Home » Fachbeiträge » Security Management » Schwache Passwörter stellen einen Risikofaktor und eine Kostenfalle dar

Schwache Passwörter stellen einen Risikofaktor und eine Kostenfalle dar

Laut dem Verizon Data Breach Incident Report sind Anmeldedaten mit über 60 Prozent die begehrteste Datenkategorie bei Sicherheitsverletzungen. Den Angaben der Identity Defined Security Alliance zufolge haben 79 Prozent der Unternehmen in den letzten zwei Jahren eine Sicherheitsverletzung im Zusammenhang mit Identitäten erlebt.

4 Min. Lesezeit
Foto: ©AdobeStock/Vitalii Vodolazskyi

Advertorial

Unsichere Kennwörter ermöglichen es Angreifern, Benutzerkonten zu übernehmen, indem sie die Kennwörter der Anwender erbeuten und sich mit den Identitäten der Benutzer anmelden. Hacker müssen in den meisten Fällen überhaupt nichts hacken, sie müssen sich einfach mit erbeuteten Anmeldedaten in der Infrastruktur authentifizieren. Doch das kann verhindert werden. Dieser Beitrag zeigt die Gefahren auf und wie sie diese in Zukunft umgehen, zum Teil sogar mit kostenlosen Tools.

Unternehmen sollten die Identitäten ihrer Benutzer schützen, um teure Konsequenzen zu sparen

Laut dem Verizon Data Breach Incident Report sind Anmeldedaten mit über 60 Prozent die begehrteste Datenkategorie bei Sicherheitsverletzungen (verizon.com/business/resources/reports/2021/2021-data-breach-investigations-report.pdf). Den Angaben der Identity Defined Security Alliance zufolge haben 79 Prozent der Unternehmen in den letzten zwei Jahren eine Sicherheitsverletzung im Zusammenhang mit Identitäten erlebt (https://www.idsalliance.org/wp-content/uploads/2020/05/Identity-Security-A-Work-in-Progress.pdf). Laut Gartner werden „viele Datenschutzverletzungen durch Sicherheits- und Identity-Tools verursacht, die fehlerhaft oder unvollständig konfiguriert wurden oder deren Konfiguration veraltet ist.“ (Gartner, Predicts 2022). Remotezugangsdaten sind mittlerweile ein begehrtes Handelsobjekt in einschlägigen Internetforen (https://www.digitalshadows.com/blog-and-research/rise-of-initial-access-brokers). Es gibt viel zu tun für Sicherheitsbeauftragte in Unternehmen, aber es gibt passende Lösungen dafür.

Es drohen Strafen, wenn Angreifer leicht an Kennwörter kommen

Gelangen Angreifer an Kennwörter, haben sie oft auch Zugriff auf Daten mit personenbezogenen Informationen. Diese unterliegen unter anderem der DS-GVO. Stellen die Behörden fest, dass der Datenverlust leicht vermeidbar gewesen wäre, drohen hohe Geldstrafen.

Nach einer aktuellen Umfrage von Kaspersky (https://media.kasperskydaily.com/wp-content/uploads/sites/86/2022/02/17090417/Supply-Chain-CyberSecurity-Potential-Threats-and-Rising-to-the-Challenge.pdf) gehen 75 Prozent der Verantwortlichen in Unternehmen davon aus, dass bei erfolgreichen Angriffen ein Verlust von Kundenvertrauen die Folge ist. Darüber hinaus sind über 80 Prozent der Unternehmen sicher, dass ein Reputationsverlust die Folge eines Angriffs ist. Mehr als die Hälfte aller Unternehmen wollen nicht mit einer Firma zusammenarbeiten, bei der es schon einmal zu einem Cybervorfall gekommen ist. Das heißt, dass ein erlittener Reputationsverlust dauerhaft ist und nur schwer bis gar nicht wieder in Ordnung gebracht werden kann.

Hinzu kommen rechtliche Konsequenzen, auch bezüglich des Datenschutzes im Rahmen der DS-GVO. Hier gehen drei Viertel aller Unternehmen davon aus, rechtliche Probleme zu bekommen, wenn Cyberangriffe auf das Unternehmen erfolgreich waren. Übrigens: Mehr als die Hälfte der kleinen und mittleren Unternehmen und fast drei Viertel aller großen Unternehmen gehen bei einem Angriff von einer Unterbrechung der Produktion aus.

