:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Zurücksetzen von Passwörtern Damit der Passwort-Reset nicht zur Hintertür ins Netzwerk wird
Wenn Nutzer eines ihrer Passwörter vergessen haben, melden sie sich bei der IT-Administration, oder sie können es selbst zurücksetzen. Wenn aber das Verfahren für den Passwort-Reset nicht richtig umgesetzt wird, öffnen sich Angriffsmöglichkeiten für Cyberkriminelle. Die Aufsichtsbehörden für den Datenschutz geben Tipps, worauf man achten soll.
Gesponsert von
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Passwort-Probleme, auch gerade im Home-Office
Wer kennt es nicht? Das Passwort für einen selten genutzten Dienst will einem nicht einfallen. Nach einigen erfolglosen Versuchen, sich dort anzumelden, wird klar, man muss das Passwort zurücksetzen.
Das Vergessen von Passwörtern ist ein Problem, mit dem sich IT-Nutzer und IT-Administratoren seit Anbeginn der IT-Sicherheit befassen müssen, denn wir Menschen sind vergesslich, gerade dann, wenn man wie meist gefordert für jeden Dienst ein eigenes Passwort wählen soll und die Passwörter komplex sein sollen.
Das Notieren von Passwörtern und das Speichern in einer ungeschützten Passwortliste sind keine Lösung gegen das Vergessen, im Gegenteil, sie bedeuten ein hohes Risiko für die Passwortsicherheit.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt: „Passwörter sollten niemals unverschlüsselt auf dem PC abgelegt werden oder auf dem berühmten Notizzettel am Bildschirm kleben.“
Deshalb sind Verfahren wichtig, was Nutzer tun sollen, wenn sie wieder einmal ein Passwort vergessen haben, also ein Verfahren für das Zurücksetzen und die Neuvergabe eines Passwortes.
Leider kommt es sehr oft dazu, dass Passwörter zurückgesetzt werden müssen, so dass die IT-Administration oder der Help-Desk im Unternehmen damit einen Großteil der Arbeitszeit verbringt. Um den IT-Support zu entlasten, nutzen viele Unternehmen inzwischen einen Self-Service für das Zurücksetzen.
Gerade in Zeiten von Home-Office und Remote Work sind solche Verfahren gleich mehrfach ein Vorteil, wenn sie denn richtig umgesetzt werden. So werden die Mitarbeiterinnen und Mitarbeiter im Help-Desk entlastet und die Beschäftigten im Home-Office müssen nicht darauf warten, bis ihnen geholfen werden kann, was die Produktivität senken würde.
Es gibt also gute Gründe, sich mit den Verfahren für Passwort-Resets zu befassen.
Zurücksetzen als mögliche Angriffsmethode
Leider werden bei den Self-Service-Verfahren für das Zurücksetzen von Kennwörtern viele Fehler gemacht. So sind die Sicherheitsfragen, die zur Prüfung der Nutzeridentität bei dem Passwort-Reset genutzt werden, oftmals zu einfach und können in Zeiten von Social Media auch von Dritten leicht beantwortet werden.
Ohne sichere Kontrolle der Nutzeridentität jedoch können Hacker die Verfahren zum Zurücksetzen der Passwörter missbrauchen und sich selbst ein Passwort vergeben, um dann in die Systeme einzudringen.
Datenschützer wie der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg empfehlen deshalb sogar: „Viele Dienste fragen Sie für Sicherheitsfragen nach persönlichen Informationen, wie dem Name Ihres ersten Haustieres, dem Geburtsdatum der Mutter oder ähnlichem. Die korrekten Antworten auf solche Fragen sind für Angreifer aus Ihrem Umfeld oder insbesondere bei Personen des öffentlichen Lebens oftmals leicht herauszufinden. Zwingt Sie ein Dienst, solche Sicherheitsfragen zu verwenden: Lügen Sie! Es bietet sich an, wie bei Passwörtern zufällige Angaben zu machen und diese im Passwort-Safe zu speichern.“
Datenschützer fordern bessere Verfahren für Passwort-Resets
Das Zurücksetzen von Passwörtern kann zu einem Sicherheitsleck werden und Datenpannen nach sich ziehen, wenn das Verfahren nicht richtig umgesetzt wird. Deshalb haben die Aufsichtsbehörden für den Datenschutz Empfehlungen erstellt, wie der Reset von Passwörtern umgesetzt werden sollte:
- Es sind Passwort-Reset-Verfahren anzubieten, die gegen unbefugte Zugriffsversuche und Social Engineering resistent sind. Verfahren, die ein neues Passwort per E-Mail versenden, sind ungeeignet. Stand der Technik sind Passwort-Reset-Links, bei denen der Link nur ein einziges Mal funktioniert und nur eine kurze Gültigkeitsdauer (max. 1 Stunde) besitzt. Insbesondere für ein Recovery von E-Mail-Konten muss ein zweiter Kanal verwendet werden.
