Identitätsdiebstahl

7 Security-Tipps zur Risikominimierung (Teil2/2)

Nachdem die möglichen Angriffsvektoren und der daraus resultierende Schaden aufgezeigt wurden, werden nun sieben Security-Tipps zur Risikominimierung dieser Bedrohungen genannt. Mit den folgenden Maßnahmen können Personen und Unternehmen den zuvor genannten Gefahren entgegenwirken:

SECURITY-TIPP 1

Umsetzung von Standard-Sicherheitsmaßnahmen

Anzeige

Auch wenn dieser Tipp selbstverständlich klingt, ist die gelebte Realität in vielen Unternehmen eine andere. Es ist zwingend notwendig, die eingesetzte Software regelmäßig mit Updates zu versorgen, um so schnellstmöglich gefundene Sicherheitslücken in den Systemen zu schließen. Hierfür ist ein vollständiges Patch-Management notwendig, das sämtliche Serversysteme und Anwendungen mit einbezieht.

Auch Fehlkonfigurationen in der eingesetzten Software müssen vermieden werden. Allzu häufig werden Datenbanken betrieben, die aus dem Internet erreichbar sind und für die keine Benutzerauthentifizierung mit einem Passwort eingerichtet worden ist. Das heißt, dass diese Datenbanken unbeabsichtigt öffentlich zugänglich betrieben werden. Hier hilft es, die betriebenen Systeme und deren Konfiguration zu dokumentieren und generell Konzepte für den Betrieb solcher Systeme vorzuhalten. Darüber hinaus ist ein geeignetes Malware-Schutzkonzept notwendig, das sämtliche Systeme im Unternehmensnetz vor dem Befall mit Malware schützt.

SECURITY-TIPP 2

Kompromittierte Zugangsdaten erkennen und deaktivieren

Anzeige

Für Unternehmen ist es wichtig, die eigene Bedrohungslage konkret einschätzen zu können. Einen großen Einfluss auf die Unternehmenssicherheit haben Benutzerkonten, da Cyberkriminelle mit Hilfe eines kompromittierten Benutzerkontos unbemerkt Zugriff auf die Unternehmensinfrastruktur bekommen. Ein Angreifender, der sich mit validen Zugangsdaten anmeldet, ist nur schwer vom echten Benutzer zu unterscheiden. Ebenfalls ist es schwer zu detektieren, wann ein Angreifender gestohlene Zugangsdaten für welche Aktionen missbraucht. Aus diesem Grund ist es sinnvoll, dass Unternehmen regelmäßig überprüfen, ob Zugangsdaten von Benutzer:innen kompromittiert wurden. Hier bieten sich verschiedene Dienste an, die das Darknet nach gestohlenen Zugangsdaten durchsuchen und Unternehmen vor kompromittierten Zugangsdaten warnen. Aus einer Warnung bezüglich kompromittierter Zugangsdaten lassen sich zwei Hinweise auf Schwachstellen der Unternehmenssicherheit ableiten: Erstens haben Angreifende die Möglichkeit, sich unbemerkt als der entsprechende Benutzer auszugeben. Zweitens gibt es eine Schwachstelle, über die das entsprechende Passwort entwendet wurde. Aus diesem Grund sind bei kompromittierten Benutzerkonten mehrere Aktionen notwendig:

  • kompromittierte Benutzerkonten unverzüglich deaktivieren 
  • untersuchen, ob forensische Hinweise existieren, dass Angreifer bereits die Zugangsdaten für eine Anmeldung im Unternehmensnetz missbraucht haben
  • untersuchen, wie das Passwort abhanden kommen konnte

SECURITY-TIPP 3

Die eigene Passwort-Policy überprüfen

Wenn es eine Passwort-Policy in Unternehmen gibt, dann ist diese häufig nicht zielführend. In den meisten Passwort-Policies wird eine Angabe zur Mindestlänge und zu den enthaltenen Zeichenarten gemacht. Ebenfalls wird häufig der Hinweis gegeben, dass Passwörter nicht notiert werden dürfen und alle drei Monate geändert werden müssen. 

Durch eine Änderung oder Ergänzung einzelner Aspekte kann aber ein spürbarer Sicherheitsgewinn herbeigeführt werden:

Die notwendige Passwortlänge wird häufig auf acht Zeichen festgelegt. Hierbei sollte hinterfragt werden, ob acht Zeichen tatsächlich ausreichend sind. Für eine solche Entscheidung muss der Schutzbedarf der einzelnen Benutzerkonten festgestellt werden.

Der regelmäßige Passwortwechsel-Zwang muss unbedingt deaktiviert werden, denn sowohl wissenschaftliche Forschung als auch BSI und NIST raten hiervon ab.

In einer Passwort-Policy muss festgehalten werden, dass ein Unternehmenspasswort nicht bei externen Diensten verwendet werden darf, besonders nicht im privaten Kontext. 

Die Orte, an denen ein Passwort eingegeben werden darf, müssen limitiert werden. Dies wird durch das Unternehmen in der Passwort-Policy dokumentiert. 

