:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1c/1f/1c1f759ae2c7bb664ef18dc1f97a71b6/0115595517.jpeg "Mit drei MDR-Lösungen will Secuinfra den Service auch für KMU erschwinglich machen. (Bild: Philip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/08/4108bcbb5b54b2aea3729797f41c64b0/0115212126.jpeg "Nachhaltige Cyber-Resilienz steht und fällt mit einer unternehmensweiten Cybersicherheitskultur der gemeinsamen Verantwortung, die den Menschen ins Zentrum stellt. (Bild: peterschreiber.media - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zurücksetzen von Passwörtern Damit der Passwort-Reset nicht zur Hintertür ins Netzwerk wird
Wenn Nutzer eines ihrer Passwörter vergessen haben, melden sie sich bei der IT-Administration, oder sie können es selbst zurücksetzen. Wenn aber das Verfahren für den Passwort-Reset nicht richtig umgesetzt wird, öffnen sich Angriffsmöglichkeiten für Cyberkriminelle. Die Aufsichtsbehörden für den Datenschutz geben Tipps, worauf man achten soll.
Gesponsert von
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Passwort-Probleme, auch gerade im Home-Office
Wer kennt es nicht? Das Passwort für einen selten genutzten Dienst will einem nicht einfallen. Nach einigen erfolglosen Versuchen, sich dort anzumelden, wird klar, man muss das Passwort zurücksetzen.
Das Vergessen von Passwörtern ist ein Problem, mit dem sich IT-Nutzer und IT-Administratoren seit Anbeginn der IT-Sicherheit befassen müssen, denn wir Menschen sind vergesslich, gerade dann, wenn man wie meist gefordert für jeden Dienst ein eigenes Passwort wählen soll und die Passwörter komplex sein sollen.
Das Notieren von Passwörtern und das Speichern in einer ungeschützten Passwortliste sind keine Lösung gegen das Vergessen, im Gegenteil, sie bedeuten ein hohes Risiko für die Passwortsicherheit.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt: „Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf dem berühmten Notizzettel am Bildschirm kleben.“
Deshalb sind Verfahren wichtig, was Nutzer tun sollen, wenn sie wieder einmal ein Passwort vergessen haben, also ein Verfahren für das Zurücksetzen und die Neuvergabe eines Passwortes.
Leider kommt es sehr oft dazu, dass Passwörter zurückgesetzt werden müssen, so dass die IT-Administration oder der Help-Desk im Unternehmen damit einen Großteil der Arbeitszeit verbringt. Um den IT-Support zu entlasten, nutzen viele Unternehmen inzwischen einen Self-Service für das Zurücksetzen.
Gerade in Zeiten von Home-Office und Remote Work sind solche Verfahren gleich mehrfach ein Vorteil, wenn sie denn richtig umgesetzt werden. So werden die Mitarbeiterinnen und Mitarbeiter im Help-Desk entlastet und die Beschäftigten im Home-Office müssen nicht darauf warten, bis ihnen geholfen werden kann, was die Produktivität senken würde.
Es gibt also gute Gründe, sich mit den Verfahren für Passwort-Resets zu befassen.
Zurücksetzen als mögliche Angriffsmethode
Leider werden bei den Self-Service-Verfahren für das Zurücksetzen von Kennwörtern viele Fehler gemacht. So sind die Sicherheitsfragen, die zur Prüfung der Nutzeridentität bei dem Passwort-Reset genutzt werden, oftmals zu einfach und können in Zeiten von Social Media auch von Dritten leicht beantwortet werden.
Ohne sichere Kontrolle der Nutzeridentität jedoch können Hacker die Verfahren zum Zurücksetzen der Passwörter missbrauchen und sich selbst ein Passwort vergeben, um dann in die Systeme einzudringen.
Datenschützer wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg empfehlen deshalb sogar: „Viele Dienste fragen Sie für Sicherheitsfragen nach persönlichen Informationen, wie dem Name Ihres ersten Haustieres, dem Geburtsdatum der Mutter oder ähnlichem. Die korrekten Antworten auf solche Fragen sind für Angreifer aus Ihrem Umfeld oder insbesondere bei Personen des öffentlichen Lebens oftmals leicht herauszufinden. Zwingt Sie ein Dienst, solche Sicherheitsfragen zu verwenden: Lügen Sie! Es bietet sich an, wie bei Passwörtern zufällige Angaben zu machen und diese im Passwort-Safe zu speichern.“
Datenschützer fordern bessere Verfahren für Passwort-Resets
Das Zurücksetzen von Passwörtern kann zu einem Sicherheitsleck werden und Datenpannen nach sich ziehen, wenn das Verfahren nicht richtig umgesetzt wird. Deshalb haben die Aufsichtsbehörden für den Datenschutz Empfehlungen erstellt, wie der Reset von Passwörtern umgesetzt werden sollte:
- Es sind Passwort-Reset-Verfahren anzubieten, die gegen unbefugte Zugriffsversuche und Social Engineering resistent sind. Verfahren, die ein neues Passwort per E-Mail versenden, sind ungeeignet. Stand der Technik sind Passwort-Reset-Links, bei denen der Link nur ein einziges Mal funktioniert und nur eine kurze Gültigkeitsdauer (max. 1 Stunde) besitzt. Insbesondere für ein Recovery von E-Mail-Konten muss ein zweiter Kanal verwendet werden.
