Freitag, 20. April 2018
Twitter Facebook Mister Wong Delicious stumbleupon digg Yahoo

Neueste Technologie für Administratoren

Systembetreuer im Windows-Umfeld brauchen Know-how über die neuesten Entwicklungen. Einsatzbeispiele und Tipps aus der Praxis führen zu mehr Effizienz im täglichen Betrieb. Wir bieten Skript-basierte Lösungen von Windows IT Pro exklusiv im deutschsprachigen Raum für unsere Abonnenten.

Mehr Sicherheit durch Zwei-Faktor-Authentifizierung

Passwörter mit geringer Komplexität – die nie gewechselt und zudem noch für alle Webseiten, Dienste und Cloud-Services eingesetzt werden – sind für Hacker ein „gefundenes Fressen“. Traurige Spitzenreiter bei entsprechenden Studien sind dabei jedes Jahr Passwörter wie „123456“ oder „admin“. Was sollten die Systembetreuer und die „normalen“ Mitarbeiter denn beim Thema Kennwörter beachten? Das Team von NT4ADMINS liefert dazu passende Tricks, Kniffe und Strategien. Soviel vorweg: Bei wichtigen Konten ist mindestens eine „Zwei-Faktor-Authentifizierung“ sowie ein starkes und komplexes Kennwort Plicht!

Die IT-Security sollte in den Unternehmen und bei den privaten Nutzern einen hohen Stellenwert einnehmen. Ein sehr wichtiger Punkt dabei ist das Thema Kennwort-Sicherheit – viele Nutzer nehmen es dabei nicht „so genau“ und verwenden unsichere und kurze Zeichenfolgen. Das stellt eine gefährliche Schwachstelle in jedem Security-Konzept dar. Regelmäßig durchgeführte Studien zeigen, dass die Top-10-Liste die meistverwendeten Passwörter mit genau solchen Kandidaten „besetzt“ ist. Passphrasen wie „123456“, „hallo“, „passwort“ oder „admin“ bieten kaum Sicherheit. Denn diese „Favoriten“ sind den Hackern ebenfalls bekannt, und befinden sich somit ganz am Anfang der zu testenden Kombinationen – etwa falls eine Wörterbuchattacke zum Einsatz kommt.

Daher sollten Mitarbeiter, IT-Personal und die Administratoren auf folgende Regeln achten, um (relativ) sicher Kennwörter zu erzeugen und einzusetzen:

  • Buchstaben, Zahlen und Sonderzeichen nutzen (hohe Komplexität),
  • dabei auf eine möglichst hohe Kennwortlänge setzen,
  • „echte“ Wörter, Geburtsdaten, Namen und Begriffe vermeiden,
  • Kennwörter möglichst „zufällig“ zusammenwürfeln.

Korrekte Handhabung

Zudem ist auf eine korrekte Handhabung zu achten, Passwörter daher nicht in „fremden“ WLAN- oder sonstigen Funknetzwerken (Internet-Café, Hotspot) in die Geräte eingeben, die Datenpakete könnten mit Hilfe einer „man-in-the-middle-Attacke“ mitgelesen werden. Auch sollte darauf geachtet werden, dass niemand bei der Passworteingabe zusehen kann (ähnlich wie beim Geldautomaten). Des Weiteren wird es problematisch, wenn das identische Passwort für unterschiedliche Dienste, Webseiten und Applikationen eigesetzt wird.

Auf diese Weise genügt es beispielsweise das Kennwort bei irgendeinem „unwichtigeren“ Dienst zu „knacken“, und schon stehen den Angreifern alle anderen Dienste und Ressourcen der betreffenden Person zu Verfügung – bei denen sich die Hacker beispielsweise mit der gleichen E-Mail-Adresse (als Benutzername) und dem gestohlenen Kennwort einloggen können. Auch Vorsicht ist bei E-Mail-Konten geboten, lassen sich doch mit einem geknackten Konto viele weitere Passwortabfragen umgehen, etwa mit Hilfe der (fast) überall vorhandenen „Passwort-Vergessen-Funktion“.

Kennwörter regelmäßig ändern

Ein weiterer Faktor: Die Kennwörter sollten regelmäßig geändert werden. Auf diese Weise können potentielle Angreifer, die bereits Zugriff auf entsprechende Credentials erhalten haben, wieder „ausgesperrt“ werden. Allerdings nur, wenn diese Angreifer im Vorfeld noch keine Gegenmaßnahmen ergriffen haben. Wurde das Kennwort beispielsweise durch den Einsatz eines Keyloggers kompromittiert, und diese Schadsoftware befindet sich weiterhin auf dem System des ahnungslosen Opfers, hilft ein regelmäßiger Passwort-Wechsel wenig. Schließlich können die Angreifer ja den Wortlaut des „neuen“ Passworts wieder mitschneiden.

