Geschrieben am 24.10.2023 von:
Sicherheit ist wichtig, keine Frage. Aber wer kennt es nicht?!
Oh, ich muss noch ein Bahnticket für die Kollegin im Außendienst buchen. Also schnell einen Account erstellt. Einen für die Firma, einen, den später auch Kolleginnen und Kollegen in der Verwaltung nutzen können. E-Mail-Adresse… info@firmenname.de, Passwort… ok, „firmenname2024“, oh, mit Sonderzeichen, soll ja sicher sein… „firmenname2024!“. Fertig, und jetzt zur Buchung.
Digitale Portale bieten viele Vorteile. Bestellungen auslösen, Tickets buchen, E-Mails checken. Und alles ist von jedem PC oder Smartphone aus möglich. Man braucht nur die Zugangsdaten. Und darin liegt auch die Gefahr.
Häcker machen sich Szenarien wie diese zunutze und versuchen Zugangsdaten zu erraten. Und das funktioniert allzu oft ganz gut, weil wir alle im Allgemeinen viel zu einfallslos sind, wenn es um die Vergabe von Passwörtern geht. Das Verwenden von E-Mail-Adresse, Name oder Geburtsdatum als Passwort ist keine Seltenheit. Zudem muss ein Häcker das Erraten und Ausprobieren von Passwörtern nicht selbst tun. Er nutzt dafür spezielle Programme, die automatisiert übliche Passwörter generieren und ausprobieren. Ein gutes Passwort ist also wichtig, damit es nicht (so leicht) erraten werden kann. Aber kann ein Programm, welches systematisch Passwörter ausprobiert, und genügend Versuche hat, nicht irgendwann jedes Passwort knacken? Ja, aber je komplizierter und unsinniger das Passwort ist, desto länger dauert es. Das führt dann oft zum Abbruch des Versuchs. Aber ja, eine hundertprozentige Sicherheit kann es mit einer Kombination aus einem Benutzernamen, oft die E-Mail-Adresse, und einem Passwort – egal wie sicher – nicht geben.
Deshalb ist es wichtig, zusätzliche Sicherheitsmaßnahmen zu ergreifen. Je mehr Schaden durch das Hacken eines Accounts angerichtet werden kann, desto wichtiger ist es, sich darüber Gedanken zu machen. Man kann sicher in der Risikobewertung zum Entschluss kommen, dass mit einem Account zum Buchen von Bahntickets potenziell weniger Schaden angerichtet werden kann, als zum Beispiel mit den Zugangsdaten eines Administrator-Accounts für die eigene IT-Infrastruktur. Und gerade bei Microsoft 365 ist das Risiko nochmals höher, da sich ein potenzieller Angreifer (zumindest in der Standardkonfiguration) nicht mehr im Gebäude befinden muss, sondern von überall auf der Welt zugreifen kann.
Eine Sicherheitsmaßnahme, um der Problematik entgegenzuwirken, ist die Einführung eines zweiten Faktors beim Login-Vorgang – die sogenannte Zwei-Faktor-Authentifizierung (2FA) oder auch Multi-Faktor-Authentifizierung (MFA). Als ersten Faktor haben wir bereits das Passwort und seine Bedeutung kennen gelernt. Um zu verhindern, dass sich Unbefugte mit gestohlenen, ausgespähten oder erratenen Passwörtern einloggen können, muss ein zweiter Faktor zur Autorisierung eingesetzt werden. Dies kann ein Code sein, der per SMS an eine zuvor hinterlegte Handynummer geschickt wird, eine E-Mail mit einem Code oder Link an eine bestimmte E-Mail-Adresse oder auch die Bestätigung in einer zuvor eingerichteten App. Microsoft bietet dafür sogar eine eigene App an, den „Microsoft Authenticator“. Auch das Hinterlegen weiterer Faktoren, also insgesamt drei oder vier, ist möglich. Bekannt ist dies zum Beispiel bei Finanzprodukten, da die Multi-Faktor-Authentifizierung hier vor einiger Zeit gesetzliche Pflicht wurde.
