Sergey Nivens - Fotolia

Passwortdiebstahl: Wie Unternehmen das Risiko in den Griff bekommen können

Bei vielen kompromittierten Zugangsdaten handelt es sich um Firmen-Accounts. Unternehmen sollten den Einsatz von Passwörtern daher überdenken.

Die Praxis beim Umgang mit Passwörtern muss sich dringend ändern. Viele Unternehmen verlassen sich viel zu sehr darauf, während ihre Mitarbeiter notgedrungen immer wieder schlechte oder dieselben Kennwörter verwenden. Die umfangreichen Datendiebstähle der letzten Zeit und die lange Liste der Schwierigkeiten beim Umgang mit Passwörtern sollten die Aufmerksamkeit auf die vielen Unzulänglichkeiten einer rein Passwort-basierten Sicherheit lenken.

Es gibt nur noch wenige Gründe, sich weiter allein auf Passwörter zu verlassen. Multi-Faktor-Authentifizierung und andere Verbesserungen verbreiten sich zunehmend und lassen sich auch immer leichter nutzen. Obwohl die meisten dieser Punkte bekannt sein sollten, lassen sich viele Unternehmen zu viel Zeit bei der Evaluierung und dem Umstieg auf Alternativen.

Dieser Beitrag beschreibt die Risiken, die durch die großen Daten- und Passwortdiebstähle entstanden sind und zeigt, wie Unternehmen sich effektiv dagegen schützen können.

Gefahren durch den Diebstahl von Daten und Passwörtern

Die Risiken durch unsichere Passwörter sind seit mehreren Jahrzehnten bekannt. In den vergangenen Jahren gab es zahlreiche große Datendiebstähle. So wurde in diesem Jahr ein massiver Einbruch bei LinkedIn publik. Was nur wenigen bewusst ist: Diese Diebstähle haben weit mehr Auswirkungen auf Endnutzer als nur den, ihre Passwörter ändern zu müssen. Die meisten Richtlinien für Passwörter fordern, dass für jeden Account ein eigenes Kennwort verwendet wird. In der Praxis wird diese Anforderung von den meisten Anwendern jedoch nicht umgesetzt. Man kann deswegen nur hoffen, dass viele Nutzer ihre Zugangsdaten zu LinkedIn nicht auch in sensiblen Bereichen verwendet haben. Von diesem Problem sind aber nicht nur die Accounts der eigenen Mitarbeiter betroffen, sondern auch die von Drittfirmen und Vertragspartnern.

Wie auch immer, in Anbetracht der Schwierigkeit, sich komplexe Passwörter zu merken, ist es nahe liegend, dass die bei LinkedIn geklauten Zugangsdaten auch an anderer Stelle eingesetzt wurden. Viele Anwender sollten darum nicht nur bei dem Unternehmensnetzwerk ihr Passwort ändern, sondern auch die anderen, die identisch sind. Durch mehrfach verwendete Passwörter können auch in den Firmen genutzte Benutzer-Accounts mit den LinkedIn-Daten gehackt werden. Durch die Schwierigkeit, sich komplizierte und individuelle Passwörter zu merken, kommt es in der Praxis also immer wieder zu Verletzungen der Passwortrichtlinien.

Ein weiteres Risiko liegt in den Kunden-Accounts, die viele Unternehmen haben. So könnte auch hier ein Kunde eines der bei LinkedIn geklauten Passwörter verwendet haben. Der Help-Desk muss sich dann um möglicherweise kompromittierte Accounts kümmern, was höhere Support-Kosten bedeutet. Diese Gefahr kann auch dazu führen, dass Konten leer geräumt werden oder dass unbefugte Eindringlinge finanzielle Transaktionen anstoßen beziehungsweise Bestellungen aufgeben, die dann wieder mühsam berichtigt werden müssen. Diese Aktivitäten können auch erhebliche negative Auswirkungen auf Einzelpersonen haben.

