Kennwort-Sicherheit mangelhaft?

Das Bundesamt für Sicherheit in der Informationstechnik gibt in den Grundschutz-Katalogen Anweisungen, wie Unternehmen ein Mindestmaß an Sicherheit erreichen können. Leider gibt es immer wieder Fälle, wo es Firmen mit den Kennwörtern nicht so ernst nehmen.

Kennwort-Klassen

Wir unterscheiden zwischen verschiedene Klassen von Kennwörtern (die Zahl in Klammern misst das Risiko durch Missbrauch):

  • Benutzer-Kennwörter, die nur hausintern funktionieren (1)
  • Benutzer-Kennwörter, die auch über das Internet eingegeben werden können (Exchange Web App, Push-E-Mail auf Smartphones, VPN-Zugang (3)
  • Benutzer-Kennwörter mit Zugriff auf Lohn und Personaldaten (6)
  • Geräte-Kennwörter mit Zugriff nur über das lokale Netzwerk (Switches, Kameras, Wartungsklappen der Server IRMC) (2)
  • Administrative Kennwörter (Lokaler Server oder Domänenweit) (5)
  • Dienste Kennwörter und Kennwörter in Softwareprodukten (Datensicherung, Warenwirtschaft, Archiv, Banking, Fahrerkarten, Zeiterfassung und viele mehr)
    (4)
  • WLAN-Passphrases (7) – Hackmöglichkeit in Sende-Reichweite
    des Access-Points

Ausgangs-Situation, Risiken, Verantwortung

Selbst wenn bei Neu-Einrichtung einer IT-Umgebung in allen Bereichen für sichere Kennwörter gesorgt ist, wird spätestens nach Abgang eines Mitarbeiters, vor allem, wenn es ein Administrator ist, eine Änderungsaktion aller ihm bekannten Kennwörter vorgeschrieben (damit weiterhin Grundschutz Minimum erreicht wird).
Im schlimmsten Fall einer über Jahre gewachsenen und immer wieder aktualisierten Umgebung sind aber noch die Werks-Kennwörter der Hersteller/Lieferanten aktiv.
Hersteller, Software-Lieferanten (damit auch wir) sind hierbei von der Haftung ausgeschlossen, da die Werks-Kennwörter zum Zeitpunkt der Kennwort-Setzung jeweils den aktuellen Anforderungen entsprechen oder die Empfehlung gilt, Werks-Kennwörter grundsätzlich zu ändern. Das Wissen um Umgang mit sicheren Kennwörtern ist auch im Lehrplan für die Sysko-Pflichtschulungen: https://tech-nachrichten.de/schulungsangebote/

Die operative Verantwortung über die Einhaltung der liegt beim Systemkoordinator, gesamtverantwortlich ist die Geschäftsleitung.

Lösung und Kennwort Generator

Prüfen Sie als Administrator Ihre Kennwort-Situation. Haben Sie alle ihnen bekannten Kennwörter von Ihrem Vorgänger übernommen oder sind Kennwörter unsicher, besteht Handlungsbedarf.

Unser Kennwort-Generator hilft Ihnen beim Prüfen und Erzeugen:

Kennwort-Generator

Für die Benutzer-Kennwörter ist eine Mindest-Richtlinie gemäß den Microsoft Empfehlungen empfehlenswert. Darüber hinaus sollte über eine Arbeitsanweisung geregelt sein, dass Mitarbeiter bei Verlassen eines Arbeitsplatzes diesen Sperren (Win-L).
Für das Ausscheiden von Mitarbeitern muss eine Arbeitsanweisung mit allen notwendigen Details erstellt werden, um hier Risiken im Zuge der Kennwörter zu vermeiden.
Schließlich muss eine Dienstanweisung regeln, dass Hard/Software im Betrieb nur dienstlich genutzt werden darf.

NUR wenn Ihnen alle Zusammenhänge zwischen Kennwörtern, Diensten und allen beteiligten Softwareprozessen bekannt sind und Sie mit den Auswirkungen einer Änderung umzugehen wissen, ändern Sie die Kennwörter auf einen sicheren Stand.

Unterstützung durch GWS IT-Spezialisten

Wenn sie sich nicht sicher sind, können Sie gern die Unterstützung aus unserem Team „Consulting Technik“ durch einen GWS IT-Spezialisten beauftragen. Eröffnen Sie dazu bitte einen Support-Vorgang im Extranet. Wir schätzen den ungefähren Aufwand und Sie erhalten ein Angebot.

Vortrag zur Kennwort-Sicherheit

datenschutz-kennwortsicherheit-sysko.pdf - 597 kB - (365x)" rel="nofollow" class="ddownload-link id-7274 ext-pdf">Vortrag Kennwortsicherheit datenschutz-kennwortsicherheit-sysko.pdf - 597 kB - (365x)
Zusammenfassung
  1. Kennwort-Klassen Wir unterscheiden zwischen verschiedene Klassen von Kennwörtern (die Zahl in Klammern misst das Risiko durch Missbrauch): Benutzer-Kennwörter, die nur hausintern funktionieren (1)Benutzer-Kennwörter, die auch über das Internet eingegeben werden können (Exchange Web App, Push-E-Mail auf Smartphones, VPN-Zugang (3)Benutzer-Kennwörter mit Zugriff auf Lohn und Personaldaten (6) Geräte-Kennwörter mit Zugriff nur über das lokale Netzwerk (Switches, Kameras, Wartungsklappen der Server IRMC) (2)Administrative Kennwörter (Lokaler Server oder Domänenweit) (5)Dienste Kennwörter und Kennwörter in Softwareprodukten (Datensicherung, Warenwirtschaft, Archiv, Banking, Fahrerkarten, Zeiterfassung und viele mehr) (4) WLAN-Passphrases (7) – Hackmöglichkeit in Sende-Reichweite des Access-Points Ausgangs-Situation, Risiken, Verantwortung Selbst wenn bei Neu-Einrichtung einer IT-Umgebung in allen Bereichen für sichere Kennwörter gesorgt ist, wird spätestens nach Abgang eines Mitarbeiters, vor allem, wenn es ein Administrator ist, eine Änderungsaktion aller ihm bekannten Kennwörter vorgeschrieben (damit weiterhin #BSI Grundschutz Minimum erreicht wird).
  2. NUR wenn Ihnen alle Zusammenhänge zwischen Kennwörtern, Diensten und allen beteiligten Softwareprozessen bekannt sind und Sie mit den Auswirkungen einer Änderung umzugehen wissen, ändern Sie die Kennwörter auf einen sicheren Stand.
  3. Hersteller, Software-Lieferanten (damit auch wir) sind hierbei von der Haftung ausgeschlossen, da die Werks-Kennwörter zum Zeitpunkt der Kennwort-Setzung jeweils den aktuellen Anforderungen entsprechen oder die Empfehlung gilt, Werks-Kennwörter grundsätzlich zu ändern.
Verwandte Beiträge
Über den Autor:
Patrick Bärenfänger ist Ihr Experte für IT-Sicherheit und IT-Systeme mit TÜV-Zertifizierungen als IT-Security Manager und -Auditor und über 33 Jahren IT-Erfahrung. Er bietet Ihnen professionelle Dienstleistungen in den Bereichen: Ausbildung und Zertifizierung von Systemkoordinierenden, Infrastruktur-Analyse und -Optimierung zur Azure-Cloud-Migration, IT-Systemprüfungen und Notfallplan/Risiko-Analyse nach anerkannten Standards BSI-Grundschutz und IDW PS330 und Anwendung der künstlichen Intelligenz in der Praxis.

Kommentare

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert