Cybersicherheit – Authentifizierungs Tipps

Nicht alle Verfahren lassen die Absicherung mit einem zweiten Faktor #MFA zu. Umso wichtiger ist es, für alle Anmeldungen (egal ob am Netzwerk, in der Domäne oder bei Online-Diensten) sichere Kennwörter zu verwenden.

Nach einer aktuelle Studie von März 2024 sind zwar viele dem Aufruf gefolgt (bzw. wurden vom den Anbietern dazu gezwungen) #Kennwörter auf mindestens 8 Zeichen zu verlängern, es gibt aber noch zu viele Sites, die nicht gleichzeitig Komplexität einfordern.

Das Resultat: Nach „123456“ ist nun „12345678“ das meistverwendete Kennwort. Da wo Komplexregeln gelten, ist nun Passwort1$ das meistgefundene Kennwort. Man kann sicher davon ausgehen, dass solche Konten bereits gehackt wurden – ansonsten ist der Identitätsdiebstahl nur eine Frage der Zeit.

Vorschläge

#Wichtig – das Bundesamt für Sicherheit in der Informationstechnik empfiehlt zwar weiterhin (auch für Standard-User) 8-stellige Kennwörter, bei denen 3 von 4 Komplexitäts-Regeln erfüllt sein müssen, die allgemeine Praxis setzt aber auf 10 Stellen (sofern kein zweiter Faktor möglich ist, wie beim Active Directory zur Anmeldung im Firmennetzwerk bzw. an der Windows Domäne und einigen Websites). Für administrative Kennwörter sind mindestens 12 Stellen empfehlenswert:

• Großbuchstaben
• Kleinbuchstaben
• Zahl
• Sonderzeichen wie §$%&/.- und Leerzeichen

Die gebildeten Kennwörter dürfen in keinem Wörterbuch auftauchen (also keine ganzen Wörter enthalten, es sei denn, sie sind mit Rechtschreibfehlern gespickt).

Immer wenn Zwei-Faktor möglich ist, sollte es verwendet werden. Bei Microsoft365 (Entra-ID, ehemals Azure Active Directory: Office, Teams, Sharepoint, Exchange online) lässt sich die Anmeldung entweder kostenlos mit der Authenticator App oder im Rahmen eines Microsoft 365 Business Premium Plans auch mit „conditional access“ absichern. Hierbei wird entweder die Hardware-ID des Endgerätes als zweiter Faktor verwendet oder/und es lassen sich geografische Zugänge eingrenzen (z. B. keine Anmeldung aus dem Ausland).

Notebooks verschlüsseln

Werden Notebooks/Windows tablets verwendet, müssen diese zusätzlich (das funktioniert mit Bordmitteln) durch den Bitlocker und einer 4-6 stelligen PIN geschützt sein. Beim Einschalten des Geräts, noch bevor das Betriebssystem startet, wird dann diese PIN angefordert.

Handlungsbedarf?

Prüfen Sie Ihre verwendeten Kennwörter und ob Sie bereits MFA bei Microsoft 365 für Alle einsetzen (bzw. Conditional Access im Rahmen von Business premium Plänen).

Wenn nicht – bitte zeitnah die Sicherheit auf die aktuellen Mindest-Anforderungen bzw. best Practice bringen.

Richten Sie sich am Besten nach folgenden Regeln:

• Wenn möglich, 2-Faktor-Authentifizierung verwenden (MFA) – für Microsoft 365 ist MFA für alle Konten ab Juli 2024 Pflicht.
• Passwörter sollten grundsätzlich 10 Zeichen haben und komplex sein. Das gilt sowohl für Domänen-Anmeldungen, als auch für Internet-Seiten und App-Logins.
• Admin/Domain-Admin Passwörter sind mit mindestens 12 Zeichen und Komplexität empfohlen

Empfehlungen der Redaktion

Lesen Sie bitte auch unseren Detail-Artikel zur Kennwortsicherheit.

Ändere Dein Passwort – Tag

Seit vielen Jahren gibt es immer am 01. Februar den Motto Tag „Ändere Dein Passwort“. Nachdem schon vor Jahren durch Studien mehrerer Universitäten belegt wurde, dass der Zwang, seine Kennwörter regelmäßig zu ändern genau das Gegenteil bewirkt – nämlich unsichere #Kennwörter, muss das Motto des Tages modernisiert werden.

