Passwortsicherheit - BSI empfiehlt, wir prüfen

Jede Mitarbeitende eines Unternehmens, der einen Arbeitsplatz digital nutzt, benötigt ein eigenes Benutzerkonto. Zum Nachweis der Identität und Schutz sensibler Daten ist neben dem Fingerabdruckscan und Chipkarten das Eingeben eines Passworts nach wie vor am weitesten verbreitet. Nur mit der richtigen Kennung erhalten Mitarbeitende Zugang zum Computer, den Anwendungen oder dem Firmennetzwerk. 

Brute-Force, Phishing und Ransomware

Externe Systeme sind ständigen Passwort-Rate-Angriffen (Brute-Force) und Benutzer Phishing-Angriffen ausgesetzt, über die Kriminelle versuchen, Kenntnis über gültige Kennwörter zu erhalten. Gerät ein Passwort in die Hände Unbefugter, öffnet es Tür und Tor für Datendiebstahl, sofern Zugriffe nicht mit einem weiteren Faktor abgesichert sind. Wo möglich sollten Zugänge daher beispielsweise per Zwei-Faktor-Authentisierung (2FA) abgesichert werden. Doch auch wenn dies seit vielen Jahren empfohlen wird, unterstützen bei weitem noch nicht alle Systeme eine Multi-Faktor-Authentisierung (MFA), weshalb Kennwörter weiterhin im Fokus von Angreifern bleiben. Im Jahr 2019 waren schlechte Kennwörter ausschlaggebend für etwa 30% aller Ransomware-Angriffe.

Für den sicheren Umgang mit Passwörtern veröffentlicht das BSI regelmäßig Empfehlungen und Richtlinien. Die Umsetzung in der Praxis ist häufig problematisch, denn auch einfache Kennwörter wie „Sommer2021!“ erfüllen formal oft die gestellten und technisch erzwungenen Kennwortrichtlinien. Da sie oft verwendet und einfach zu erraten sind, müssen sie aber als sehr unsicher eingestuft werden.

Verwenden alle Mitarbeitenden in Ihrem Unternehmen sichere Passwörter? Werden Kennwörter zwischen verschiedenen Konten geteilt und erlauben so zusätzliche Angriffsvektoren? Welche Schwächen ergeben sich trotz ihrer aktuellen technischem Kennwortrichtlinie und wie können Sie diese beheben? Wir prüfen die tatsächliche Passwortsicherheit in Ihrer Organisation, geben sinnvolle und umsetzbare Empfehlungen und schützen Sie so vor Einbrüchen in Ihr Netzwerk.

BSI Zertifizierung als Anbieter von Penetrationstests

Durch unsere umfassende Tätigkeit beim Penetrationstesting und in der Cyber-Response können wir die Relevanz von erkannten Schwachstellen realistisch einschätzen und sinnvolle Prioritäten für die Maßnahmenumsetzung vorschlagen. Unsere Expertise und unsere Prüfmethoden, die unsere eigenen Erfahrungen mit internationalen Standards wie den Empfehlungen des OWASP-Projektes oder den Durchführungsempfehlungen des BSI für Penetrationstests verbinden, haben wir mit unserer Zertifizierung als Anbieter von Penetrationstests durch das BSI unter Beweis gestellt.

So laufen unsere Passwort-Prüfungen ab

Wir verfügen in unserem Labor über Spezialhardware für das Durchführen von hochparallelisierten Angriffen zur Ermittlung von Kennwörtern (Wörterbuch- und Brute-Force-Angriffe). Das System wurde in einer Vielzahl von Penetrationstests und Passwort-Prüfungen erfolgreich eingesetzt. Mit dem umfangreichen Know-how in unserem Team entwickeln wir den Angriffsprozess dabei stetig weiter und passen ihn an neueste technische und organisatorische Erkenntnisse an. Vor Beginn der Prüfung stimmen wir die Rahmenbedingungen (z. B. zu untersuchende Konten, Übergabe der Daten, Zeitrahmen) zusammen mit Ihnen als Auftraggeber ab und halten alles in einem kurzen Projektplan fest.

