Benutzerzugriff

Schutz vor schwachen oder gestohlenen Anmeldedaten

Druckfreundlich, PDF & E-Mail

Auch Hacker haben Chefs. Selbst in Krisenzeiten müssen Hacker ihre Vorgaben erfüllen. Eine globale Pandemie hat kaum Auswirkungen auf eine „Branche“, die ohnedies dezentral arbeitet. Eine Zeit, in der wir zusammenhalten müssen, ist für Hacker eine Zeit, die profitabel genutzt werden kann.

Wie ein Einbrecher, der sich durch die Straßen schleicht, um Türen und Fenster zu kontrollieren, scannen Hacker ständig das Internet, um Systeme zu finden, in die sie eindringen können. Sobald sie fündig werden, suchen sie nach einfachen Angriffszielen: schwache oder gestohlene Benutzerdaten, ungepatchte Schwachstellen oder Fehlkonfigurationen.

In diesem Blog-Beitrag nehmen wir das Thema schwache und gestohlene Benutzerdaten unter die Lupe. Schutz bedeutet mehr als nur eine starke Passwortrichtlinie. Anmeldeinformationen sind eine Komponente der Zugriffskontrolle. Bevor der Benutzer seine Anmeldeinformationen erhält, muss der Zugriff genehmigt, die Benutzeridentität bereitgestellt, ein Passwort erstellt und eine Systemberechtigung erteilt werden. In diesem Blog-Beitrag werden die Elemente eines umfassenden Zugangskontrollprogramms vorgestellt.

Das Sicherstellen einer umfassenden Zugangskontrolle ist nichts für schwache Nerven. Doch Sie können heute noch die richtigen Schritte unternehmen, um Ihr Programm zu optimieren. Die hier ausgeführten, detaillierten Informationen richten sich an technische Mitarbeiter, die mit der Sicherung von Unternehmensnetzwerken und -anwendungen betraut sind. Um eine Kurzfassung zu erhalten, können Sie die Seite nach den „Best Practices“ durchsuchen. Sie wollen alles im Detail wissen? Na dann: Anschnallen und los geht's!

„Das Umsetzen einer umfassenden Zugangskontrolle ist keine Aufgabe für schwache Nerven. Doch Sie können heute noch die richtigen Schritte unternehmen, um Ihr Programm zu optimieren.“ #Zugangskontrolle #CybersecurityKlicken, um auf Twitter zu teilen

Angriffe auf Benutzerkonten

Angriffe auf Anmeldedaten sind alles andere als eine Seltenheit. Brute-Force-Angriffe. Credential-Stuffing. Standardanmeldeinformationen. Angriffe auf Passwörter sind gefährlich, aber Sie können einfache Schritte unternehmen, um die illegale Übernahme Ihrer Benutzerkonten zu verhindern.

Stellen Sie zuallererst sicher, dass für alle Benutzerkonten gute Passwortrichtlinien eingehalten werden. Passwörter sollten komplex sein. Sie sollten niemals auf anderen Systemen wiederverwendet und nicht gemeinsam genutzt werden. Um Ihre Systeme zu schützen, sollten Sie zumindest dafür sorgen, dass Ihre Passwörter – insbesondere für Konten mit vielen Berechtigungen – stark, eindeutig und geheim sind. ÜBERSPRINGEN SIE DIESEN SCHRITT NICHT.

Es kann schwierig sein, durchgehend sichere Passwörter zu gewährleisten, und selbst hochkomplexe Passwörter können unter Umständen erraten werden. Mehrere Systeme, die ich nutze, erfordern denselben Benutzernamen und dasselbe Passwort. Einige Konten müssen gemeinsam genutzt werden. Welche Best Practices sind in diesem Fall zu beachten?

Sehen Sie sich dieses Webinar an, um in das Thema der Sicherheitsinfrastruktur einzutauchen. 

Passwortkomplexität

Eine kurze Suche nach „Gute Passwörter erstellen“ bietet eine Fülle von Anleitungen. Jedoch sehen wir immer wieder, dass Benutzer Passwörter wählen, die in kurzer Zeit erraten werden können, selbst dann, wenn hohe Anforderungen an die Komplexität gelten. Komplexitätsstandards verhindern solche individuellen Entscheidungen nicht.

Stellen Sie sich zum Beispiel eine Passwortrichtlinie vor, die 16 Zeichen mit mindestens einem Großbuchstaben, einer Zahl und einem Sonderzeichen erfordert. Die Richtlinie schreibt zudem vor, dass das Passwort alle 90 Tage geändert werden muss. Das folgende Passwort erfüllt diese Anforderung: „Barracuda2020Q1!“ Und man kann es sich leicht merken.