Aktuell wäre „Sichere Authentifizierung“ ein zeitgemäßes Motto.

Hintergrund

Der Passwortwechsel-Zwang führt im Regelfall bei einem 7-Stelligen Passwort dazu, dass am Ende eine zweistellige Zahl hochgezählt wird und der Hacker nur noch ein fünfstelliges Passwort „knacken“ muss.

Sicherer sind die folgenden Ratschläge:

1. Verwenden Sie für jede unterschiedliche Anmeldung (Internet-Seiten, Domain-Login, Smartphone, Apps-Login) ein anderes Kennwort
2. Erzeugen Sie diese Kennwörter entweder mit einem Kennwort-Generator (im Keepass ist auch einer enthalten) oder nach einer Formel wie Anfangsbuchstaben eines Satzes, den nur Sie kennen und der Sonderzeichen und Zahlen enthält
3. Benutzer-Kennwörter sollten mindestens 7 Zeichen, Groß- und Kleinschreibung und ein Sonderzeichen bestehen. Optimalerweise enthält es auch Leerzeichen
4. Andmin-Kennwörter liegen zwischen 8 und 10 Zeichen und unterliegen ebenfalls den Komplexitätsformeln.
5. Speichern Sie diese Kennwörter in einem Kennwort-Safe, der auch ohne Internet funktioniert und das Öffnen seines Kennwort-Safes Zwei-Faktor-Authentifizierung unterstützt (Keepass Pro Passwort Safe ist eine sichere Open-Source-Software mit lokalem, verschlüsseltem Safe für Windows, android und apple ios)
6. Verwenden Sie, wenn Anbieter dies bereitstellen, die 2FA auch für Internet-Anmeldungen. Microsoft und Google unterstützen das beispielsweise für seine Online-Dienste
7. Bei allen Seiten, die Geld bewegen (Banken, Sparkassen und andere Finanzdienstleister) ist 2FA mittlerweile Pflicht. Sie können meist per SMS-Token oder mit einer App den Freischaltcode bekommen zum Durchführen einer Transaktion oder nur zum Anmelden. Die App-Variante ist dabei meist günstiger, weil einige Institute bis zu 30ct pro SMS berechnen

Kennworte regelmäßig ändern? Nein!

Ich habe all meine Passwörter in -general error- geändert, so sagt mir mein Rechner wie es lautet wenn ich es vergessen habe.

Volksmund, Witze

Vorschriften

Was bereits (wir berichteten in diesem Artikel darüber) das NIST, die amerikanische Normungsbehörde und Studien mehrerer internationaler Universitäten vor Jahren herausgefunden haben, wird nun auch vom Bundesamt für Sicherheit in der Informationstechnik – kurz #BSI empfohlen.

In der aktuellen Version des Grundschutz-Kompendiums wurde im Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8)  die Empfehlung, Kennwörter regelmäßig zu ändern, entfernt. #Kennwörter müssen demnach nur kurzfristig geändert werden, wenn sie verbrannt sind bzw. in falsche Hände geraten sind. Ebenso wenn ein Mitarbeiter aus dem Unternehmen ausscheidet.

Ein sicheres Kennwort kann man bedenkenlos über Jahre hinweg nutzen. Das regelmäßige Ändern führt eher dazu, dass man diese beispielsweise nach einem Schema (Kennwort1, Kennwort2 usw.) erzeugt. 

Anwendung in der Praxis

Wer weiter Kennwörter nutzt, beherzigt am Besten die folgenden Regeln:

• Die Richtlinie zur regelmäßigen Kennwort-Änderung entfernen
• Kennwort-Regeln: Mindestlänge 8 Zeichen (für Admin-Konten 12 Zeichen empfohlen, für Benutzerkonten 10 Zeichen), Kleinbuchstaben, Großbuchstabe, Sonderzeichen
• [Anmerkung: Ein Kennwort aus mehreren unsinnigen Wörtern ist sicherer als ein Wort mit Sonderzeichen]
• Organisatorische Richtlinie erstellen und leben, dass bei Ausscheiden eines Mitarbeitendes alle seine Kennwörter überschrieben werden. Dies erfordert eine Dienstanweisung, die die ausschließlich dienstliche Nutzung der Mitarbeitende vorschreibt

