesetzten Passwortrichtlinien ergeben, zu bewerten. So kann der Bedarf für Awareness- und Trainingsmaßnahmen für die Benutzer abgeleitet werden.

Was sind starke Passwörter, und wie oft sollten Mitarbeiter aufgefordert werden ihr Passwort zu ändern?  Manche Behörden sind der Ansicht, dass die Notwendigkeit die Passwörter regelmäßig zu ändern wegfällt, wenn starke Passwörter verwendet werden, es sei denn diese sind kompromittiert. Zu häufige Passwortwechsel verleiten Benutzer dazu, in Muster bei der Passwortvergabe zu verfallen, die leicht erraten werden können. Die Empfehlung von Specops Software ist es, die Passwörter einmal pro Jahr zu ändern. Zusammenfassend kann man es auf eine einfache Formel bringen:

Starkes Passwort = Lang + geringe Komplexität + Nicht kompromittiert.

Die Durchsetzung dieser Richtlinien und weiterer Richtlinien kann durch den Einsatz der Specops Password Policy für das Active Directory sichergestellt werden, insbesondere der Übergang von klassischen Richtlinien (8 Zeichen + hohe Komplexität) zu Passphrasen kann über ein längenbasiertes Ablaufdatum schonend erfolgen. Man kann hierbei sehr detaillierte und rollenbasierte Richtlinien aufsetzen.

Zusammenfassung

Die Durchsetzung von starken Passwörtern ist in einer sich zunehmend dezentral organisierten Unternehmenswelt, in der sich IT und OT mehr und mehr vernetzen wichtiger denn je und sollte nicht dem Zufall überlassen werden. Durch den Einsatz von Specops Password Policies, können die erweiterten Anforderungen aus dem ISMS umgesetzt werden. Benutzern wird es ermöglicht starke Passwörter zu erstellen, die in Echtzeit auf Kompromittierung überprüft werden. Damit hilft Specops Password Policy Unternehmen regulatorische Anforderungen gemäß dem ISG zu erfüllen, und die erwähnten Schutzziele (Vertraulichkeit, Verfügbarkeit, Integrität) besser zu erreichen.

Herr Halbmeier verfügt über mehr als 25 Jahre Erfahrungen im Design & Betrieb globaler IT-Umgebungen. Unter anderem war er als Service Owner Global Active Directory & PKI Services und im Bereich IT Security & Compliance tätig. Bei Specops Software ist er als Product Specialist für die reibungslose Einführung der Produkte und technische Betreuung der Kunden verantwortlich.
Weitere Informationen: www.specopssoft.com

Formular ausfüllen und Sicherheit gewinnen!
Dank unserem "Weak Password Report 2022".