Neben der DS-GVO spielt auch das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme), das vor allem für Betreiber kritischer Infrastrukturen (KRITIS) relevant ist, dazu gehören Telekommunikationsanbieter oder auch Krankenhäuser. Das BSI stellt ebenfalls Richtlinien zur Verfügung und warnt vor der aktuellen Sicherheitslage: „Die IT-Sicherheitslage bleibt angespannt bis kritisch. Das vergangene Jahr (2021) war geprägt von einer deutlichen Ausweitung cyberkrimineller Erpressungsmethoden. Nicht nur die Anzahl der Schadprogramm-Varianten stieg zeitweise rasant an – mit bis zu 553.000 neuen Varianten pro Tag der höchste jemals gemessene Wert. Auch die Qualität der Angriffe nahm weiterhin beträchtlich zu.“ (https://www.bsi.bund.de/DE/Service-Navi/Publikationen/Lagebericht/lagebericht_node.html)

Gängige Passwortvorgaben und Standardpasswörter sowie bekannte und bereits gehackte Passwörter, die wiederverwendet werden, stellen ein großes Risiko dar. Verstöße gegen die DS-GVO ziehen hohe Strafen nach sich. Allein 2021 wurde über eine Milliarde Euro an Strafen wegen Verstößen gegen die DS-GVO verhängt. Die Unsicherheit steigt und macht Passwortschutz auch zum Kostenthema.

Es gibt kostenlose Tools, die für eine grundlegende Sicherheit sorgen: Specops Passwort Auditor

Specops Passwort Auditor ist ein kostenloses Tool, das Active Directory nach Schwachstellen scannt und diese in einem Bericht zusammenfasst. Das Tool verfügt auch über eine Liste mit den am häufigsten kompromittierten Kennwörtern aus dem Internet und gleicht deren Hash-Werte mit dem Active Directory ab. Remotezugangsdaten sind mittlerweile ein begehrtes Handelsobjekt in einschlägigen Internetforen (https://www.digitalshadows.com/blog-and-research/rise-of-initial-access-brokers).

Außerdem gibt es einen Überblick über die vorhandenen Administratorkonten. Diese stellen natürlich eine besonders große Gefahr dar, weil bei Übernahme dieser Konten ein Angreifer umfassende Möglichkeiten im Netzwerk hat. Die bekannte Hackerin Alissa Knight sagt dazu: „Sobald ich in einem Netzwerk eine Lücke gefunden habe, mache ich mich zunächst auf die Suche nach Domänenadministratorrechten, indem ich Anmeldeinformationen aus dem Speicher der Systeme auslese. Ich suche so lange, bis ich solche Rechte in einem Netzwerk finde. Und das tue ich immer!“ Alissa Knight wurde durch erfolgreiche Angriffe auf Behörden in den USA bekannt und arbeitet mittlerweile auch für Geheimdienste im Bereich der Cyber-Kriegsführung.

Es lohnt sich daher, einen Blick darauf zu werfen, ob die Kennwörter von Benutzern sicher genug sind. Mit Specops Passwort Auditor können Verantwortliche in Unternehmen bereits erste Schritte durchführen, um unsichere Kennwörter zu eliminieren. Das sorgt für einen Grundschutz, auf den Unternehmen aufbauen können. Das Tool kann auch Kennwortrichtlinien in Active Directory daraufhin untersuchen, ob diese effektiv gegen Brute-Force-Angriffe sind. Dazu kann das Tool die vorhandenen Richtlinien mit gängigen Industriestandards und den Empfehlungen von NIST, PCI, Microsoft und SANS vergleichen. Die Berichte umfassen auch ein Management Summary als PDF-Datei, um weitere Maßnahmen zur Verbesserung Ihrer IT-Sicherheit abzuleiten.

 

Kontakt: 

Patrick Lehnis, Marketing Manager
Tel: +49 160 3484013
E-Mail: Patrick.Lehnis@specopssoft.com

Specops Software GmbH
Gierkezeile 12
10585 Berlin
Web: https://specopssoft.com/de/

Andere interessante Fachbeiträge

Gefahr Fehlkonstruktion

Mehr und mehr Organisationen stellen ihre IT-Architektur auf die Nutzung von Multicloud-Umgebungen um – nicht zuletzt, um einen Vendor Lock-in zu verhindern. Die Analysten von KPMG stellten diesen Trend bereits 2020 fest, denn 87 Prozent der dort befragten Großunternehmen ab 2.000 Mitarbeiter richteten ihre Strategie entsprechend aus.

Was auf die Gerätelandschaft zukommt

Viele Entwickler von Sicherheitslösungen haben es sich zum Ziel gesetzt, mit den wichtigsten Trends Schritt zu halten und verwertbare Informationen zu gewinnen. Nach aktuellen Erkenntnissen zeichnet sich eine Reihe von Trends in der Cyber-Bedrohungslandschaft ab.

Outsourcing als Strategie gegen komplexe Security

Einfach war früher. Seit Cyberangriffe mit voller Wucht und mit wechselnden Methoden auf die Unternehmen hereinbrechen, fühlen sich Security-Teams wie Hamster im Laufrad. Sie schließen Sicherheitslücken und decken sich mit immer mehr neuen Sicherheitstools ein, wie die steigenden Ausgaben für IT-Sicherheit zeigen. Und am Ende werden sie doch Opfer eines Angriffs.