Die richtigen Maßnahmen, um Firmenressourcen zu schützen

Es mag merkwürdig wirken, wenn eine Organisation auf Datendiebstähle bei anderen Unternehmen reagieren muss. Es ist aber eine notwendige Maßnahme, um die eigenen Accounts zu schützen. Nicht selten wird empfohlen, die Mitarbeiter aufzufordern, ihre Kennwörter häufiger zu ändern. Dies führt aber meist nur zu mehr Unzufriedenheit bei den Anwendern. Stattdessen sollten die Auswirkungen auf die Nutzer minimiert werden, um insgesamt die Account-Sicherheit zu verbessern.

So sollten sich Unternehmen darauf konzentrieren, den Anwendern den Umgang mit komplexen Passwörtern zu erleichtern und den Schutz der Benutzerdaten zu verbessern. Zu den empfehlenswerten Maßnahmen gehören der Einsatz von Lösungen zum Single-Sign-on (SSO), das Zusammenführen von Benutzerdaten durch so genannte Federated Identities, die Verwendung von Passwort-Managern oder auch die Einführung einer modernen Multi-Faktor-Authentifizierung (MFA). Dadurch reduziert sich nicht nur die Zahl der Passwörter, die sich ein Nutzer merken muss. Passwort-Manager haben außerdem den großen Vorteil, dass viel leichter Kennwörter verwendet werden können, die den geforderten Sicherheitsrichtlinien auch wirklich entsprechen. An dieser Stelle muss jedoch darauf hingewiesen werden, dass in der jüngeren Vergangenheit einige Schwachstellen bei Passwort-Managern gefunden wurden.

Darüber hinaus kann die Multi-Faktor-Authentifizierung genutzt werden, um die Accounts weiter zu schützen. Der Einsatz von MFA-Lösungen ist die sicherste Option, er ist allerdings kein Allheilmittel. In vielen Situationen erfordert es mehr Ressourcen und mehr Bereitschaft beim Anwender, sich zu ändern, als immer nur ein Passwort einzutippen. Es kann also unter Umständen mehr Zeit nötig sein, um die Risiken zu minimieren. In der Zwischenzeit können die anderen genannten Lösungen genutzt werden.

Unabhängig davon, wann die Verbesserungen in der Praxis umgesetzt werden können, sollten alle Accounts überwacht werden, um Datendiebstähle und gehackte Benutzer rechtzeitig zu entdecken. Die Security-Teams sollten deswegen bereits im Vorfeld detailliert festlegen, wie sie auf unterschiedliche Arten von Passwortdiebstählen reagieren.

Unternehmen sollten nicht nur die Auswirkungen von externen Datendiebstählen in ihre eigenen Überlegungen mit einbeziehen, sondern sich auch damit beschäftigen, wie Endanwender Passwörter nutzen. Davon lässt sich abhängig machen, welche Sicherheitsmaßnahmen implementiert werden müssen, um auch die Kunden-Accounts zu sichern. Techniken, die den meisten Nutzen bei geringen Kosten bringen, sollten priorisiert und zuerst umgesetzt werden. Mitarbeiter und das Management des Unternehmens sollten zudem ausführlich über die Gründe für die Änderungen informiert werden. Nur so verstehen sie, warum die neuen Maßnahmen nötig sind.

Fazit

Während viele Firmen zunehmend Cloud-Anwendungen und extern gemanagte Lösungen einsetzen, nehmen Angreifer lieber die einfachen Ziele ins Visier. Über den Umweg der Endanwender erhalten sie viel leichter Zugang zu den Ressourcen eines Unternehmens. In Anbetracht der immer wichtiger werdenden Sicherheit der Zugangsdaten sollten sie deswegen besondere Anstrengungen unternehmen, um die Daten der Benutzer zu schützen. Nur eine ehrliche Abschätzung der Risiken zeigt, ob die bislang eingesetzten Sicherheitskontrollen nicht aktualisiert und erweitert werden müssen, um das Risiko durch – interne und externe – Datendiebstähle zu minimieren.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

Passwortregeln auf den Prüfstand stellen.

Gestohlene Zugangsdaten sind häufig Firmen-Accounts.

Privilegierte Benutzerkonten begrenzen und die Sicherheit erhöhen.

Identity and Access Management: Die passenden Zugriffsrechte definieren.

Artikel wurde zuletzt im Oktober 2016 aktualisiert

Erfahren Sie mehr über Anwendungs- und Plattformsicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close