Passwort-Sicherheit

Was Hacker hassen

Thor Olavsrud ist Senior Writer bei CIO.com und beschäftigt sich mit IT-Security, Big Data, Open Source Technologie sowie Microsoft-Tools und -Servers. Er lebt in New York.
Simon verantwortet auf Computerwoche online redaktionell leitend überwiegend alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er entwickelt darüber hinaus innovative Darstellungsformate, beschäftigt sich besonders gerne mit Datenanalyse und -visualisierung und steht für Reportagen und Interviews vor der Kamera. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche. Aufgaben in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
Hacker glauben, dass weder Nutzerkonten noch Passwörter vor ihnen sicher sind. Sie geben aber zu, dass ihnen diese fünf Sicherheitsmaßnahmen das kriminelle Leben sehr viel schwerer machen.

Auf der Black Hat in Las Vegas befragte Thycotic, Anbieter für Privileged-Account-Management-Lösungen, mehr als 250 Konferenzteilnehmer, die sich selbst als Hacker bezeichneten. 48 Prozent der Befragten sehen sich als "White Hats", also als gutartige Hacker, die Sicherheitslücken aufdecken, damit Programme und Netze sicherer werden. 15 Prozent sagten, sie seien als kriminelle "Black Hats" unterwegs. Der Rest gab sich als "Grey Hat" aus, als jemand, der etwas Illegales tut, aber mit einer positiven Intention - Grey Hats verkaufen beispielsweise häufig Zero-Day-Schwachstellen an Regierungsbehörden - seien es Geheimdienste, Strafverfolger oder das Militär.

Neben ihrer Selbsteinschätzung wurden die Umfrageteilnehmer gebeten, fünf entscheidende Security-Maßnahmen ihrem Nutzen nach zu ordnen - und siehe da: Trotz ihrer unterschiedlichen Motivlagen waren sich die Hacker weitgehend einig, was die Abwehrtauglichkeit der Security-Mittel angeht.

Wer seine Passwörter und Zugänge gut sichert, verärgert die Hacker.
Wer seine Passwörter und Zugänge gut sichert, verärgert die Hacker.
Foto: Bolkins - www.shuterstock.com

Den Zugang zu Systemen einschränken

Der erste Schritt, um ein Unternehmensnetz abzusichern, führt zwangsläufig über die privilegierten Zugänge. Solche Accounts mit erweiterten Rechten sind "die Schlüssel zum Königreich" und entsprechend das Top-Angriffsziel für jeden Angreifer, der Zutritt zum internen Netz samt "freier Fahrt" darin sucht. "Als erstes versuchen die Hacker, mit allen Mitteln einen Fuß in das Netzwork zu bekommen - oft, indem sie den Rechner eines Endanwenders unterwandern", heißt es im Thycotic-Report. Durch die Kompromittierung eines privilegierten Accounts erweiterten sie dann ihre Zugriffsrechte und könnten sich als vertrauenswürdigerIT-Administrator frei im Netz bewegen.

Was können Unternehmen dagegen tun? Sie sollten besondere Privilegien fallabhängig machen - und immer nur dann einräumen, wenn sie gerade erwiesenermaßen notwendig sind (Least-Privilege-Prinzip). Dadurch schwinden die Chancen für Angreifer, über solche Zugänge ein komplettes Netzwerk zu infiltrieren. "Least Privilege auf den Clients der Endanwender lässt sich erzwingen, indem alle User mit einem Standardprofil unterwegs sind und nur bei der Ausführung vorher geprüfter Anwendungen automatisch erweiterte Rechte zugewiesen bekommen", schreibt Thycotic. Die Accounts von IT-Admins sollten gesondert kontrolliert werden - zudem sei die Implementierung einer Superuser-Berechtigungsverwaltung für Windows- und Unix-Systeme ratsam, um die unerlaubte Ausführung von Schadcode sowie Fernsteuerungssoftware zu verhindern.

Die Administratoren selbst sollten ihre Zugänge mit den erweiterten Rechten nur nutzen, wenn sie sie auch tatsächlich benötigen - in allen anderen Fällen fahren auch sie mit Standardzugängen sicherer.

Die Passwörter zu privilegierten Zugängen schützen

Nicht nur Menschen nutzen Accounts mit besonderen Rechten - auch Maschinen können privilegierte Zugänge besitzen. In der Regel verwalten Unternehmen zwei- bis dreimal so viele dieser Zugänge wie sie Mitarbeiter beschäftigen. Joseph Carson, CISSP und Head of Global Alliances bei Thycotic, berichet, dass jedes integrierte System mit einem Standardkonto ausgeliefert und mit erweiterten Wartungs-Zugängen verbunden wird. Auch jede eingesetzte virtuelle Maschine (VM) bekommt Privilegien zugewiesen, die selbst dann nicht auslaufen, wenn das System, auf dem die VM ihren Dienst verrichtet, abgeschaltet wird. Eine VM, die geklont wird, klont auch die Privilegien mit. Daraus folgt, dass sich Unternehmen sehr häufig mit einer unübersehbar großen Zahl von privilegierten Zugängen in ihrer IT-Landschaft konfrontiert sehen.

