Passwortsicherheit und Management – Teil 3
Social Engineering – jeder hinterlässt Spuren
Cyberkriminelle greifen Mitarbeiter in Unternehmen oft ganz gezielt an, indem sie öffentlich zugängliche, persönliche Informationen über den Menschen nutzen.
Das geht ganz einfach, da viele Angestellte große Teile Ihrer Privatsphäre in sozialen Netzwerken darbieten. Diese Informationen sammeln die Angreifer via Social Engineering. Je mehr sie herausfinden, desto leichter kann ein Passwort-Rate-Angriff durchgeführt werden und der Zugriff auf vertrauliche Daten ebenso einfach wie unbemerkt erfolgen.
79% aller gehackten Accounts gehen auf das Konto von Social Engineering Angriffen. Meistens ist es jedoch schon zu spät, wenn der Angriff entdeckt wird. Der mögliche Datenverlust oder finanzielle Schaden kann für das Unternehmen enorm sein.
Ein Passwort Management System sollte automatisch Passwörter generieren können, die nicht einmal der Rechteinhaber kennen muss. Brisante Informationen müssen speziell verschlüsselt und durch das Mehr-Augen-Prinzip geschützt sein. Brute-Force-Angriffe sind damit aussichtslos.
Schwachstelle der IT
Service Accounts und administrative Zugänge sind zentrale Schwachstellen im Unternehmen. Typischerweise besteht eine IT-Infrastruktur aus einer Vielzahl von Servern, Datenbanken, Netzwerkgeräten und Druckern. Diese werden über persönliche, generische und sogar lokale Admin Accounts gesteuert und verwaltet.
Gerade diese privilegierten Accounts wurden in letzter Zeit vermehrt als Einfallstor für Datensabotage und Datendiebstahl genutzt: Sowohl von Insidern wie auch von Cyberkriminellen.
Entdecken & Managen
Ein Password Management System sollte das Unternehmensnetzwerk analysieren und Service Accounts ermitteln können, sie einlesen und automatisch sichere Passwörter dafür generieren.
Jedes Passwort sollte dabei komplex und hochverschlüsselt sein. Es muss in regelmäßigen Abständen neu generiert und automatisiert ausgetauscht werden, um den Arbeitsaufwand für die IT zu minimieren.
Identische Passwörter
Oftmals werden für unterschiedliche Accounts die gleichen Passwörter verwendet und diese über einen langen Zeitraum nicht verändert. Das ist insofern nachvollziehbar, weil es praktisch ist.
Im Sinne der Datensicherheit ist dies jedoch nicht vertretbar.
Eine große Gefahr besteht ebenfalls bei sogenannten Shared Accounts oder Sammelusern, bei der eine Gruppe von Mitarbeitern dasselbe Passwort nutzt, um auf ein System zum Zwecke der Verwaltung zuzugreifen – beispielsweise bei Windows oder Datenbanksystemen wie MSSQL.
Jede Nachvollziehbarkeit in Form von aufgezeichneten Logs geht völlig verloren, obwohl sie zwingend notwendig wäre.
Kein unbefugter Zugriff
Ein Passwort Management System sollte die Passwörter privilegierter Accounts optional auch durch ein Hardware-Sicherheits-Modul (HSM) schützen. So wird verhindert, dass sich Mitarbeiter unbefugten Zugriff verschaffen.
Nicht nur Service Accounts, auch sämtliche Endgeräte, Software und Logins sollten unterstützt werden.
Gefahr im Klartext
Passwörter werden gerne im Klartext via E-Mail und Chat verschickt oder auf handschriftlichen Zetteln übergeben. Aber was passiert dann mit diesen Notizen und wer kann die E-Mails außerdem noch lesen?
Meist handelt es sich dabei um Passwörter, die für einen Service-, Software- oder Application Account vergeben werden. Die Benutzer verfügen somit über autorisierten Zugriff zu bestimmten Anwendungen oder Maschinen.
Jedoch können auch unbefugte Personen so problemlos auf das System zugreifen und sensible Unternehmensdaten einsehen – und zwar, ohne dass dies überhaupt bemerkt wird. Außerdem ist die Weitergabe der Daten nicht protokolliert und weder nachvollziehbar, noch für Audits verfügbar.
Audits: Kontrolliert protokolliert
Ein Password Safe sollte alle Aktivitäten durch das Managen von privilegierten Accounts protokollieren. Der Schutz von vertraulichen Informationen ist dadurch gewährleistet.
Selbst bei einem Passwortzugriff – wie dem Aufdecken des Passworts durch einen Mitarbeiter – kann über das Benachrichtigungssystem der zuständige Verantwortliche unmittelbar informiert werden.
Der Service Account: Einfallstor für Cyberattacken
Ein guter Angreifer sucht sich immer den schwächsten Punkt.
Ein beliebtes Ziel von Cyberangriffen sind Service Accounts und Zugänge von Administratoren. Diese haben oftmals identische Passwörter, die quasi nie geändert werden.
Solche Benutzerkonten sind besonders schützenswert, da neben den firmeninternen Daten auch Kundendaten auf dem Spiel stehen.
Generische, persönliche oder lokale Admin Accounts bieten nicht die nötige Sicherheit. Zudem macht die Vielzahl von Servern, Datenbanken und Geräten dies zu einem außerordentlich aufwendigen Unterfangen.
Gerade Unternehmen, die nicht genügen IT Personal zur Verfügung haben, kann 4 Systems helfen ein stabiles und sicheres Passwort Management System aufzubauen. Wenn Sie 4 Systems damit beauftragen sich um Ihre Passwort Sicherheit zu kümmern hat Ihre interne IT Abteilung wieder Ressourcen frei, um sich anderen IT Themen zu widmen.
