Die Entzauberung des Passwort-Mythos

Passwortverwaltung in Unternehmen ist von enormer Bedeutung. Unsere Sicherheitsexperten Marcel Reifenberger und Callum Butler geben Ihnen wertvolle Tipps, wie Sie Ihre Systeme sicher machen – und räumen dabei mit gängigen Kennwort-Klischees auf. Ein Gastbeitrag von Marcel Reifenberger und Callum Butler. 

26. Oktober 2018

|

Marcel Reifenberger

Lesedauer: ca. 4 Min.

Die Entzauberung des Passwort-Mythos

Titelbild: © TBIT/pixabay.com

Passwörter werden immer wichtiger. Viele Technologieunternehmen entwickeln Wege, um die Passwortverwaltung zu vereinfachen. Es gibt jedoch nur wenige allgemeine Richtlinien, wie man sichere Passwörter entwickelt.

Dabei muss jedes Unternehmen zweifellos seine eigenen spezifischen Sicherheitsanforderungen an Passwörter berücksichtigen. Doch selbst bei einem externen Audit müssen Grundstandards erfüllt werden.

Wenn man sich diese sogenannten “Standards” näher anschaut, sind weltweit überraschenderweise große Unterschiede zu sehen.

Was raten Sicherheitsbehörden auf der ganzen Welt?

 

Passwort-Standards im Vergleich NIST (National Institute of Standards and Technology) – USA BSI (Bundesamt für Sicherheit in der Informationstechnik) – Deutschland ENISA (Europäische Agentur für Netz- und Informationssicherheit) – EU NCSC (National Cyber Security Center) – Großbritannien
Länge des Passworts Mindestens 8 Zeichen Mindestens 8 Zeichen (mindestens 14 für privilegierte Benutzerkonten) Mindestens 8 Zeichen Keine besonderen Anforderungen gegeben
Wann sollte das Passwort geändert werden Auf Anfrage Mindestens alle 90 Tage Periodisch (noch nicht im Detail definiert) Auf Anfrage
Komplexität Keine spezifischen Anforderungen gegeben aA1$ (Mischung aus Klein- und Großbuchstaben, Zahlen, Sonderzeichen) aA1$ (Mischung aus Klein- und Großbuchstaben, Zahlen, Sonderzeichen) Keine besonderen Anforderungen gegeben
Akzeptierte fehlgeschlagene Versuche Keine speziellen Anforderungen gegeben Weniger als fünf Keine besonderen Anforderungen gegeben Bis zu zehn
Sicherheitsfragen obligatorisch Nein Ja (in Bezug auf das zutreffende Risiko) Keine besonderen Anforderungen gegeben Nein
Standardkennwörter Keine besonderen Anforderungen gestellt Verboten Muss vor der Auslieferung geändert werden Muss vor der Auslieferung geändert werden
Multi-Faktor-Authentifizierung (MFA) Empfohlen Empfohlen Empfohlen Empfohlen

Wie Sie sehen können, unterscheiden sich die Empfehlungen teils stark voneinander. Wie also sollten Systeme konfiguriert, Sensibilisierungsmaßnahmen definiert und Mitarbeiter geschult werden, wenn es keine echte Grundlage gibt?

Der beste Weg ist, “wie ein Hacker zu denken”. Durch das Verständnis aller Möglichkeiten, Passwörter zu knacken und Zugang zu Ihren Daten zu erhalten, haben Sie eine größere Chance, eine effektive Passwortstrategie zu entwickeln.

Was sind die häufigsten Möglichkeiten, Passwörter zu knacken?