Bei der Verwendung von Multi-Faktor-Authentifizierung, insbesondere bei SMS oder einer Authenticator-App, ist es natürlich schwieriger, Zugangsdaten mit mehreren Mitarbeitenden zu teilen. Aber gerade bei sehr sensiblen Zugängen ist dies auch nicht ratsam. Vielmehr sollte für jeden*jede, der*die Zugriff bekommen soll, ein separater persönlicher Admin-Account eingerichtet werden. Bei Microsoft 365 ist für die Anlage eines weiteren Accounts, der dann als Admin-Account genutzt wird, keine weitere Lizenz nötig. So entsteht für diese Absicherung kein weiterer finanzieller Aufwand, lediglich ein organisatorischer. Auch externe IT-Dienstleister, die im Auftrag Konfigurationsarbeiten für dich umsetzen, sollten bei derart sensiblen Portalen einen eigenen Account bekommen – und dies ebenfalls mit Multi-Faktor-Authentifizierung. In den Tiefen der Admin-Center (Mehrzahl) von Microsoft und leider etwas versteckt, lässt sich das Einrichten der Multi-Faktor-Authentifizierung pro Account sogar erzwingen. Dies ist auch unsere Empfehlung.
Zum Schluss noch der Hinweis, dass auch normale Benutzer-Accounts meist Zugriff auf sensiblere Daten gewähren, als man denkt. Ein Häcker schlüpft in die Rolle eines Ermittlers oder einer Ermittlerin. Hat er*sie Zugriff auf einen Benutzer-Account (auch wenn dieser Account nicht über spezielle Administrationsberechtigungen verfügt) so können aus den E-Mails oft schon sehr viele Informationen gesammelt werden. Daher ist auch die Einrichtung der Multi-Faktor-Authentifizierung für „normale“ Benutzer*innen eine Empfehlung.
Nachstehend haben wir noch ein paar Tipps und Don’ts zusammengetragen.
Tipps:
- Erstelle eine Liste aller (wichtigen) Zugänge
- Prüfe, ob für diese Zugänge sichere Passwörter vergeben wurden
- Prüfe, ob die Einrichtung von Multifaktor-Authentifizierung möglich ist, und richte diese ein
- Überprüfe dies regelmäßig, um auch neu dazukommende Accounts sicher zu betreiben
- Wichtige und sensible Administratoren-Accounts sollten immer mit einer Multi-Faktor-Authentifizierung eingerichtet sein. Konfiguriere neue Admin-Accounts beim Anlegen so, dass die Multifaktor-Authentifizierung erzwungen wird. (Pro-Tipp: Zu finden im Azure-Portal – Microsoft Entra ID-Sicherheit – Benannte Standorte – Konfiguration von vertrauenswürdigen IP-Adressen für die Multi-Factor-Authentifizierung – users)
- Erstelle für diese Accounts nach Möglichkeit separate, persönliche Admin-Accounts
- Führe einen Passwort-Save (KeePass) ein, den alle Mitarbeitenden nutzen können
- Achte aber darauf, dass gemeinsam genutzte Passwörter nur den Mitarbeitenden zur Verfügung stehen, die diese auch brauchen
- Schule alle Mitarbeitenden regelmäßig und schärfe die Awareness
Don’ts:
- Verwende keine unsicheren Passwörter
- Verwendet nie gleiche Passwörter für unterschiedliche Dienste
- Passwörter gehören an einen sicheren Ort – stelle sicher, dass Passwörter nicht in Text-, Word- oder Excel-Dokumenten gespeichert werden
- Passwörter sollten nie per E-Mail oder Chat versendet werden – zu groß ist die Gefahr, dass das nachträgliche Löschen aus dem Chatverlauf, aus den gesendeten E-Mails und aus dem Papierkorb vergessen wird
- Unterschätze nicht die positive Sicherheitswirkung einer professionellen Passwort-Verwaltung
Wir merken, es ist wichtig, sich über die Sicherheit unserer Tools und Zugänge Gedanken zu machen.
Du brauchst rechtliche und technische Unterstützung? Wir helfen dir dabei! Erfahre hier, wie wir dich unterstützen können.