Typische Kennwort-Vorkommen

• Active Directory bzw. Azure Active Directory – Anmeldung an der Windows Domäne, Office 365, Exchange Online
• Anmeldung an Web-Portalen (Internet-Seiten)
• Anmeldung am WordPress Webseiten Adminlogin. Es gibt ein kostenloses „Two-Factor“ Plugin, dass die Anmeldung mit MFA sichert.
• Anmeldungen, die Geld-Transaktionen ermöglichen (für diese Banking-Anmeldungen ist eine 2-Faktor-Authentifizierung zwingend vorgeschrieben)
• Active Directory bzw. Azure Active Directory – Anmeldung an der Windows Domäne, Office 365, Exchange Online, Teams, Sharepoint Online, Onedrive für Business (für diese Anmeldungen mit der Microsoft Entra-ID ist eine 2-Faktor-Authentifizierung zwingend vorgeschrieben)

Anmeldung an Web-Portalen

Anmeldungen, die Geld-Transaktionen ermöglichen (für diese Banking-Anmeldungen ist eine 2-Faktor-Authentifizierung zwingend vorgeschrieben)

Die 2-Faktor-Autenfizierung (MFA) ist, da, wo sie möglich ist, grundsätzlich zu empfehlen, da eine Kombination aus Smartphone und Rechner die Sicherheit bietet (etwas was ich weiß und etwas was ich habe), dass diese Kombination nur äußerst schwer hackbar ist. Microsoft bietet mit der Authenticator App eine Solche Lösung für alle Azure-Active Directory basierenden Portale.

Accounts werden nach 5 fehlerhaften Anmeldungen automatisch gesperrt.

Sobald die neue Kennwortrichtlinie aktiviert wird, müssen sämtliche Kennwörter geändert werden. Der Zeitpunkt wird entsprechend abgestimmt.

• Nutzen Sie gern im Sysko-Portal auch den Kennwort-Generator mit Prüfbericht:
• https://tech-nachrichten.de/kennwort-generator/

#Wichtig – Die 2-Faktor-Autentifizierung ist, da, wo sie möglich ist, grundsätzlich zu empfehlen, da eine Kombination aus Smartphone und Rechner die Sicherheit bietet (etwas was ich weiß und etwas was ich habe), das diese Kombination nur äußerst schwer knackbar ist. Microsoft bietet mit der Authenticator App eine Solche Lösung für alle Azure-Active Directory basierenden Portale. Lesen Sie dazu auch unseren BLOG-Artikel.

So kann beispielsweise bei Microsoft EntraID mit der passenden Lizenz beispielsweise mit „conditional Access“ die Geräte-ID, geografische Merkmale, ein Token, biometrische Merkmale wie Finger oder Gesicht oder ein Token benutzt werden, um sicherzustellen, dass der Zugriff auf vertrauliche Daten nicht fremd erfolgt.

Multi-Faktor im Detail

Sämtliche administrative, bestenfalls auch Benutzerkonten online (Azure Active Directory (Microsoft 365 (Exchange online, Office 365, Teams, Onedrive for Business, Sharepoint online, Teams, Defender…), Geschäftskonten, Azure-Portal )- Konten sollen mit „Multi Factor Authentication“ geschützt werden. Um sich vor einem Kennwort Verlust zu schützen, wird ein zusätzliches Authentifizierungsmerkmal genutzt (Microsoft Authenticator App für Google Android oder Apple IOS oder als SMS-Versand auf ein festzulegendes Handy).

Multifaktor sollte ausschließlich mit aktuellen Android- und IOS-Versionen und nur mit Dienst-Mobiltelefonien genutzt werden – oder aber mit Conditional Access und einem anderen zweiten Faktor.

So kann ein potenzieller Angreifer selbst mit dem bekannten Kennwort nicht auf das Konto zugreifen.

• Für Microsoft Konten im Office Portal und Azure ist die Einrichtung möglich und muss spätestens, wenn Microsoft sie erzwingt eingerichtet werden. (Security Pauschale für Microsoft 365, spezielle Einrichtung nach Aufwand)

Kennwort-Sicherheit mangelhaft?

Das Bundesamt für Sicherheit in der Informationstechnik gibt in den Grundschutz-Katalogen Anweisungen, wie Unternehmen ein Mindestmaß an Sicherheit erreichen können. Leider gibt es immer wieder Fälle, wo es Firmen mit den Kennwörtern nicht so ernst nehmen.