  • Abfangen oder Man-in-the-Middle-Angriffe – Dies geschieht häufig in ungesicherten Netzwerken, in denen Angreifer leicht den Datenverkehr abfangen können, um nach Passwörtern zu fischen.
  • Brute Forcing – Angreifer verwenden eine Liste von Passwörtern, die sie auf ihren Systemen haben, und probieren jedes davon mit Ihrem Benutzernamen aus. In der Regel automatisiert mit Open-Source-Tools.
  • Shoulder Surfing – Genau so, wie es klingt: Angreifer stehlen einfach Passwörter, indem sie Ihnen über die Schulter schauen.
  • Social Engineering – Ein Angreifer verleitet ahnungslose Benutzer dazu, geklonte Websites zu besuchen. Oder er manipuliert auf sozialer Ebene, am Telefon oder von Angesicht zu Angesicht.
  • Keylogging – Ein Angreifer erfasst jeden von Ihnen eingegebenen Schlüssel, indem er Ihren Computer oder die eigentliche Tastatur selbst ausnutzt.
  • Bildschirmerfassung – Mit der Software Remote Access Trojans erfassen Angreifer Ihren Bildschirm.  In Kombination mit Keylogging ermöglicht dies den Zugriff auf Ihre verschiedenen Passwörter.  (Angenommen, Sie haben unterschiedliche Passwörter!)
  • Suchen und Stehlen – Angreifer kaufen Wörterbuchpasswörter online oder durch Stehlen von Hash-Werten von remote angemeldeten Maschinen über ein Tool namens mimikatz.
  • Manuelles Raten – Einfach und doch effektiv, mit Wissen über den Einzelnen.
  • Token-Diebstahl oder Token-Replay – Auf schlecht kodierten Websites können Hacker Login-Token erfassen. Durch die Wiederverwendung des Token erhalten sie Zugang zu Ihrem Konto. Sie brauchen nicht einmal Ihren Benutzernamen.

Wir haben uns also mit Sicherheits- und Basisstandards sowie den verschiedenen Möglichkeiten, Passwörter zu knacken, beschäftigt. Lassen Sie uns nun einen Blick auf den Passwortschutz selbst werfen.

5 gängige Mythen über den Passwortschutz

  1. Es geht nur um die Länge. Die Länge kann ein wenig helfen. Aber KI, Big Data und Quantencomputer können Passwörter beliebiger Länge in einer Minute knacken. Längere Passwörter allein schützen also Ihre Systeme nicht.
  2. Die Eingabe komplexer Passwörter (mehr als 8 Zeichen) dauert zu lange. Biometrische Authentifizierungsmethoden (z.B. Gesichtserkennung oder Fingerabdruck) sowie Single Sign-On (SSO) können heutzutage den Authentifizierungszeitraum auf eine Sekunde verkürzen.
  3. 2FA wird alle Probleme lösen. Wahr in 99,9% aller Fälle. Zwei Faktor-Authentifizierungsmethoden reduzieren sicherlich die Möglichkeit, dass Ihr Konto kompromittiert wird; besonders wenn es sich um einen physischen 2FA-Schlüssel handelt. Das heißt, zufällig generierte Zahlen, die nach dem Anmelden mit Ihrem Passwort erforderlich sind. Software 2FA Schlüssel sind ebenfalls gut, aber anfälliger für Angriffe, wenn sie sich auf Ihrem mobilen Gerät befinden. (Aber denken Sie daran, dass alles gehackt werden kann.)
  4. Werkseitige Passwörter kann man nicht ändern. Wenn man sie nicht ändern kann, würde ich mich von ihnen fernhalten, pronto! Sie würden kein Haus ohne eine sichere Tür kaufen, warum also Software oder Hardware kaufen, die Ihr Netzwerk sperrangelweit offen lässt. Wenn Sie unsicher sind oder keinen Weg finden, ein Werkspasswort zu ändern, senden Sie eine E-Mail an den Verkäufer, der das Passwort für Sie ändern sollte, oder lassen Sie sich beraten.
  5. Passwortmanager sind umständlich zu verwenden. Vielleicht umständlich, aber sicherer als eine Haftnotiz unter dem Schreibtisch. Einige Passwortmanager sind vielleicht knifflig, aber der Versuch, Ihre Konten nach einem Verstoß zurückzubekommen, wird viel schwieriger sein.

Welche sind also die 5 wichtigsten Möglichkeiten, Ihr Netzwerk zu schützen?