- Zusätzliche Sicherheitsfragen beim Anstoßen eines Passwort-Reset-Verfahrens bieten eine größere Sicherheit als ein Versand eines Passwort-Reset-Links ohne weitere Authentisierung, können aber einen zweiten sicheren Kanal nicht ersetzten. Wenn Sicherheitsfragen zum Einsatz kommen, sollten mehrere Fragen eingesetzt werden und neben vorgegebene Fragen auch nutzergenerierte Fragen möglich sein. Fehleingaben bei Sicherheitsfragen müssen wie Fehleingaben von Passwörtern zumindest zu temporären Sperrungen führen.
Die Lösung Specops uReset
Die Lösung Specops uReset von Specops Software ermöglicht es Remote-Benutzern, ihre Passwörter zurückzusetzen, ohne den Helpdesk anrufen zu müssen. uReset aktualisiert nicht nur das Passwort in Active Directory, sondern auch in den lokal zwischengespeicherten Anmeldeinformationen (cached credentials) des Computers und verhindert damit das Sperren des Kontos. Das Zurücksetzen des Kennworts erfolgt direkt vom Windows-Anmeldebildschirm aus.
Benutzer können ihr Passwort auch via Browser, Handy oder direkt vom Windows-Login Screen aus zurücksetzen, auch ohne mit dem Unternehmensnetzwerk verbunden zu sein. Specops uReset gewährleistet durch Sicherheitsfeatures wie Multifaktor–Authentifizierung und Geo–Blocking einen hohen Sicherheitslevel für die Prüfung der Nutzeridentität. So lässt sich zum Beispiel das Zurücksetzen von Passwörtern verhindern, wenn dies von an einem Ort aus geschehen soll, an dem sich der Nutzer nicht aufhalten würde.
Bei der Prüfung der Nutzeridentität verlässt sich Specops uReset nicht auf einfache Sicherheitsfragen. Specops uReset ermöglicht es Benutzern, ihre Identität mithilfe einer Vielzahl von Identitätsanbietern einschließlich Duo Security, Okta Verify, MS Authenticator oder einer biometrischen Option, zu verifizieren. Die Verwendung von mehreren Identitätsdiensten ermöglicht, dass Benutzer die Aufgabe der Passwort-Rücksetzung abschließen können, selbst wenn ein Identitätsdienst nicht verfügbar ist.
Wenn ein Benutzer beispielsweise sein mobiles Gerät nicht zur Hand hat und damit die Authentifizierung über biometrische Merkmale nicht möglich ist, kann er seinen Vorgesetzten bitten, sich über Manager Identifikation verifizieren zu lassen.
Statistiken und Audit-Berichte stehen der IT-Administration zur Verfügung, um die Nutzung und Systemmeldungen nachzuverfolgen. Zudem ist die Nutzerschnittstelle in verschiedenen Sprachen verfügbar wie Deutsch, Französisch und Spanisch, der Nutzerdialog kann angepasst werden, sodass Unternehmen auch ihr Corporate Design verwenden können. Nicht zuletzt unterstützt Specops uReset Google re-CAPTCHA, um das Abgreifen von Nutzernamen zu verhindern.
Anfragen zum Zurücksetzen des Passwortes stellen den Helpdesk vor eine große Herausforderung, nicht nur wegen der hohen Aufwände, sondern auch im Bereich Sicherheit. Es gilt legitime Anfragen von denen von Cyberkriminellen zu unterscheiden. Social Engineering Angriffe auf den Helpdesk stellen eine große Gefahr dar.
Specops Secure Service Desk ermöglicht es Organisationen, eine sichere Benutzerverifizierung durch den Service Desk Mitarbeiter zu gewährleisten. Dies wird in dem nächsten Teil dieser Serie näher betrachtet. Wer jetzt schon schauen möchte, findet die Lösung hier:
(ID:47413417)
:quality(80)/p7i.vogel.de/wcms/23/3e/233e4bbfd0aa83be9c4adb4d6a1f7313/0105055815.jpeg "0105055815 (Bild: iStock)")
:quality(80)/p7i.vogel.de/wcms/20/4c/204c30dadb7e178d988562f83ebd4cac/0106944815.jpeg "0106944815 (Bild: Specops Software)")