Teil der Vorbereitung ist auch die Unterstützung bei der Abstimmung mit allen notwendigen internen Parteien wie Ihrem Datenschutz oder dem Betriebsrat, bei der wir für Rückfragen und Anpassungswünsche am Vorgehen zur Verfügung stehen. Gerade für das Extrahieren von Daten, die sich auf Ihren Systemen befinden, ist zudem Ihre Mitwirkung nötig. Das Passwort Audit durchläuft, bei dem im Normalfall die Passwörter des Active Directory betrachtet werden, anschließend drei Schritte:

1. Extraktion der Passwort-Hashes für die Analyse

Als Grundlage für die Prüfung der Passwortqualität extrahieren wir zunächst sogenannte Passwort-Hashes aus den Systemen. Ein Passwort-Hash ist dabei eine Zeichenfolge, die sich aus dem ursprünglichen Kennwort berechnen lässt, sich jedoch nicht in dieses zurückverwandeln lässt. Den Passwort-Hash zu einem Kennwort kann man also einfach berechnen, das Kennwort zu einem Passwort-Hash aber nicht. Diese Eigenschaft von kryptografischen Hashes bestimmt das weitere Vorgehen maßgeblich. So werden später die Hashes von Passwort-Kandidaten gebildet und mit den ursprünglichen Passwort-Hashes verglichen.

Stimmen die Hashes überein, ist ein ursprüngliches Passwort gefunden (abgesehen von etwaigen Hash-Kollisionen). Die Extraktion der Hashes erfolgt in Active-Directory-Umgebungen primär auf den Domänencontrollern, die die zentralen Passwörter für die Domäne verwalten. Zusätzlich prüfen wir, inwieweit auch lokal auf den Servern und Systemkomponenten angelegte Konten in die Prüfung mit einbezogen werden können. Dafür kommen folgende Verfahren in Betracht:

  • Stichprobenartige Extraktion von Passwort-Hashes einiger ausgewählter Systeme
  • Skriptbasierte Extraktion von Passwort-Hashes über Gruppen gleichartiger Geräte oder Server.

Hierfür entwickeln wir geeignete Skripte, die von Systemverantwortlichen zur Ausführung gebracht werden müssen. Welche der Verfahren in welchem Umfang zum Einsatz kommen, stimmen wir anhand der vorhandenen Systeme und insbesondere ihrer Heterogenität gemeinsam mit Ihnen im Projekt ab. Die Extraktion der Hashes führen Mitarbeitende des Auftraggebers durch.

Wir stehen währenddessen für Rückfragen bereit und erstellen die notwendigen Anleitungen zur Durchführung. Nach vorheriger Absprache ist natürlich auch eine direkte Unterstützung bei der Extraktion möglich. Die Liste der Account-Passwort-Hash-Kombinationen filtert der Auftraggeber so, dass nur die zu testenden Accounts in den Daten enthalten sind. Die Übergabe der Daten an uns erfolgt anschließend in geeigneter und sicherer Form.

2. Durchführung von Angriffen zur Rekonstruktion von Passwörtern

In unserer speziell gesicherten Laborumgebung befüllen wir unser System zum Rekonstruieren von Passwörtern mit den in Schritt 1 gewonnenen Passwort-Hashes und geeigneten Regelwerken. In Abhängigkeit der einbezogenen Systeme sind dabei im Normalfall mehrere unterschiedlich konfigurierte Läufe erforderlich. Die verwendeten Regelwerke und Angriffsmethoden justieren wir in Abhängigkeit von den erzielten Ergebnissen während dieser Phase mehrfach und kontinuierlich nach. Zudem beziehen wir unternehmensspezifische Informationen wie beispielsweise spezielle Wörterbücher und bereits ermittelte Passwörter in die Angriffe ein. Die maximale Laufzeit der automatischen Passwortsuche wird zuvor im Projekt abgestimmt.

3. Beurteilung und Dokumentation der Ergebnisse

Im letzten Schritt werten wir die Resultate aus. Die Testergebnisse dokumentieren wir mit geeigneten Handlungsempfehlungen zur Verbesserung der organisatorischen und technischen Vorgaben für den Passworteinsatz in einem Prüfbericht. Die Dokumentation erhält auch eine Liste der Accounts, deren Passwort erraten werden konnte. Eine Offenlegung der geknackten Passwörter erfolgt allerdings aus Datenschutzgründen und gegebenenfalls enthaltenen sensiblen Daten nicht.