  1. Genehmigen Sie größere Budgets. Mitarbeiter für Informationssicherheit zu sensibilisieren, ist eine große Aufgabe. Es bedarf eines umfassenden Programms mit erheblichen Investitionen.
  2. Wenden Sie mindestens 16 Ziffern mit einer Mischung aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen an. Unbedingt auch Ihre Mitarbeiter darüber aufklären, unverwechselbare, aber schwer zu knackende Passwortphrasen zu verwenden. (Zum Beispiel MycarisaFordMustangbuild1963!).
  3. Verwenden Sie nach Möglichkeit alternative Zugangsmöglichkeiten wie Fingerabdruck oder 3D-Gesichtserkennung.
  4. Verwenden Sie nach Möglichkeit Zwei-Faktor-Authentifizierung (2FA) und Single Sign-On (SSO).
  5. Einführung EINER unternehmensweiten, einfach zu bedienenden Passwortmanagerlösung, die mit allen bereitgestellten Anwendungen verbunden ist (z.B. durch Installation von Add-ons).

Es versteht sich von selbst, dass Sie auch alle Ihre Anwendungen vollständig testen sollten, um die verschiedenen oben beschriebenen Angriffsmethoden zu verhindern. Danke fürs Lesen. Wir hoffen, dass unsere Empfehlungen Sie in Zukunft sicher halten werden:

Marcel Reifenberger CISO / CSO, CANCOM (@soc13tyhacker)

Callum Butler Cyber Security Analyst, OCSL (@Callum_Butler)

Erfahren Sie mehr über die Security-Lösungen von CANCOM.

Dieser Artikel wurde ursprünglich auf Englisch bei OCSL Insights veröffentlicht. Aus dem Englischen übersetzt von Patrick Füngerlings. 

Mehr zum Thema „IT-Security“

Die Zwei-Faktor-Authentifizierung als zusätzliche Absicherung der Daten
Die Zwei-Faktor-Authentifizierung als zusätzliche Absicherung der Daten

Im Internet befinden sich unendlich viele sensible Daten. Die Zwei-Faktor-Authentifizierung ermöglicht es, diese Daten noch besser vor Hackern zu schützen.

Lesedauer: 2 Min.

Riesige illegale Datensammlung im Netz aufgetaucht
Riesige illegale Datensammlung im Netz aufgetaucht

Der IT-Sicherheitsexperte Troy Hunt hat eine gewaltige Sammlung an gestohlenen Log-in-Informationen gefunden. Millionen Nutzer sind betroffen.

Lesedauer: 2 Min.

Sicherheitsfaktor Endgeräteschutz: Wie Sie den Mac umfassend absichern können
Sicherheitsfaktor Endgeräteschutz: Wie Sie den Mac umfassend absichern können

Das Thema Endgeräteschutz ist für die Unternehmenssicherheit entscheidend. Um Mac Geräte umfassend abzusichern, bietet Jamf die Lösung Jamf Protect an.

Lesedauer: 2 Min.

Was Security Operations Center leisten können
Was Security Operations Center leisten können

Unternehmen befassen sich zunehmend mit der Einführung eines Security Operations Centers (kurz: SOC). Wir geben Ihnen einen Überblick, was ein solches SOC leisten kann.

Lesedauer: 3 Min.

Cyberkriminalität in Zeiten von COVID19: Das sind die 4 wichtigsten Trends
Cyberkriminalität in Zeiten von COVID19: Das sind die 4 wichtigsten Trends

Die Coronakrise hat eine Zunahme der Cyberkriminalität bewirkt. Welche Methoden die Angreifer häufig nutzen, haben die Analysten von Securonix untersucht.

Lesedauer: 3 Min.

Gesichtserkennung: Das steckt hinter der Technologie
Gesichtserkennung: Das steckt hinter der Technologie

Ob für Smartphones oder am Flughafen: Die Einsatzmöglichkeiten der Gesichtserkennung sind vielfältig. Doch wie genau funktioniert die Technologie?

