Kennwörter professionell absichern
12. Oktober 2017Zettel mit den Kennwörtern der Mitarbeiter kleben unter den Tastaturen, Post-its mit wichtigen Zugangsdaten sind am Monitor befestigt, die Mitarbeiter teilen ihre Passwörter gerne per Email an vermeintliche „Administratoren“ mit, und die Kennwörter wurden seit fünf Jahren nicht mehr gewechselt? Dann wird es höchste Zeit für eine effektive und restriktive Passwort-Policy! Vor allem sollten die IT-Verantwortlichen diese auch durchsetzen, ansonsten drohen fiese Sicherheitslücken im gesamten IT-Verbund.
In der letzten Zeit häufen sich die „Security-Hiobsbotschaften“ in den Medien. Immer wieder werden größere „Hacks“ bekannt, bei denen Dritte auf die Zugangsdaten und Kundendaten Zugriff erlangen konnten. Dagegen sind weder Internet-Provider, Kreditkartenunternehmen, Email-Anbieter noch Spiele-Firmen gefeit. In der Regel konnten die Angreifer Sicherheitslücken im IT-System ausnutzen, teilweise gelangen die Hacker aber auch durch „Social-Engineering“ an Kennwörter, und erlangen (zunächst) einmal „nur“ Zugriff auf die Clients.
Dort angekommen können Spezial-Tools oder auch ganz normale Windows-Bordmittel eingesetzt werden, um sich im System beziehungsweise im Netzwerk weiter auszubreiten. Diese Seitwärtsbewegung lässt sich nicht immer von der IT-Sicherheit erkennen, somit gelangen die Angreifer früher oder später auf alle (wichtigen) Systeme.
Gegen bestimmte Angriffsszenarien ist (oftmals) kein „Kraut gewachsen“ – schließlich ist es nicht möglich, alle Sicherheitslücken zu schließen. Allerdings helfen in der Regel bestimmte Voraussetzungen, die IT-Sicherheit sowie wie möglich zu erhöhen. Neben den typischen Methoden, etwa das zeitige Installieren aller verfügbaren Betriebssystem- und Software-Updates, können auch ausgefeilte Berechtigungskonzepte eingesetzt werden.
Aber beim Thema „Kennwortsicherheit“ müssen die IT-Verantwortlichen entsprechenden Vorgaben machen, und diese auch durchsetzen. Dabei werden zunächst unterschiedliche Vorgaben zur Beschaffenheit der Kennwörter zu beachten:
- Minimale Kennwortlänge,
- keine Zeichenkombinationen die im Wörterbuch vorkommen,
- eine Mischung aus Sonderzeichen, Zahlen und Buchstaben (in Groß- und Kleinschreibung),
- regelmäßige Kennwortwechsel, bei denen ein Großteil des Kennworts im Vergleich zu den Vorangegangen signifikant abweichen muss.