Die Ergebnisse müssen zudem vor dem Hintergrund betrachtet werden, dass nicht jede Nennung eines Accounts bedeutet, dass dieser ein besonderes schlechtes Kennwort verwendete, dass auch von einem Angreifer einfach erraten werden könnte. Bei den durch uns durchgeführten Offline-Brute-Force-Angriffen lassen sich wesentlich mehr Passwort-Kandidaten und Kombinationen ausprobieren, als Angreifer dies beispielsweise an externen Systemen wie Web-Mailern könnten. Die Ergebnisse können gerade deshalb aber verwendet werden um die Passwort-Qualität nachhaltig zu stärken, zusätzliche technische Maßnahmen umzusetzen und auch initial verdeckte Muster innerhalb der Kennwörter zu identifizieren und zur Absicherung zu verwenden. Die Passwort-Hashes und Klartext-Passwörter löschen wir nach Abschluss des Projekts sicher von unseren Systemen.

Was ist Passwortsicherheit?

Die Passwortsicherheit beschreibt, mit welcher Mühe und in welcher Zeit ein Passwort von einem Dritten zu „knacken“, also zu erraten, ist. Je länger ein Angreifer benötigt, das PW durch Probieren und Hacking-Tools herauszufinden, als desto sicherer ist es einzustufen. Die Länge, Komplexität, Nutzungshäufigkeit und Geheimhaltung eines Passwortes bestimmen die Passwortsicherheit. Angreifer bedienen sich an bekannten Schwächen und Mustern, welche oft in Kennwörtern aufzufinden sind, um mit möglichst wenigen Rate-Versuchen möglichst erfolgreich zu sein.

Darüber hinaus schützt die Zwei-Faktor-Authentisierung zusätzlich vor dem unautorisierten Verwenden eines Passworts, falls diese einmal bekannt oder abgegriffen wird - beispielsweise durch eine Bestätigung per App oder durch einen per SMS versendeten Code. Das Bundesamt für Sicherheit in der Informationstechnik arbeitet regelmäßig BSI-Richtlinien für die Sicherheit von Passwörtern aus.

Welche Passwörter sind sicher?

Die Länge und die Komplexität bestimmt die Sicherheit eines Passworts und minimiert die Möglichkeit, dass es gehackt wird. Ein starkes Passwort ist ein Passwort, das mit etablierten Angriffstechniken (etwa: Wörterbuch- oder Rateangriffe) nicht in absehbarer Zeit gefunden werden kann. Orientiert an den Empfehlungen des Bundesamt für Sicherheit in der Informationstechnik (BSI) für das Vergeben eines sicheren Passworts, und angereichert durch Erfahrungen aus der Praxis empfiehlt HiSolutions generell Folgendes:

Dos

  • Je länger, desto sicherer (mindestens 12 Zeichen für reguläre Benutzerkonten, 16 Zeichen für administrative Konten und 24 Zeichen für Domänen-Administratoren oder sonstige technische Konten)
  • Je mehr Zeichenarten, desto besser (Groß- und Kleinschreibung, Sonderzeichen, Ziffern)
  • Nutzung von Mehr-Faktor-Authentisierung, wo dies möglich ist, aber insbesondere für externe Zugänge (z.B. VPN).
  • Für Unternehmen: Einsatz von Brute-Force-Schutzmechanismen (z.B. Rate-Limiting oder temporäre Account-Sperrung) für Konten deren Kennwortqualität ggf. nicht ausreichend sichergestellt werden kann (z.B. Benutzerkennwörter).

Don'ts

  • Keine Namen von Familienmitgliedern, Haustieren, Freunden, Geburtsdaten
  • Keine Passwörter verwenden, die in Wörterbüchern vorkommen Keine gängigen Varianten, Wiederholungs- und Tastaturmuster verwenden (z. B. "123456", "qwertz")
  • Keine einfachen Ziffern, Jahreszahlen oder häufig gebrauchte Sonderzeichen ($!?#) an simple Wörter anhängen oder ihnen voranstellen
  • Keine Wiederverwendung von Kennwörtern

Da eine Vielzahl komplexer Passwörter kaum zu merken ist, empfehlen wir den Einsatz von Passwort-Managern. Mit einem Passwort-Manager können Sie eine verschlüsselte Datenbank zur Verwaltung von Passwörtern anlegen. Beachten Sie dazu die Hinweise aus dem Abschnitt „Wie merke ich mir mein Passwort?“.

Was sind Passwortrichtlinien?

Passwortrichtlinien regeln den organisatorischen und technischen Umgang mit Passwörtern innerhalb einer Organisation oder eines Unternehmens. Ziel der Regelungen ist, dass nur berechtigte Personen Zugang zu Datenverarbeitungssystemen mit personenbezogenen und sensiblen Daten erhalten. Sie dienen sowohl dem Datenschutz als auch der Datensicherheit.