Lesedauer: 3 Min.

Skalierbar, proaktiv und netzwerkübergreifend: So wehren Sie Cyberbedrohungen in erster Instanz ab
Skalierbar, proaktiv und netzwerkübergreifend: So wehren Sie Cyberbedrohungen in erster Instanz ab

Cloud Security-Plattformen können wesentlich zu einer umfassenden Netzwerksicherheit im Unternehmen beitragen.

Lesedauer: 2 Min.

cloud-sicherheitskonzept-sase
Cloud-basiertes Sicherheitskonzept: Über die Merkmale und Anwendung von SASE

Es ist aktuell eines der Trendthemen in der IT: Secure Access Service Edge (kurz: SASE). Mehr dazu im Interview mit CANCOM-Experte Thimo Barthel.

Lesedauer: 4 Min.

So erhöhen Sie die Netzwerksicherheit im Rechenzentrum
So erhöhen Sie die Netzwerksicherheit im Rechenzentrum

Damit Unternehmen das Netzwerk in ihrem Data Center umfassend schützen können, kommen sie nicht umhin, traditionelle Sicherheitsmaßnahmen zu überdenken.

Lesedauer: 3 Min.

USB-Sticks in Unternehmen: So reduzieren Sie das Sicherheitsrisiko
USB-Sticks in Unternehmen: So reduzieren Sie das Sicherheitsrisiko

Selbst in Zeiten der Cloud bleibt der USB-Stick ein treuer Begleiter im Berufsalltag. Allerdings können USB-Sticks den Gesamtbetrieb ernsthaft gefährden.

Lesedauer: 3 Min.

So stellen Sie Ihren Mitarbeitern einen sicheren Fernzugriff bereit
So stellen Sie Ihren Mitarbeitern einen sicheren Fernzugriff bereit

In vielen Unternehmen hat die Remote-Arbeit stark zugenommen. Um hier die Security zu gewährleisten, ist vor allem ein sicherer Fernzugriff essenziell.

Lesedauer: 3 Min.

soar-loesung-autmatisierung-im-soc
„Wir erreichen mit der SOAR-Lösung einen deutlich höheren Automatisierungsgrad in unserem SOC“  

SOAR-Lösungen sind auf dem Vormarsch. Im Interview erklärt Experte Niels Gliwitzky, wie CANCOM und Kunden von der Integration in das eigene SOC profitieren.

Lesedauer: 3 Min.

mobile-sicherheit-google-pixel
So möchte Google die mobile Sicherheit erhöhen

Mobile Sicherheit ist für Firmen ein zentrales Thema. Google weiß das genau – und stattet die Pixel 8-Smartphones mit einer Reihe von Security-Funktionen aus.

Lesedauer: 3 Min.

„Angreifer konzentrieren sich zunehmend auf mobile Geräte, anstatt auf Netzwerke als Einfalltor für Attacken“
„Angreifer konzentrieren sich zunehmend auf mobile Geräte, anstatt auf Netzwerke als Einfalltor für Attacken“

Die Sicherheitsanforderungen an Business Devices steigen an. Wie sich Unternehmen vor Hacker-Angriffen schützen können, erfahren Sie im Interview.

Lesedauer: 3 Min.

Wie Social Media Plattformen Unternehmen gefährden
Wie Social Media Plattformen Unternehmen gefährden

Fast jedes Unternehmen nutzt heute Social Media Plattformen. Allerdings können diese zum ernsthaften Sicherheitsrisiko werden – so eine aktuelle Studie.

Lesedauer: 2 Min.

Digitale Erpressung: So wehren Sie sich
Digitale Erpressung: So wehren Sie sich

Sie werden von Cyberkriminellen erpresst? Dann bewahren Sie Ruhe. Und zahlen Sie auf keinen Fall das Lösegeld. Ein Gastbeitrag von Marcel Reifenberger.

Lesedauer: 2 Min.