Komplexitätsstandards hindern Benutzer nicht daran, Passwörter zu wählen, die immer noch leicht zu erraten sind #PasswortsicherheitHier klicken, um auf Twitter zu teilen

Passwörter sind noch einfacher zu erraten, wenn der Angreifer über die Anforderungen an die Komplexität und die Passwort-Rotation Bescheid weiß. Bekannte aus der Branche, die Penetrationstests durchführen, haben mir erzählt, dass ihnen in diesen Situationen das Erraten des Passworts in den meisten Fällen gelingt. Manche Passwörter können nach wie vor erraten werden, auch wenn der Benutzer sich beim Erstellen an die Richtlinien gehalten hat.

Die Kombination aus einfachen Passwörtern und gestohlenen (mitunter durchaus komplexen) Passwörtern, die aus früheren Datenschutzverletzungen gewonnenen wurden, macht automatisierte Angriffe – die regelrecht zum Standard in den Anfangsphasen einer Attacke geworden sind – oft erfolgreich.

Die beste Verteidigung vor schwachen oder gestohlenen Passwörtern ist die Multi-Faktor-Authentifizierung (MFA). Wenn die MFA aktiviert ist, wird der Benutzer – selbst wenn ein Angreifer eine funktionierende Kombination aus Benutzername und Passwort eingibt – aufgefordert, den Login-Vorgang zu bestätigen und kann so betrügerische Anmeldungsversuche unterbinden.

Best Practice: Eine Kombination aus starken Passwörtern und MFA trägt ganz wesentlich zum Schutz vor passwortbasierten Angriffen bei.

Wiederverwendung von Passwörtern

Bei Stuffing-Angriffen werden Kombinationen von Benutzernamen und Passwörtern aus früheren Cyberangriffen im Rahmen anderer Dienste ausprobiert. Zum Beispiel wurden mein Benutzername und mein Passwort im Zuge des Angriffs auf LinkedIn im Jahr 2012 entwendet. Es ist anzunehmen, dass zahlreiche Hacker meinen Benutzernamen und das dazugehörige Passwort auf jeder Banking-Website im Internet ausprobiert haben. Das wäre zumindest ein kluger Ansatz. Ich bin froh, dass ich die Zeit dieser Hacker verschwendet habe, denn dieses Passwort funktionierte nur bei LinkedIn. Als mein LinkedIn-Passwort gestohlen wurde, änderte ich es umgehend und konnte so mein Leben wieder ungestört genießen – genau wie alle anderen, die ein eindeutiges Passwort für jede Website verwenden.

An meinem Arbeitsplatz hingegen logge ich mich in viele Systeme ein: z. B. in unser Bug-Tracking-System, unser Wiki und unser Quellcode-Kontrollsystem, um nur einige Beispiele zu nennen – und das alles mit demselben Benutzernamen und Passwort. Meinem Passwort-Manager missfällt das gehörig. Er beschwert sich darüber, dass ich Passwörter wiederverwende. Aber mache ich das wirklich?

Nein, nicht wirklich. All diese Systeme sind an unseren zentralen Identitätsanbieter (Identity Provider; IDP) angebunden: Active Directory. Es scheint nur so, als würde ich Passwörter wiederverwenden, aber in Wirklichkeit handelt es sich um nur ein Passwort, das mit einer einzigen Identität verknüpft ist.

Ein zentralisierter IDP hat den zusätzlichen Vorteil, dass er einen einzigen, zentralen Ort schafft, über den der Benutzerzugang gewährt und widerrufen werden kann. Dadurch vermindern sich die Angriffsflächen innerhalb Ihrer Anwendungen drastisch.

Wenn viele Systeme mit einem zentralen Identitätsanbieter verknüpft sind, ist es noch wichtiger, einen zweiten Faktor für die Authentifizierung einzuführen. In diesem Fall gewährt die Kombination aus einem gültigen Benutzernamen und einem Passwort Zugang zu vielen Systemen.

Best Practice: Verwenden Sie Passwörter niemals für mehrere Dienste.

Best Practice: Zentralisieren Sie in einer Geschäftsumgebung Ihren Benutzerzugriff mit einem zentralen Identitätsanbieter wie Active Directory, um die Anzahl der Passwörter, die Ihre Benutzer benötigen, zu minimieren und Zugriffsberechtigungen bei Bedarf an einem zentralen Ort widerrufen zu können.

Best Practice: Bei Verwendung eines zentralisierten Identitätsanbieters ist MFA unerlässlich.

Zur Erinnerung: Verwenden Sie Passwörter niemals dienstübergreifend. Cyberkriminelle rechnen damit, dass Anwender zu bequem sind, um für jeden Dienst ein separates Passwort zu erstellen. #PasswortsicherheitHier klicken, um auf Twitter zu teilen

Geteilte Konten

Gemeinsam genutzte Konten sind ein weiterer Angriffspunkt, da mehrere Personen Zugriff auf das Passwort haben. Darüber hinaus ist es schwieriger, MFA auf einem gemeinsamen Konto zu konfigurieren.

