Kennwort-Sicherheit mangelhaft?
Das Bundesamt für Sicherheit in der Informationstechnik gibt in den Grundschutz-Katalogen Anweisungen, wie Unternehmen ein Mindestmaß an Sicherheit erreichen können. Leider gibt es immer wieder Fälle, wo es Firmen mit den Kennwörtern nicht so ernst nehmen. Kennwort-Klassen Wir unterscheiden zwischen verschiedene Klassen von Kennwörtern (die Zahl in Klammern misst das Risiko durch Missbrauch): Benutzer-Kennwörter, die nur hausintern funktionieren (1)Benutzer-Kennwörter, die auch über das Internet eingegeben werden können (Exchange Web App, Push-E-Mail auf Smartphones, VPN-Zugang (3)Benutzer-Kennwörter mit Zugriff auf Lohn und Personaldaten (6) Geräte-Kennwörter mit Zugriff nur über das lokale Netzwerk (Switches, Kameras, Wartungsklappen der Server IRMC) (2)Administrative Kennwörter (Lokaler Server oder Domänenweit) (5)Dienste Kennwörter und Kennwörter in Softwareprodukten (Datensicherung, Warenwirtschaft, Archiv, Banking, Fahrerkarten, Zeiterfassung und viele mehr) (4) WLAN-Passphrases (7) – Hackmöglichkeit in Sende-Reichweite des Access-Points Ausgangs-Situation, Risiken, Verantwortung Selbst wenn bei Neu-Einrichtung einer IT-Umgebung in allen Bereichen für sichere Kennwörter gesorgt ist, wird spätestens nach Abgang eines Mitarbeiters, vor allem, wenn es ein Administrator ist, eine Änderungsaktion aller ihm bekannten Kennwörter vorgeschrieben (damit weiterhin #BSI Grundschutz Minimum erreicht wird).Im schlimmsten Fall einer über Jahre gewachsenen und immer wieder aktualisierten Umgebung sind aber noch die Werks-Kennwörter der Hersteller/Lieferanten aktiv. Hersteller, Software-Lieferanten (damit auch wir) sind hierbei von der Haftung ausgeschlossen, da die Werks-Kennwörter zum Zeitpunkt der Kennwort-Setzung jeweils den aktuellen Anforderungen entsprechen oder die Empfehlung gilt, Werks-Kennwörter grundsätzlich zu ändern. Das Wissen um Umgang mit sicheren Kennwörtern ist auch im Lehrplan für die Sysko-Pflichtschulungen: https://tech-nachrichten.de/schulungsangebote/ Die operative Verantwortung über die Einhaltung der #Kennwörter liegt beim Systemkoordinator, gesamtverantwortlich ist die Geschäftsleitung.…
Das Bundesamt für Sicherheit in der Informationstechnik gibt in den Grundschutz-Katalogen Anweisungen, wie Unternehmen ein Mindestmaß an Sicherheit erreichen können. Leider gibt es immer wieder Fälle, wo es Firmen mit den Kennwörtern nicht so ernst nehmen. Kennwort-Klassen Wir unterscheiden zwischen verschiedene Klassen von Kennwörtern (die Zahl in Klammern misst das Risiko durch Missbrauch): Benutzer-Kennwörter, die nur hausintern funktionieren (1)Benutzer-Kennwörter, die auch über das Internet eingegeben werden können (Exchange Web App, Push-E-Mail auf Smartphones, VPN-Zugang (3)Benutzer-Kennwörter mit Zugriff auf Lohn und Personaldaten (6) Geräte-Kennwörter mit Zugriff nur über das lokale Netzwerk (Switches, Kameras, Wartungsklappen der Server IRMC) (2)Administrative Kennwörter (Lokaler Server oder Domänenweit) (5)Dienste Kennwörter und Kennwörter in Softwareprodukten (Datensicherung, Warenwirtschaft, Archiv, Banking, Fahrerkarten, Zeiterfassung und viele mehr) (4) WLAN-Passphrases (7) – Hackmöglichkeit in Sende-Reichweite des Access-Points Ausgangs-Situation, Risiken, Verantwortung Selbst wenn bei Neu-Einrichtung einer IT-Umgebung in allen Bereichen für sichere Kennwörter gesorgt ist, wird spätestens nach Abgang eines Mitarbeiters, vor allem, wenn es ein Administrator ist, eine Änderungsaktion aller ihm bekannten Kennwörter vorgeschrieben (damit weiterhin #BSI Grundschutz Minimum erreicht wird).Im schlimmsten Fall einer über Jahre gewachsenen und immer wieder aktualisierten Umgebung sind aber noch die Werks-Kennwörter der Hersteller/Lieferanten aktiv. Hersteller, Software-Lieferanten (damit auch wir) sind hierbei von der Haftung ausgeschlossen, da die Werks-Kennwörter zum Zeitpunkt der Kennwort-Setzung jeweils den aktuellen Anforderungen entsprechen oder die Empfehlung gilt, Werks-Kennwörter grundsätzlich zu ändern. Das Wissen um Umgang mit sicheren Kennwörtern ist auch im Lehrplan für die Sysko-Pflichtschulungen: https://tech-nachrichten.de/schulungsangebote/ Die operative Verantwortung über die Einhaltung der #Kennwörter liegt beim Systemkoordinator, gesamtverantwortlich ist die Geschäftsleitung.…