Effektiver Schutz vor Ransomware
Effektiver Schutz vor Ransomware

Ransomware gehört aktuell zu den größten Bedrohungen für die Firmensicherheit überhaupt. Doch welche Mittel sind nötig, um sich vor Ransomware zu schützen?

Lesedauer: 3 Min.

Das bedeutet das Supportende von Windows 7 für Unternehmen
Das bedeutet das Supportende von Windows 7 für Unternehmen

Ab sofort erhält Windows 7 keine Sicherheitsupdates mehr. Unternehmen, die noch auf das Betriebssystem setzen, sollten spätestens jetzt handeln.

Lesedauer: 2 Min.

container-sicherheit-technologie
„Nur mit einer modernen Container-Sicherheit können Firmen ihre Container-Umgebung vor bekannten, aber auch unbekannten Bedrohungen schützen“

Für die Nutzung der Container-Technologie müssen Firmen eine moderne Container-Sicherheit etablieren. Wie das gelingt, verrät CANCOM-Experte Wolfgang Hofbauer.

Lesedauer: 5 Min.

So schützen Sie Ihren Mac optimal
So schützen Sie Ihren Mac optimal

Der Mac ist sicher – aber das Sicherheitsrisiko steigt. Erfahren Sie, wie Sie sich und Ihren Mac optimal vor Malware und Cyberangriffen schützen können.

Lesedauer: 2 Min.

Zero Trust-Strategie: Was dahintersteckt und wie die Umsetzung gelingt
Zero Trust-Strategie: Was dahintersteckt und wie die Umsetzung gelingt

Vertrauen ist gut, Kontrolle ist besser: Immer mehr Firmen möchten die Zero Trust-Strategie anwenden, um insbesondere Netzwerkzugriffe abzusichern.

Lesedauer: 3 Min.

Wie Unternehmen eine umfassende Endpoint Security realisieren
Wie Unternehmen eine umfassende Endpoint Security realisieren

Das Thema Endpoint Security ist für Firmen heute entscheidend. Bei der Umsetzung besteht allerdings Luft nach oben. Hier möchte CANCOM Abhilfe schaffen.

Lesedauer: 4 Min.

Authentifizierung ohne Passwort: Das bieten Gesichtserkennung und Co.
Authentifizierung ohne Passwort: Das bieten Gesichtserkennung und Co.

Bis heute sind Passwörter in Unternehmen nicht wegzudenken. Doch die Alternativen häufen sich. Die Redaktion von CANCOM.info zeigt drei Alternativen zum Passwort im Überblick.

Lesedauer: 2 Min.

Schutz vor Ransomware: Deshalb spielen Bandspeicher eine wichtige Rolle
Schutz vor Ransomware: Deshalb spielen Bandspeicher eine wichtige Rolle

Seit Jahren im Einsatz, hat die Bandspeicher-Technologie bis heute nichts an Relevanz eingebüßt. Dies gilt besonders beim Schutz vor Ransomware-Attacken.

Lesedauer: 3 Min.

it-sa 2019: Portfolio von CANCOM Partner Cisco
it-sa 2019: Portfolio von CANCOM Partner Cisco

Auf der it-sa 2019 in Nürnberg präsentierte CANCOM-Partner Cisco Lösungen, die unter anderem Multi-Cloud-Umgebungen absichern.

Lesedauer: 1 Min.

"Firmen haben jederzeit die volle Kontrolle über die eingesetzten Cloud-Lösungen"
“Firmen haben jederzeit die volle Kontrolle über die eingesetzten Cloud-Lösungen”

Im Interview beschreibt Experte Lothar Geuenich die Anforderungen und Leistungen von Check Point und CANCOM im Bereich Cloud Security.

Lesedauer: 3 Min.

datenwiederherstellung-data-recovery-backup
Datenwiederherstellung nach Angriffen: Prävention ist nur die halbe Miete

Auch beste Sicherheitsvorkehrungen bieten keine endgültige Garantie gegen Cyberangriffe. Mehr über Ernstfallmaßnahmen und Datenwiederherstellung lesen Sie hier.