Es scheint, als sollte es im Jahr 2020 nicht mehr erforderlich sein, Benutzerkonten – insbesondere solche mit hohen Berechtigungsstufen – gemeinsam zu nutzen. Und das trifft meistens auch zu. Beispielsweise wird bei Barracuda der Benutzerzugang zu unseren Konten im Rahmen von Public Clouds wie AWS und Azure über unser firmeneigenes Active Directory gesteuert. Wenn ich Zugang zu einem bestimmten Cloud-Konto benötige, reiche ich einen schriftlichen Antrag bei der IT-Abteilung ein, die mich dann in die entsprechende Sicherheitsgruppe aufnimmt. Wenn ich den Zugang nicht mehr benötige, werde ich aus der Sicherheitsgruppe entfernt und mein Zugang wird widerrufen. Wenn ich das Unternehmen verlasse, kann der Zugang zu allen Systemen durch Deaktivierung oder Entfernung meines AD-Kontos aufgehoben werden. Dieser Prozess funktioniert bei der überwiegenden Mehrheit der Konten in unserem Umfeld recht gut.

Jedes AWS-Konto hat jedoch einen Stammbenutzer, der im Rahmen der Kontoerstellung eingerichtet wird. Die Best Practices schreiben vor, dass die tägliche Arbeit nicht über dieses Konto ausgeführt werden soll. Es dient sozusagen als „Notfall-Account“, z.B. wenn unsere AD-Integration gestört und kein regulärer Zugang möglich ist.

Das Passwort für das Stammkonto muss für autorisierte Benutzer in der Organisation verfügbar sein. Andernfalls würden wir riskieren, diesen Schutz zu verlieren, wenn der Benutzer mit dem Passwort die Organisation verlässt. Bei der Verwaltung unserer Server folgen wir einem ähnlichen Muster. Normale Geschäfte werden über individuelle Benutzerkonten abgewickelt, die von einem zentralen Identitätsanbieter (IDP) kontrolliert werden. Der Zugang für den Notfall erfolgt über das Stammkonto für das System.

Aufgrund der Sensibilität dieser Konten ist es sehr wichtig, den Zugang zu kontrollieren und die gesamte Nutzung dieser Konten zu protokollieren und zu überwachen. Sie sollten selten im Einsatz sein und jede Nutzung sollte Aufmerksamkeit erregen.

„Gemeinsam genutzte Konten sind ein weiterer Angriffspunkt, da mehrere Personen Zugriff auf das Passwort haben.“ #ZugangskontrolleHier klicken, um auf Twitter zu teilen

Best Practices:

  • Möglichst wenige gemeinsam genutzte Konten einsetzen
  • Gemeinsame Passwörter sicher speichern
  • Zugriff auf gemeinsam genutzte Passwörter beschränken
  • Die Nutzung gemeinsamer Konten unter Einsatz einer Meldefunktion überwachen
  • Zugang regelmäßig überprüfen
  • Passwörter ändern, sobald ein Benutzer mit Zugriffsberechtigung die Organisation verlässt

Ein Hinweis zu Benutzerberechtigungen

Unabhängig davon, ob Sie einen zentralisierten IDP konfiguriert haben oder die in Ihre Anwendungen integrierte Benutzerverwaltung verwenden – der Schutz Ihres Unternehmens geht über die bloße Verhinderung unbefugter Anmeldungen hinaus. Ein umfassendes Zugangsverwaltungsprogramm verfügt über zusätzliche Sicherheitskomponenten.

Es sollte klar definierte Prozesse für die Beantragung und Genehmigung des Zugangs zu Systemen geben, einschließlich einer Richtlinie, die sicherstellt, dass unnötige Zugriffe eingeschränkt werden und ein System nach dem Least-Privilege-Prinzip implementiert wird. Je weniger Personen Zugang zu einem System haben, desto geringer ist die Möglichkeit, über einen kompromittierten Benutzer unbefugt Zugang zu erhalten. Für jedes System, das sensible Daten speichert oder verarbeitet, sollte ein Prozess definiert werden, und dieser Prozess sollte von Ihren Compliance- und Datenschutzteams überprüft werden.

In der Regel umfasst der Zugriffsgenehmigungsprozess die Genehmigung durch einen Vorgesetzten des Antragstellers. Damit ein Genehmigungsverfahren effektiv ist, ist es wichtig, die für die Genehmigung zuständigen Personen zu schulen, sodass sie mit den Prozessen und Kriterien vertraut sind, die mit der Beantragung und der Erteilung von Berechtigungen verbunden sind. Die Schulung sollte ein Verständnis der verarbeiteten Daten und des potenziellen Einflusses eines berechtigten Benutzers auf Daten und Systeme vermitteln. Gleichermaßen sollten die Systeminhaber, also jene Personen, die neue Konten erstellen, mit den Zugangsanforderungen vertraut sein, und sie sollten vom Management dazu autorisiert werden, Anträge bei Bedarf abzulehnen, wenn die definierten Anforderungen nicht erfüllt sind.

