Passwortkrieg – Wer kämpft eigentlich gegen wen?

11.16.2016

by

Categories:

Das Jahr 2016 brachte spektakuläre Datendiebstähle unfassbarer Dimension ans Tageslicht – Dropbox, Yahoo aber auch staatliche Institution wie RUAG wurden u.a. Opfer der sich immer stärker ausbreitenden professionellen Cyberangriffe. Hinzukommt eine wachsende Unzufriedenheit der Mitarbeiter bezüglich der Zugriffsbereitstellung, was zu einem Wildwuchs bei Zugriffsrechten führt. Im Blog erfahren Sie, wie man diesem Dilemma entkommen kann.

Im Jahr 2016 hat das Thema Datenklau hat eine bislang noch nie da gewesene Dimension erreicht. Datendiebstähle werden zum Alltag, Ransomware zur Norm und wenn ein Onlineportal Millionen Zugangsdaten verliert, überrascht das auch niemanden mehr. 68 Millionen geknackte Nutzerkonten beim Cloudspeicher-Dienst Dropbox, 120.000 gestohlene Kundenzugangsdaten bei der deutschen Telekom und der jüngste  Rekordhack von einer halben Milliarde Nutzerdaten beim Internetdienst Yahoo, dem einstigen Vorzeigeunternehmen der New Economy –  die Liste lässt sich beliebig weiter fortsetzen. Zwischen all diesen Meldungen lagen noch nicht einmal 8 Wochen und man wird das Gefühl nicht los, dass sich Informationen und Berichte über Datendiebstähle sowohl hinsichtlich der Anzahl aber vor allem auch in Bezug auf die Zahl der geknackten Nutzerkonten inflationär mehren. Auffällig ist, dass die erwähnten Datendiebstähle allesamt auf Netzwerkangriffe zurückgehen, die bereits vor 4, beziehungsweise im Falle von Yahoo, vor 2  Jahren erfolgten und die Unternehmen seinerzeit die Auswirkungen dieser initialen Angriffe in der Öffentlichkeit eher herunterspielten. Heute zeigt sich mit dem Auftauchen der seinerzeit beim Angriff erbeuteten eMail Adressen und Passwörter im erst das wahre Ausmaß des Schadens.

Ursächlich für die massiven Fälle des Datendiebstahls waren in den genannten Fällen jeweils geknackte Passwörter privater LinkedIn Accounts. Und trotz steigender Bedrohungslage, gibt es immer noch genügend Mitarbeiter, die allem Anschein zur Folge naiv genug sind und das gleiche, privat genutzte  Passwort auch beruflich  verwenden und somit den Hackern Zugang  zu Unternehmensnetzwerken ermöglichen.  Erstaunlich ist auch, dass sich die öffentliche Empörung der jetzt ans Licht gekommenen, unvorstellbar großen Datendiebstähle  sehr in Grenzen hielt, denn entsprechende Schlagzeilen füllten gerade mal einen Tag lang die Gazetten. Anscheinend zählt der Verlust vertraulicher Daten und Passwörter, bei dem Unzählige schon ihr digitales Leben verloren – zum Glück nur das digitale – schon zur Tagesordnung. Doch nicht nur Unternehmen sind Opfer wachsender Cyberkriminalität, auch staatliche Institutionen geraten zunehmend  ins Visier der Hacker. Der staatseigene Schweizer Rüstungsbetrieb RUAG  und das Schweizer Verteidigungsministerium sind zum Ziel von Hackern geworden und zumindest einer dieser Angriffe war erfolgreich. Laut dem Bericht der Melde- und Analysestelle Informationssicherung (Melani) konnte der Hackerangriff auf das Schweizer Verteidigungsministerium Anfang 2016 noch rechtzeitig entdeckt werden. Der Angriff auf RUAG, begann im Dezember 2014 begann und blieb über ein Jahr lang unentdeckt. Mithilfe eines Schadprogramms gelang es den Angreifern, durch Watering-Hole-Angriffe über präparierte Webseiten eine Erstinfektion zu erreichen. Dies führte dazu, dass die Angreifer eine Schwachstelle im Browser eines Mitarbeiters ausnutzen und Schadsoftware installieren konnten. Im Nachgang kam es auf dem infizierten System zu einer Erweiterung der Benutzerprivilegien und über mehrere Stufen schließlich zur vollständigen Kontrolle über das Active Directory im Unternehmensnetz. Damit erlangten die Angreifer höchstmögliche Benutzerrechte.

Auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) beklagt jeden Tag mehr als 20 hochspezialisierte Angriffe auf das Regierungsnetz – eine alarmierende Zahl.  Dort spricht man bereits von elektronischem Flächen-Bombardement, Streuverlusten und von Spezialeinheiten zur Bekämpfung  und bedient sich dabei des Vokabulars, welches man eigentlich nur aus dem Verteidigungsministerium kennt.  Der Feind lauert überall und sieht es bei seinen Beutezügen vor allem auf eines ab:

Er sucht die größte Schwachstelle, die ihm ein Eindringen in Unternehmensnetzwerke möglichst unbemerkt erlaubt. Passwörter und Zugangsdaten scheinen dabei das schwächste Glied der Kette zu sein, denn dreiviertel aller Cyberattacken auf Unternehmen sind laut einer neuen Deloitte Studie auf gestohlene oder schwache Passwörter zurückzuführen.

Doch neben dem Kampf gegen immer ausgetüftelterer Cyberattacken und professionelle Hacker  sieht sich die IT-Abteilung noch einer zweiten Front im Passwortkrieg gegenüber – der Front der unzufriedenen Mitarbeiter im eigenen Unternehmen. Denn als Reaktion auf die wachsende Cyberkriminalität mit immer subtileren Angriffsmethoden werden gleichzeitig auch immer restriktivere Maßnahmen bei der Passwortvergabe eingeführt. Keine Namen oder einfache Worte, sondern Zahlen, Buchstaben, Groß- und Kleinschreibung sowie Sonderzeichen sind zu verwenden, mindestens 10 Stellen sollten es sein und möglichst nach 14 Tagen zu erneuern und auf gar keinen Fall ein und das gleiche Passwort für alles zu benutzen  – um hier nur einige der häufigsten Regeln für die Passwortvergabe zu nennen. Schon heute besitzt ein User durchschnittlich 13 Passwörter und greift auf 6 – 10 Applikationen und Webseiten mit Logins pro Tag zu. Glaubt man der Studie von Deloitte wird sich die Zahl der Online Accounts pro Nutzer auf 200 bis zum Jahre 2020 erhöhen. Kein Mensch kann sich mehr all die benötigten verschiedenen und komplizierten Passwörter merken, was unweigerlich zur Folge hat, dass Haftnotizen als Gedankenstützen an Displays kleben oder oftmals das gleiche, meist einfache Passwort für mehrere Logins verwendet wird. Zudem führen diese Passwort-Policies in Unternehmen zunehmend auch zu Frust bei den Angestellten. So stellte das Ponemon-Institut in der jüngst veröffentlichen Umfrage für Identity Governance & Access Management fest, dass bei 38 % der befragten Unternehmen, Mitarbeiter über den aktuellen Prozess für die Zugriffsverwaltung verärgert sind. Und selbst wenn die Benutzer allen strikten Vorgaben bei der Passworterstellung folgen würden und tatsächlich starke und unterschiedliche Passwörter benutzten würden, diese immer noch nicht sicher genug wären. Mittels Social Engineering – auch soziale Manipulation genannt – nutzen Hacker menschliche Schwachstellen aus, um durch gezielte Beeinflussung an vertrauliche Informationen zu gelangen (siehe Blog: Tausche Passwort gegen Schokolade)

Sicherheit muss praktikabel sein

Also, was können Unternehmen tun, um sich vor Identitätsdiebstahl zu schützen? Identitätsbasierte Sicherheitslösungen, wie beispielweise Multi-Faktor-Authentifizierung  können der Schlüssel sein, um sicheren Zugriff auf Anwendungen und Systeme, die Mitarbeiter für Ihr tägliches Arbeiten benötigen, zu gewährleisten. Doch wirklich sicherer wird es nur, wenn es auch einfach ist. Denn während die Erhöhung der Sicherheit das primäre Ziel jeder Authentifizierungslösung sein sollte, ist Benutzerfreundlichkeit nicht minder wichtig für den Erfolg bei Durchsetzung im Unternehmen. Sind die Prozesse für Benutzer zu kompliziert und unbequem, führt dies dazu, dass Anwender Mittel und Wege finden, diese zu umgehen. Das wiederum wirkt sich negativ sowohl auf die Produktivität als auch auf die Sicherheit aus. Wichtig ist es, ein angemessenes Gleichgewicht zwischen den Anforderungen an die betriebliche Handlungsfähigkeit und Sicherheit zu finden. Die Planung eines für sie passendenden Multi-Faktor-Authentifizierungsverfahren sollten Unternehmen jedoch nicht nur an den aktuellen Status Quo Ihrer Anforderungen ausrichten, der Blick sollte sich auch auf zukünftige Bedürfnisse richten. Darüber hinaus ist es wichtig, das die  Zugriffe dynamisch evaluiert und die Sicherheit für den Login adaptiert werden.  Wie Sie Ihr Unternehmen vor Cyberangriffen schützen können zeigen wir auf der  #DiscoverMF Tour, die am 7. Dezember 2016 in Zürich beginnt.

Share this post:
Tweet about this on TwitterShare on FacebookShare on LinkedInGoogle+

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.