Lesedauer: 4 Min.

it-sa 2019: Lisa Unkelhäußer (IBM) über die Bedeutung von SIEM
it-sa 2019: Lisa Unkelhäußer (IBM) über die Bedeutung von SIEM

Lisa Unkelhäußer (Security Channel Leader DACH) von IBM im Interview mit Werner Schwarz (Vice President, CANCOM) anlässlich der it-sa 2019.

Lesedauer: 3 Min.

So gelingt die sichere Authentifizierung
So gelingt die sichere Authentifizierung

Mitarbeiter müssen heute von überall sicher auf Daten zugreifen können. Damit das gelingt, ist es ratsam, auf die biometrische Authentifizierung zu setzen.

Lesedauer: 3 Min.

Die drei Säulen moderner Endpoint Security
Die drei Säulen moderner Endpoint Security

Moderne Endpoint Security schützt Unternehmen und ihre Endgeräte – ganz gleich, wo sie eingesetzt werden. Dies ist für Firmen heute unerlässlich.

Lesedauer: 2 Min.

Wie Endpoint-Detection-and-Response-Lösungen Smartphone & Co. vor Cyberbedrohungen schützen
Wie Endpoint-Detection-and-Response-Lösungen Smartphone & Co. vor Cyberbedrohungen schützen

In Zeiten mobilen Arbeitens häufen sich Cyberattacken auf Smartphones. Mobile EDR soll Abhilfe schaffen – indem auch komplexe Angriffe abgewehrt werden.

Lesedauer: 3 Min.

Wie Zero Trust die IT-Sicherheit erhöht
Wie Zero Trust die IT-Sicherheit erhöht

Eine Möglichkeit, die IT-Sicherheit zu erhöhen, ist der Zero Trust-Ansatz. Erfahren Sie, was dahinter steckt, und wie Unternehmen diesen praktisch umsetzen.

Lesedauer: 3 Min.

Umfassende Netzwerksicherheit im Rechenzentrum: Diese Maßnahmen sind essenziell
Umfassende Netzwerksicherheit im Rechenzentrum: Diese Maßnahmen sind essenziell

Angesichts zunehmender Cyberangriffe ist es für Unternehmen entscheidend, im Data Center eine ganzheitliche Netzwerksicherheit zu gewährleisten.

Lesedauer: 3 Min.

Richard Werner (Trend Micro) auf der it-sa 2019: „Patch Management ist das A und O.“
Richard Werner (Trend Micro) auf der it-sa 2019: „Patch Management ist das A und O.“

CANCOM-Partner Trend Micro verfolgte auf der it-sa 2019 in Nürnberg einen ganzheitlichen Ansatz, das weit über das Thema Cloud Security hinausging.

Lesedauer: 3 Min.

Zero Trust_Sophos
“Zero Trust bietet Unternehmen die Flexibilität, den Zugriff auf ihre Netzwerke zu verwalten”

Lesedauer: 5 Min.

Server-Sicherheit in Unternehmen muss ganzheitlich betrachtet werden
Server-Sicherheit in Unternehmen muss ganzheitlich betrachtet werden

Eine wirksame Server-Sicherheit ist für Firmen ein zentraler Baustein, um ihre IT abzusichern. Damit das gelingt, ist ein ganzheitlicher Ansatz nötig.

Lesedauer: 2 Min.

Identity & Access Management: In Zeiten von Remote Work nicht mehr wegzudenken
Identity Access Management: In Zeiten von Remote Work nicht mehr wegzudenken

Wieso Identity Access Management besonders für den flexiblen Arbeitsplatz eine wichtige Rolle spielt, erfahren Sie im Beitrag.

Lesedauer: 4 Min.

So setzen Unternehmen eine umfassende E-Mail-Sicherheit um
So setzen Unternehmen eine umfassende E-Mail-Sicherheit um

E-Mails werden häufig als Haupteinfallstor für Cyberattacken genutzt. Entsprechend bedeutend ist das Thema E-Mail-Sicherheit für den Schutz des Betriebs.

Lesedauer: 6 Min.