Kennwort-Klassen

Wir unterscheiden zwischen verschiedene Klassen von Kennwörtern (die Zahl in Klammern misst das Risiko durch Missbrauch):

• Benutzer-Kennwörter, die nur hausintern funktionieren (1)
• Benutzer-Kennwörter, die auch über das Internet eingegeben werden können (Exchange Web App, Push-E-Mail auf Smartphones, VPN-Zugang (3)
• Benutzer-Kennwörter mit Zugriff auf Lohn und Personaldaten (6)
• Geräte-Kennwörter mit Zugriff nur über das lokale Netzwerk (Switches, Kameras, Wartungsklappen der Server IRMC) (2)
• Administrative Kennwörter (Lokaler Server oder Domänenweit) (5)
• Dienste Kennwörter und Kennwörter in Softwareprodukten (Datensicherung, Warenwirtschaft, Archiv, Banking, Fahrerkarten, Zeiterfassung und viele mehr)
  (4)
• WLAN-Passphrases (7) – Hackmöglichkeit in Sende-Reichweite
  des Access-Points

Ausgangs-Situation, Risiken, Verantwortung

Selbst wenn bei Neu-Einrichtung einer IT-Umgebung in allen Bereichen für sichere Kennwörter gesorgt ist, wird spätestens nach Abgang eines Mitarbeiters, vor allem, wenn es ein Administrator ist, eine Änderungsaktion aller ihm bekannten Kennwörter vorgeschrieben (damit weiterhin #BSI Grundschutz Minimum erreicht wird).
Im schlimmsten Fall einer über Jahre gewachsenen und immer wieder aktualisierten Umgebung sind aber noch die Werks-Kennwörter der Hersteller/Lieferanten aktiv.
Hersteller, Software-Lieferanten (damit auch wir) sind hierbei von der Haftung ausgeschlossen, da die Werks-Kennwörter zum Zeitpunkt der Kennwort-Setzung jeweils den aktuellen Anforderungen entsprechen oder die Empfehlung gilt, Werks-Kennwörter grundsätzlich zu ändern. Das Wissen um Umgang mit sicheren Kennwörtern ist auch im Lehrplan für die Sysko-Pflichtschulungen: https://tech-nachrichten.de/schulungsangebote/

Die operative Verantwortung über die Einhaltung der #Kennwörter liegt beim Systemkoordinator, gesamtverantwortlich ist die Geschäftsleitung.

Lösung und Kennwort Generator

Prüfen Sie als Administrator Ihre Kennwort-Situation. Haben Sie alle ihnen bekannten Kennwörter von Ihrem Vorgänger übernommen oder sind Kennwörter unsicher, besteht Handlungsbedarf.

Unser Kennwort-Generator hilft Ihnen beim Prüfen und Erzeugen:

Für die Benutzer-Kennwörter ist eine Mindest-Richtlinie gemäß den Microsoft Empfehlungen empfehlenswert. Darüber hinaus sollte über eine Arbeitsanweisung geregelt sein, dass Mitarbeiter bei Verlassen eines Arbeitsplatzes diesen Sperren (Win-L).
Für das Ausscheiden von Mitarbeitern muss eine Arbeitsanweisung mit allen notwendigen Details erstellt werden, um hier Risiken im Zuge der Kennwörter zu vermeiden.
Schließlich muss eine Dienstanweisung regeln, dass Hard/Software im Betrieb nur dienstlich genutzt werden darf.

NUR wenn Ihnen alle Zusammenhänge zwischen Kennwörtern, Diensten und allen beteiligten Softwareprozessen bekannt sind und Sie mit den Auswirkungen einer Änderung umzugehen wissen, ändern Sie die Kennwörter auf einen sicheren Stand.

Unterstützung durch GWS IT-Spezialisten

Wenn sie sich nicht sicher sind, können Sie gern die Unterstützung aus unserem Team „Consulting Technik“ durch einen GWS IT-Spezialisten beauftragen. Eröffnen Sie dazu bitte einen Support-Vorgang im Extranet. Wir schätzen den ungefähren Aufwand und Sie erhalten ein Angebot.

Vortrag zur Kennwort-Sicherheit