Administratoren sollten Klarheit darüber schaffen, wie die Berechtigungen innerhalb des Systems (Autorisierung) verwaltet werden, sobald Zugriff (Authentifizierung) gewährt wurde. Werden Berechtigungen auf der Grundlage der Mitgliedschaft in einer AD-Gruppe oder innerhalb der Anwendung verwaltet? Beispielsweise kann die Berechtigung zur Anmeldung bei Salesforce von der Mitgliedschaft in einer entsprechenden AD-Gruppe abhängig sein. Die Berechtigungen, über die der Benutzer innerhalb von Salesforce verfügt, können jedoch unabhängig von Ihren AD-Gruppen durch die Salesforce-Anwendung selbst definiert werden. Die mögliche Trennung zwischen Authentifizierung und Autorisierung im Auge zu behalten und dann festzulegen, wo die Berechtigungen definiert werden, ist für laufende Zugriffsüberprüfungen unerlässlich. Die Überprüfung der Mitgliedschaft in AD-Gruppen ist oft unzureichend.

Periodische Zugangsprüfungen werden oft übersehen. Hier ist ein Fall, in dem eine Überprüfung helfen kann. Wird das System von allen Benutzern verwendet, die eine entsprechende Zugriffsberechtigung haben? Wenn nicht, empfiehlt es sich, jene Benutzer zu entfernen, die das System nicht nutzen. Wenn ein Mitarbeiter seit 90 Tagen nicht von seiner Zugangsberechtigung Gebrauch gemacht hat, sollten Sie erwägen, diese zu widerrufen. Sollte der Mitarbeiter das System später wieder brauchen, wird er sich bestimmt Gehör verschaffen. Stellen Sie sicher, dass Ihr Genehmigungsverfahren vorsieht, dass ein zuvor autorisierter Benutzer, dessen Zugangsberechtigung entfernt wurde, schnell wieder Zugriff erhalten kann. Der Sinn und Zweck dieses Prozesses besteht darin, Personen den Zugriff auf Systeme zu entziehen, die sie nicht brauchen, und nicht darin, Mitarbeiter daran zu hindern, ihre Arbeit zu erledigen.

Sie sollten einen Plan entwickeln, mit dem Sie Zugriffsberechtigungen bei Bedarf rasch entziehen können. Unabhängig davon, ob es sich um die Kündigung eines Arbeitsverhältnisses oder um ein kompromittiertes Konto handelt: Ein klares Verfahren für den Widerruf der Zugriffsberechtigung auf alle Ihre Systeme ist ein unentbehrlicher Bestandteil eines Zugriffsverwaltungsprogramms.

Zu guter Letzt ermöglicht eine zentralisierte Protokollierung von Benutzerzugriffen das Nachverfolgen von ungewöhnlichem Benutzerverhalten.

Best Practice: Ein umfassendes Zugangsverwaltungsprogramm:

  • Definiert die Prozesse für den Zugang zum System
  • Umfasst Schulungen für Systeminhaber und genehmigende Personen bezüglich Prozessen und Anforderungen für die Zugriffskontrolle
  • Sieht vor, wo Systemberechtigungen definiert werden
  • Protokolliert und überwacht Benutzerverhalten
  • Überprüft regelmäßig Zugriffsmuster und Benutzerberechtigungen
  • Entfernt nicht mehr benötigte Zugriffsberechtigungen
  • Sieht einen Plan für den schnellen Widerruf von Zugriffsberechtigungen vor

Zusammenfassung

Die Produkte und Dienstleistungen, die wir nutzen, sind heute weltweit auf unzählige Netzwerke verteilt, die sich unserer direkten Kontrolle entziehen. Die Hersteller dieser Produkte und Dienstleistungen bieten Kontrollmaßnahmen an, um sicherzustellen, dass Ihre Daten sicher sind. Zwar definiert die Branche als Orientierungshilfe Best Practices, doch Ihre Anbieter können nicht alles für Sie erledigen. Wir hoffen, dass dieser Beitrag einige hilfreiche Schritte aufgezeigt hat, die Sie unternehmen können, um diese Kontrollmaßnahmen wirkungsvoll einzusetzen und für mehr Sicherheit für Ihre Kunden, Benutzer, Mitarbeiter und Systeme zu sorgen.

Sehen Sie sich dieses Webinar an, um in das Thema der Sicherheitsinfrastruktur einzutauchen. 

Nach oben scrollen
Twittern
Teilen
Teilen