- Zusätzliche Sicherheitsfragen beim Anstoßen eines Passwort-Reset-Verfahrens bieten eine größere Sicherheit als ein Versand eines Passwort-Reset-Links ohne weitere Authentisierung, können aber einen zweiten sicheren Kanal nicht ersetzten. Wenn Sicherheitsfragen zum Einsatz kommen, sollten mehrere Fragen eingesetzt werden und neben vorgegebene Fragen auch nutzergenerierte Fragen möglich sein. Fehleingaben bei Sicherheitsfragen müssen wie Fehleingaben von Passwörtern zumindest zu temporären Sperrungen führen.
Die Lösung Specops uReset
Die Lösung Specops uReset von Specops Software ermöglicht es Remote-Benutzern, ihre Passwörter zurückzusetzen, ohne den Helpdesk anrufen zu müssen. uReset aktualisiert nicht nur das Passwort in Active Directory, sondern auch in den lokal zwischengespeicherten Anmeldeinformationen (cached credentials) des Computers und verhindert damit das Sperren des Kontos. Das Zurücksetzen des Kennworts erfolgt direkt vom Windows-Anmeldebildschirm aus.
Benutzer können ihr Passwort auch via Browser, Handy oder direkt vom Windows-Login Screen aus zurücksetzen, auch ohne mit dem Unternehmensnetzwerk verbunden zu sein. Specops uReset gewährleistet durch Sicherheitsfeatures wie Multifaktor–Authentifizierung und Geo–Blocking einen hohen Sicherheitslevel für die Prüfung der Nutzeridentität. So lässt sich zum Beispiel das Zurücksetzen von Passwörtern verhindern, wenn dies von an einem Ort aus geschehen soll, an dem sich der Nutzer nicht aufhalten würde.
Bei der Prüfung der Nutzeridentität verlässt sich Specops uReset nicht auf einfache Sicherheitsfragen. Specops uReset ermöglicht es Benutzern, ihre Identität mithilfe einer Vielzahl von Identitätsanbietern einschließlich Duo Security, Okta Verify, MS Authenticator oder einer biometrischen Option, zu verifizieren. Die Verwendung von mehreren Identitätsdiensten ermöglicht, dass Benutzer die Aufgabe der Passwort-Rücksetzung abschließen können, selbst wenn ein Identitätsdienst nicht verfügbar ist.
Wenn ein Benutzer beispielsweise sein mobiles Gerät nicht zur Hand hat und damit die Authentifizierung über biometrische Merkmale nicht möglich ist, kann er seinen Vorgesetzten bitten, sich über Manager Identifikation verifizieren zu lassen.
Statistiken und Audit-Berichte stehen der IT-Administration zur Verfügung, um die Nutzung und Systemmeldungen nachzuverfolgen. Zudem ist die Nutzerschnittstelle in verschiedenen Sprachen verfügbar wie Deutsch, Französisch und Spanisch, der Nutzerdialog kann angepasst werden, sodass Unternehmen auch ihr Corporate Design verwenden können. Nicht zuletzt unterstützt Specops uReset Google re-CAPTCHA, um das Abgreifen von Nutzernamen zu verhindern.
Anfragen zum Zurücksetzen des Passwortes stellen den Helpdesk vor eine große Herausforderung, nicht nur wegen der hohen Aufwände, sondern auch im Bereich Sicherheit. Es gilt legitime Anfragen von denen von Cyberkriminellen zu unterscheiden. Social Engineering Angriffe auf den Helpdesk stellen eine große Gefahr dar.
Specops Secure Service Desk ermöglicht es Organisationen, eine sichere Benutzerverifizierung durch den Service Desk Mitarbeiter zu gewährleisten. Dies wird in dem nächsten Teil dieser Serie näher betrachtet. Wer jetzt schon schauen möchte, findet die Lösung hier:
(ID:47413417)
:quality(80)/p7i.vogel.de/wcms/ec/bd/ecbdc129c5aaf6aeebcf06f0a9948183/0109633518.jpeg "Deep-Fake-Attacken werden zunehmend zu einer Gefahr für IT-Administration und Service Desks. Specops Software bietet die passenden Tools an, um derartige Angriffe abzuwehren. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/de/c7/dec77606004c8dcb8d62a83822652af3/0114893740.jpeg "Retarus sorgt mit einer Cloud-Komplettlösung für sichere E-Mail-Kommunikation. (Bild: Shutterstock / Thaspol Sangsee)")