Um nun die Sensibilität weiter zu erhöhen, gab Dan Wiley von Checkpoint auf der CPX 360 in Barcelona wertvolle Tipps:

Setzen Sie so wenig externe Dienste wie möglich ein, besonders E-Mail-Cloud-Konten lassen sich leicht kompromittieren. Sind die Angreifer einmal „im System“, laden sie die komplette Mailbox des betreffenden Users herunter. Danach „lernen“ sie den Benutzer genauer kennen, etwa seine „Art“ E-Mails zu verfassen, mit welchen anderen Mitarbeitern er Kontakte pflegt, und welchen Gewohnheiten diese Person nachgeht.

Derartige Informationen werden danach genutzt, um erfolgreich unter falschen Namen zu agieren. Bei den meisten E-Mail-Providern findet keine zusätzliche Prüfung statt, sind die Hacker einmal „drin“, und versenden E-Mails von einem Konto der Organisation zu weiteren Benutzern in der gleichen Firma, wird dies nicht allzu genau analysiert. Auch die anderen Mitarbeiter werden nicht so leicht aufmerksam, wenn ihnen der Kollege oder Vorgesetzte entsprechende Anweisungen per E-Mail erteilt, und diese Nachrichten „wie immer klingen“.

Auf diese Weise fordern die Angreifer weitere Benutzer auf, bestimmte Dateien zu öffnen, Links anzuklicken, Informationen herauszugeben, oder Geld auf bestimmte Konten zu überweisen.“

Mehr-Faktor-Authentifizierung

Falls irgendwie möglich, sollten immer weitere Authentifizierungs-Methoden eingesetzt werden. An dieser Stelle bietet sich eine Zwei-Faktor-Authentifizierung an. Bei besonders kritischen Diensten (Online-Banking) sollte auch eine Mehr-Faktor-Authentifizierung in Betracht gezogen werden. Neben den „typischen“ Anmeldevorgängen (Benutzername und Kennwort) wird dabei noch eine weitere Sicherheitsbarriere eingesetzt. Beispielsweise eine E-Mail oder SMS mit einem Einmal-Code, der nur eine begrenzte Zeit lange gültig ist. Dieser „Faktor“ wird nun zusätzlich benötigt, um die Anmeldung abzuschließen. Besonders im Online-Banking-Bereich sind dabei Hardware-Token bekannt, diese erzeugen beispielsweise passende Einmal-Codes für den Anmeldevorgang. Ähnlich arbeiten Software-Token (etwa Google Authenticator), diese werden einmalig synchronisiert, und das Smartphone übernimmt die Rolle des „Hardware-Token-Generators.

Allerdings müssen die Systembetreuer und Nutzer dieser Methode darauf achten, den zweiten (oder dritten) Faktor auch über einen weiteren Kommunikationsweg beziehungsweise über ein weiteres gerät abzuwickeln. Denn wenn sich der Nutzer etwa per Smartphone bei seiner Banking-App anmeldet, und auf dem selben Gerät auch eine SMS mit dem Anmeldecode erhält, müssen potentielle Angreifer nur eine entsprechende Schadsoftware auf dem Mobilgerät installieren, und erhalten leicht vollen Zugriff. Daher ist es wichtig, diese Bereiche entsprechend zu trennen.

Fazit

Nicht nur am „Ändere-dein-Passwort-Tag“ sollte das Augenmerk auf der Kennwortsicherheit im Unternehmen liegen – die Nutzer sowie IT-Verantwortlichen sollten sich jeden Tag entsprechende Gedanken machen. Um die Sicherheit in den Unternehmen in solide Bahnen zu lenken, ist eine entsprechende Strategie unumgänglich. Dazu kann auch gehören, die Nutzer mit unbeliebten (aber nötigen) Sicherheitsvorkehrungen zu „nerven“. In den Unternehmen selbst sind derartige Vorgaben meist noch relativ einfach durchzuführen. Mit den entsprechenden Gruppenrichtlinien lassen sich beispielsweise Kennwortrichtlinien zur Länge und Komplexität schnell und einfach festlegen.

Damit können die Anwender „einfache“ Passwörter wie „123456“ nicht nutzen, selbst wenn sie möchten. Problematischer wird es, wenn die (Kennwort-) Sicherheit auch für Cloud-Dienste, Webseiten und weitere Online-Dienste gelten soll, die von den Mitarbeitern neben den internen Ressourcen genutzt werden. Hier können bestimmte Software-Tools (technisch) weiterhelfen. Etwa Passwortmanager. Allerdings kann mit diesen Tools ebenfalls viel „schiefgehen“, etwa wenn diese Softwarekomponenten ihrerseits mit „schwachen“ Master-Passwörtern abgesichert werden, oder falls (noch) unentdeckte Sicherheitslücken in den Passwort-Tresoren „schlummern“.

Florian Huttenloher

Diesen Artikel bewerten
  
 4.37 (11 Bewertungen)
Kommentare
Anmelden
Anmelden