Im Report heißt es: "Wenn sie privilegierte Zugänge unterwandern können, sind Hacker in der Lage, sensible Unternehmensdaten abzugreifen und zu verfälschen, Malware zu distribuieren, bestehende Sicherheitsmaßnahmen zu umgehen und alle ihre Spuren zu verwischen, damit ein späterer forensischer Audit ins Leere führt." Wichtig seien deshalb die vorausschauende Verwaltung, Überwachung und Kontrolle privilegierter Zugänge.

Doch damit nicht genug: Viele Firmen verlassen sich auf manuell bedienbare Systeme wie beispielsweise Tabellenkalkulationen, wenn es um die Verwaltung von Passwörtern zu privilegierten Accounts geht. Das ist nicht nur ineffizient, sondern auch gefährlich, weil diese Programme leicht gehackt werden können. Besser sei es laut Thycotic, auf spezialisierte Privileged-Account-Management-Software zu setzen, die privilegierte Passwörter abspeichert, ihre Änderungen automatisiert und sämtliche Login-Vorgänge überwacht.

Das Security-Awareness-Training ausbauen

Die meisten Sicherheits-Experten sind der Meinung, dass die Menschen das schwächste Glied in der Security-Kette eines Unternehmens sind. "Je mehr ausgefeilte Social-Engineering- und Phishing-Angriffe stattfinden, desto wichtiger ist es, dass Unternehmen ihre IT-Security-Awareness-Programme ausbauen. Sie sollten mehr sein als einfach Online-Fragebögen oder die Unterschrift unter die geltenden Policies", schreibt Thycotic. Gerade die steigende Verbreitung mobiler Geräte sollte mit einem Mitarbeitertraining für sicherheitsbewusstes Verhalten einhergehen.

Steve Durbin, Managing Director des Information Security Forum (ISF) meint sogar, dass Awareness-Programme Mitarbeiter vom schwächsten Glied zur ersten Reihe der Verteidigungsstrategie verwandeln kann: "Das Problem ist vielleicht eher der Prozess oder das IT-System, für das die die Mitarbeiter geschult werden sollen. Häufig ist das Ganze zu kompliziert, sodass auch keine Awareness entstehen kann. Fragen Sie sich daher selbst: Wenn wir komplett neu beginnen würden, wie würden wir die IT-Security dann einbauen, damit sich die Mitarbeiter besser damit zurechtfinden?"

An dieser Stelle muss erwähnt werden, dass die befragten White Hats größere Befürworter von Security-Awareness-Trainings sind als die kriminellen Black Hats. "Interessanterweise haben sowohl gute als auch kriminelle Hacker alle aufgeführten Security-Maßnahmen als wichtig erachtet - mit einer Ausnahme: Black Hats glauben nicht so stark an Mitarbeiter-Trainings", resümiert Carson. Das könnte damit zusammenhängen, dass Black Hats die Menschen tendenziell als unvorhersehbarer und damit schwächer in Bezug auf ihr Security-Verhalten einschätzen als technische Lösungen.

Die Zahl unbekannter Anwendungen einschränken

Sie können nicht etwas schützen, von dessen Existenz Sie nichts wissen. Sie müssen wissen, welche Anwendungen in Ihrem Netzwerk laufen dürfen und sicherstellen, dass deren Passwörter geschützt sind. "Die Zugänge zu Anwendungen müssen inventarisiert werden und mit strengen Richtlinien für Passwortstärke, Zugriffsrechte und Passwortwechsel versehen werden", steht dazu im Thycotic-Bericht. Ein zentralisiertes Management und Reporting dieser Accounts sei essenziell, um kritische Assets schützen zu können.

Nutzer-Passwörter durch Best Practices schützen

Zu guter Letzt geht es nicht nur um die privilegierten Zugänge, die es Angreifern ermöglichen, kritische Daten abzugreifen. Auch die Accounts der "normalen" Endbenutzer sind ein Einfallstor - mehr als drei Viertel der auf der Black Hat befragten Hacker gehen davon aus, dass kein Passwort sicher ist.

"Die Passwörter der Nutzer zu schützen, ist für die befragten Hacker von allen abgefragten Security-Maßnahmen die unbedeutendste. Für viele ist das aber auch eine gute Nachricht - denn bevor Unmengen an Energie darin gesteckt wird, dass die Mitarbeiter ihr Verhalten ändern und regelmäßig ihre Passwörter wechseln, können Unternehmen besser in die Anpassung ihrer Prozesse investieren", meint Carson. Wer dennoch die Passwörter der Endbenutzer absichern möchte, sollte das Ganze so automatisiert wie möglich ablaufen lassen - die Passwortstärke, das Zurücksetzen und die regelmäßige Änderung des Passworts sollten durch eine Security-Policy gesteuert und so einfach wie möglich gestaltet werden, ohne das immer sofort der IT-Helpdesk einspringen muss.

Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation CIO.com.