Die Passwortrichtlinie definiert beispielsweise die Kriterien für ein sicheres Passwort, den Passwortgebrauch (z. B. in welchen Fällen ein neues PW vergeben werden muss) und dass Passwörter nur verschlüsselt auf Computern zu speichern sind. Wo technisch möglich, sollten unterschiedliche Kennwortrichtlinien verwendet werden, über die Konten- oder Schutzniveau-spezifische zusätzliche Anforderungen für ausgewählte Konten und Gruppen (z.B. Administratoren oder Dienstkonten) umgesetzt werden. Das BSI gibt auf seiner Website Empfehlungen für das Erstellen von Richtlinien.

Wie oft ein Passwort ändern laut BSI?

Seit Februar 2020 enthalten die "Umsetzungshinweise zum Baustein ORP.4 Identitäts- und Berechtigungsmanagement" vom BSI (Bundesamt für Sicherheit in der Informationstechnik) keine Empfehlung mehr, ein Passwort regelmäßig zu ändern. Lediglich beim Hinweis, dass unbefugte Dritte in den Besitz eines Passworts gelangt sein könnten, muss es geändert werden. So ein Hinweis kann die direkte Aufforderung zur Änderung des Passworts durch Ihren Administrator oder IT-Dienstleister sein. Oder wenn Sie die Information erhalten haben, dass ein Dienst, den Sie nutzen, gehackt wurde. Auch Phishing- und Spammails mit korrekten persönlichen Daten liefern Indizien für das Abgreifen von Daten aus einem privaten Account. Wenn Sie feststellen, dass auf Ihrem Gerät ein Schadprogramm installiert wurde, bereinigen Sie zunächst das Gerät. Anschließend ändern Sie dann alle Passwörter, die auf dem betroffenen Gerät zum Einsatz kamen.

Wie merke ich mir mein Passwort?

Eine beliebte Methode, sich ein Passwort zu merken, ist die Folgende: Sie denken sich einen Satz aus und benutzen nur den ersten Buchstaben jedes Wortes. Anschließend wandeln Sie bestimmte Buchstaben in Sonderzeichen und Zahlen um. "Mein Hund frisst morgens 3Kilogramm Fleisch und schläft dann den ganzen Tag in seiner Hundehütte." Nur die ersten Buchstaben ergeben: "MHfm3KFusddgTisH". Nun folgen die Umwandlungen, die möglichst individuell gewählt werden sollten - "i" und "l" sehen aus wie eine "1" und aus "und" wird "&": "MHfm3KF&sddgt1sH".

Denken Sie sich den Satz auf jeden Fall selbst aus und verwenden Sie für jedes Konto ein individuelles Kennwort. Die Verwendung eines Liedtextes oder Zitats kann leicht erraten oder mittels Wörterbuchattacke geknackt werden.

Wo möglich sollten zur Generierung und Speicherung von Kennwörtern daher Passwort-Manager verwendet werden, die durch die Nutzer mit einem besonders starken Master-Kennwort geschützt werden. Die Bereitstellung einer geeigneten Passwort-Manager-Lösung für alle Mitarbeiter führt den Erfahrungen von HiSolutions nach im Unternehmensumfeld zur Verwendung wesentlich stärkerer Kennwörter, insbesondere bei administrativen und technischen Konten.

Die Nutzung von Passwort-Managern und die damit einhergehende Bündelung von Passwörtern an einem Ort führt zu eigenen Risiken und sollte sorgsam abgewogen werden. Bitte beachten Sie unbedingt, dass die Passwortdatenbanken des IT-Betriebs auch in Notfallsituationen nutzbar bleiben muss, selbst dann wenn Teile der Infrastruktur nicht verfügbar sind.

Das sagen unsere Kunden

Seit mehr als 25 Jahren unterstützen wir Kunden nahezu aller Branchen sowie der öffentlichen Verwaltung dabei, die Chancen der Digitalisierung optimal zu nutzen und die damit verbundenen Risiken zu beherrschen. Eine klare Ausrichtung auf Qualitäts- und Innovationsführerschaft kombiniert mit einem breiten aber in sich homogenen Beratungsportfolio führen zu einem einmaligen Leistungsangebot mit konkretem Mehrwert für unsere Klienten.

  Success Story WGV Versicherungen 
Success Story Evangelisch-Lutherischen Kirche in Bayern

Denis Werner - HiSolutions

Ihr Ansprechpartner

Denis Werner

Senior Expert

Fon +49 30 533 289-0

Nachricht hinterlassen