Den Mitarbeiter:innen muss untersagt sein, ein Unternehmenspasswort bei externen Diensten zu hinterlegen, um dadurch beispielsweise die zuvor genannten Workflow-Automation-Services zu

nutzen.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

SECURITY-TIPP 4

Umsetzung der Passwort-Policy

Es reicht nicht aus, notwendige Maßnahmen und Vorgaben nur in einer Policy zu dokumentieren. Diese muss auch im Unternehmen realisiert werden. Damit Mitarbeiter:innen mit den entsprechenden Regeln umgehen können, empfiehlt es sich, die in der Passwort-Policy dokumentierten Vorgaben in Security Awareness-Trainings zu schulen. Zudem ist es bei der Regelung des Passwortumgangs wichtig, auch die Usability mit einzubeziehen. Eine häufig formulierte Anforderung in Passwort-Richtlinien ist, dass Passwörter nicht notiert werden dürfen. Wenn ein Teammitglied jedoch viele unterschiedliche Systeme mit verschiedenen Benutzerkonten verwendet, bleibt ihm kaum etwas anderes übrig, als Passwörter aufzuschreiben oder wiederzuverwenden. Hierbei können Mitarbeiter:innen durch Passwortmanager unterstützt werden. Über diese können sichere und individuelle Passwörter genutzt werden, ohne die Anwendenden zu überfordern. 

Darüber hinaus sollte überprüft werden, ob auch alle Systeme die geltende Passwort-Policy technisch umsetzen. Es ist kontraproduktiv, wenn in den Richtlinien eine Mindestlänge von zehn Zeichen bei der Wahl eines Passworts vorgegeben werden, vom System aber nur vier Stellen akzeptiert werden.

Ebenfalls kann die Qualität von Passwörtern verbessert werden, wenn schlechte oder bereits kompromittierte Passwörter nicht wiederverwendet werden. Hierfür ist die Überprüfung des Passworts auf Systemebene notwendig.

SECURITY-TIPP 5

Zwei-Faktor-Authentifizierung einführen

Die reine Passwort-Authentifizierung lässt sich zwar am einfachsten implementieren, bietet aber nicht den besten Schutz. Bei Onlinediensten und Banken ist die Verwendung eines zweiten Faktors bei der Anmeldung schon weit verbreitet. Die Einführung eines zweiten Faktors auch im Unternehmenskontext bringt einen signifikanten Sicherheitsgewinn. Gerade für Benutzerkonten mit vielen Systemrechten bietet sich die Verwendung an. Soll ein zweiter Faktor im Unternehmen eingeführt werden, müssen geeignete Produkte ausgewählt werden, die sich bestmöglich in die bestehende Infrastruktur integrieren lassen.

SECURITY-TIPP 6

Benutzer:innen durch Awareness-Schulungen sensibilisieren

Gerade im Bereich der Passwort-Authentifikation haben die Mitarbeitenden eines Unternehmens essenziellen Einfluss auf die Unternehmenssicherheit. In entsprechenden Awareness-Schulungen kann ihnen vermittelt werden, dass sie durch die Verwendung guter Passwörter zur Verbesserung der Sicherheit im Unternehmen beitragen können. Bei schon existierenden Awareness-Schulungen im Bereich der IT Security ist meistens das Thema Phishing sehr präsent, der richtige Umgang mit Passwörtern ist jedoch oftmals unterrepräsentiert oder gar nicht vorhanden.

SECURITY-TIPP 7

Technische Schutzmaßnahmen implementieren

Soweit es möglich ist, Maßnahmen technisch abzusichern, sollte das auch realisiert werden. Sämtliche Login-Interfaces eines Unternehmens sollten ein Limit implementiert haben, das nur eine bestimmte Anzahl an gescheiterten Anmeldeversuchen akzeptiert. Hierfür müssen zunächst einmal alle Anmelde-Interfaces zusammengetragen werden: Login-Formulare auf Websites, APIs und zentrale Verzeichnisdienste mit den angebundenen Services.

Hierbei ist insbesondere auf die vom Internet aus zugänglichen Interfaces zu achten, da bei einer fehlenden Limitierung der Anmeldeversuche der Angreifende automatisiert Passwörter erraten kann. Sollte eine maximale Anzahl an gescheiterten Anmeldeversuchen durchgeführt worden sein, so ist es zielführend, die entsprechende IPAdresse zu blockieren.

Eine weitere technisch realisierbare Maßnahme ist die Deaktivierung des Zugriffs aus dem Unternehmensnetz auf bekannte risikobehaftete Dienste. Stehen externe Onlinedienste mit einer internen Sicherheitsrichtlinie in Konflikt, ist es sinnvoll, den Zugriff auf diesen Dienst auch technisch zu sperren. Beispielsweise kann so verhindert werden, dass ein Mitarbeitender einen unerwünschten Workflow-Automation-Service einrichtet.

Fazit

Es wurde eine Reihe an Möglichkeiten vorgestellt, wie in Unternehmen die eigenen Zugangsdaten kompromittiert werden können. Die Gefahren sind vielseitig und erfordern Maßnahmen sowohl auf der Technik-Ebene als auch auf der Ebene der Mitarbeiter:innen. Die sieben Security-Tipps geben einen Überblick über notwendige und hilfreiche Maßnahmen. Bei der Realisierung dieser Tipps kann es für Unternehmen gerade bei den komplexeren Themen ratsam sein, externe Expertise einzuholen, damit die Maßnahmen korrekt und vollständig implementiert werden.

 

Lesen Sie hier Teil 1: Gestohlene Zugangsdaten im Unternehmenskontext

Timo

Malderle

Cyber Security Consultant

carmasec GmbH & Co. KG

Dr. Timo Malderle ist Cyber Security Consultant bei der auf Cybersicherheit spezialisierten Beratungsboutique carmasec GmbH & Co. KG mit Hauptsitz in Essen. 
Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.