Schwache und kompromittierte Passwörter in Active Directory finden und verhin...

Advertorial

Die zentrale Vorschrift zur Datensicherheit in der DS-GVO ist der Artikel 32. Schaut man sich Absatz 1 der Regelung an, wird schnell deutlich, dass sich der an die Datensicherheit anzulegende Maßstab nicht generell bestimmen lässt, sondern das Ergebnis einer interessenbezogenen Einzelfallabwägung ist. So haben IT-Verantwortliche geeignete TOM (technische und organisatorische Maßnahmen) zu treffen, um ein dem Risiko angemessenes Schutzniveau der Datenverarbeitung zu gewährleisten.

Unter anderem muss der „Stand der Technik“ berücksichtigt werden. Hierzu hat der Teletrust eine mittlerweile fast 100-seitige Handreichung entwickelt, die bezogenen auf das IT SiG und die DS-GVO die erforderlichen TOM darlegt und konkretisiert. In Kapitel 3.2.1 wird die „Bewertung der Passwortstärke“ thematisiert, die mit einem Audit zur Passwortsicherheitsbeurteilung einhergeht. Diese Maßnahme soll das Risiko des Missbrauchs von Kontoinformationen (Zugangsdaten) verhindern. Wie Sie ein Audit zur Passwortsicherheitsbeurteilung durchführen können, erfahren Sie in diesem Beitrag.

80 Prozent aller IT-Sicherheitsvorfälle sind auf schwache oder kompromittierte Passwörter zurückzuführen

Verizon hat in seiner Studie „Report 2017“ herausgefunden, dass 80 Prozent aller IT-Sicherheitsvorfälle, in denen es zur Offenlegung von Account-Informationen, privater personenbezogener Daten oder Geschäftsdaten kommt, auf die Verwendung schwacher oder kompromittierter Kennwörter zurückzuführen ist. Die Erhöhung der Passwortstärke ist damit eine wichtige Maßnahme, um die IT-Sicherheit in der Organisation zu gewährleisten. Dennoch erstellen viele Unternehmen neue Benutzerkonten noch immer mithilfe eines Skripts, um Zeit zu sparen und Prozesse bei der Account-Erstellung zu standardisieren. Das hat aber den Nachteil, dass mehrere Nutzer das gleiche Standardpasswort in Active Directory haben.

Ein anderes Problem, das in diesem Zusammenhang auftritt, ist, dass Benutzer mit mehreren Konten, etwa einem Administratorkonto mit erhöhten Rechten sowie einem normalen Benutzerkonto, das gleiche Kennwort für beide Konten verwenden, um sich nur ein Passwort merken zu müssen. Auch in dem Fall, dass die Nutzer dazu gezwungen werden, ihre Passwörter zu ändern, sind die neu erstellten Passwörter meist nicht sehr stark; in den meisten Fällen wird das alte Passwort nur inkrementiert. Lautete das ursprüngliche Passwort z. B. „Sommer2021“ und wird eine Änderung nach 90 Tagen gefordert, so kann man mit ziemlicher Sicherheit davon ausgehen, dass das neue Passwort „Herbst2021“ oder bei einem jährlichen Ablaufdatum „Sommer2022“ lauten wird.

Ein weiteres Szenario, das man regelmäßig beobachten kann, ist, dass mehrere Dienstkonten das gleiche Passwort erhalten, auch wenn dieses lang oder stark sein mag. Dies stellt ein potenziell großes Sicherheitsproblem dar, zumal diese Konten in der Regel kritische Systeme steuern, üblicherweise in irgendeiner Form mit erhöhten Rechten ausgestattet sind und so eingestellt sind, dass die Passwörter hierfür nie ablaufen (und teils auch nicht gesperrt werden).

Kostenloses Tool zur Überprüfung des Active Directory auf schwache Passwörter

Wäre es also nicht gut, wenn man sehen könnte, welche Nutzer in der Organisation in Active Directory identische, schwache oder bereits kompromittierte Passwörter verwenden?

Da Benutzerkennwörter aus Sicherheitsgründen nicht im Klartext vorliegen sollten, in der Regel also verschlüsselt sind, lässt sich das nicht einfach mit den in Windows zur Verfügung stehenden Bordmitteln herausfinden. Auch ist es nicht sehr praktikabel, geschweige denn sicher, die Benutzer nach ihren Passwörtern zu fragen.

Specops Software hat mit Specops Password Auditor eine Lösung entwickelt, mit der man schnell und einfach sein Active Directory auf passwortrelevante Schwachstellen wie die oben genannten überprüfen kann.

Wichtig ist dabei zu erwähnen, dass Specops Password Auditor keine Kennwörter kompromittiert, sondern lediglich die Pashwort-Hashes gegen eine Liste mit über 750 Millionen bereits kompromittierten Kennwörtern vergleicht.

https://specopssoft.com/de/produkte/specops-password-auditor/?utm_source=it-sicherheit&utm_medium=referral&utm_campaign=dach&utm_content=spa

Specops Password Auditor prüft alle öffentlich (für alle authentifizierten Nutzer) zugänglichen Informationen in der Domäne, etwa die eingerichteten Passwortrichtlinien, die festgelegten Ablaufzeiten von Kennwörtern und vieles mehr. Führt man das Programm mit einem Konto auf Domain-Admin-Level aus, kann es den NT Hash aller Passwörter vergleichen und die Benutzer aufzeigen, die ein identisches, schwaches oder kompromittiertes Passwort festgelegt haben.

https://specopssoft.com/de/produkte/specops-password-policy/?utm_source=it-sicherheit&utm_medium=referral&utm_campaign=dach&utm_content=spa

Mit dem dauerhaft kostenlosen Specops Password Auditor kann man evaluieren, ob in der Active Directory-Umgebung schwache, mehrfach verwendete oder bereits kompromittierte Passwörter verwendet werden. Sollte dies der Fall sein, können Administratoren mit der Software Specops Password Policy weitere technische Maßnahmen zur Durchsetzung starker Kennwörter in Active Directory ergreifen, um dem Stand der Technik und damit auch Artikel 32 der DS-GVO gerecht zu werden.

Mit der Specops Password Policy kann man die aktuellen Empfehlungen von Sicherheitsbehörden, wie BSI oder NIST, an Passwortsicherheit einfach und schnell umsetzen. Specops Password Policy erweitert die Funktionalität der Gruppenrichtlinien und vereinfacht so die Umsetzung von fein abgestimmten Passwort-Richtlinien. Für eine Preisindikation oder eine kostenlose Vorführung der Specops Password Policy kontaktieren Sie uns gern.

https://specopssoft.com/de/kontakt/?utm_source=it-sicherheit&utm_medium=referral&utm_campaign=dach&utm_content=spa

Teaserfoto: © Adobe Stock/Vladimir Kazakov