{"id":306739,"date":"2024-12-09T00:05:25","date_gmt":"2024-12-08T23:05:25","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=306739"},"modified":"2024-12-14T00:12:34","modified_gmt":"2024-12-13T23:12:34","slug":"starke-passwoerter-nach-bsi-it-grundschutz-in-active-directory-so-gehts","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/12\/09\/starke-passwoerter-nach-bsi-it-grundschutz-in-active-directory-so-gehts\/","title":{"rendered":"Starke Passw\u00f6rter nach BSI IT-Grundschutz in Active Directory? So geht's!"},"content":{"rendered":"

\"Specops-Sicherheit\"Werbung<\/em> – Wie kann ich sicherstellen, dass\u00a0 im Active Directory starke Passw\u00f6rter\u00a0 verwendet werden? Das BSI hat mit seinem \"IT-Grundschutz\" quasi ein Kochrezept f\u00fcr IT-Administratoren geliefert, um Ressourcen einer Institution zu sch\u00fctzen. Specops Software, f\u00fchrend im Bereich Passwortmanagement- und Authentifizierungsl\u00f6sungen, hat sich des Themas \"Starke Passw\u00f6rter nach BSI-IT-Grundschutz im Active Directory\" angenommen und nachfolgend einige Hinweise zusammengestellt.<\/p>\n

<\/p>\n

\u201eDer Zugang zu sch\u00fctzenswerten Ressourcen einer Institution ist auf berechtigte Benutzende und berechtigte IT-Komponenten einzuschr\u00e4nken. Benutzende und IT-Komponenten m\u00fcssen zweifelsfrei identifiziert und authentisiert werden.\" Das schreibt das Bundesamt f\u00fcr die Sicherheit in der Informationstechnik (BSI) in der Einleitung zum Baustein \u201eIdentit\u00e4ts- und Berechtigungsmanagement\" (ORP.4) des aktuellen IT-Grundschutz-Kompendiums<\/a> (PDF, Stand 2023, erreichbar \u00fcber die BSI-Seite IT-Grundschutz<\/a>).<\/p>\n

Wenn es darum geht, Benutzer zu identifizieren und authentisieren, ist die Kombination von Benutzernamen beziehungsweise E-Mail-Adresse und Passwort nach wie vor die verbreitetste Methode in Unternehmen \u2013 auch wenn inzwischen M\u00f6glichkeiten zur\u00a0passwortlosen Authentifizierung<\/a>\u00a0bestehen. Damit kommt der Sicherheit der verwendeten Passw\u00f6rter eine zentrale Funktion in der IT-Sicherheit des gesamten Unternehmens zu. Das BSI fordert daher, dass zum Schutz des Unternehmensnetzwerks und vertraulicher Daten, Passw\u00f6rter in geeigneter Qualit\u00e4t gew\u00e4hlt werden m\u00fcssen, und zwar je nach Einsatzzweck und Schutzbedarf. Das Ziel dieses Beitrages ist es, Ihnen einen \u00dcberblick \u00fcber die Anforderungen des IT-Grundschutz-Kompendiums im Bezug auf Passw\u00f6rter zu geben, und Ma\u00dfnahmen sowie Tools aufzuzeigen, die bei der zeitsparenden Umsetzung dieser Anforderungen helfen k\u00f6nnen.<\/p>\n

Starke Passw\u00f6rter \u2013 aber nicht zu kompliziert<\/h2>\n

Im Abschnitt ORP.4.A22 zur Regelung zur Passwortqualit\u00e4t wird Folgendes von den Passw\u00f6rtern gefordert:<\/p>\n

In Abh\u00e4ngigkeit von Einsatzzweck und Schutzbedarf M\u00dcSSEN sichere Passw\u00f6rter geeigneter Qualit\u00e4t gew\u00e4hlt werden. Das Passwort MUSS so komplex sein, dass es nicht leicht zu erraten ist. Das Passwort DARF NICHT zu kompliziert sein, damit Benutzende in der Lage sind, das Passwort mit vertretbarem Aufwand regelm\u00e4\u00dfig zu verwenden.<\/em><\/p><\/blockquote>\n

Aber Passwortl\u00e4nge und -komplexit\u00e4t sind nicht die einzigen Indikatoren f\u00fcr die Qualit\u00e4t von Kennw\u00f6rtern. Passw\u00f6rter, die etwa auf Unternehmens- oder Produktnamen basieren, sind f\u00fcr Angreifer auch relativ leicht zu erraten und d\u00fcrfen daher laut IT-Grundschutzkompendium (ORP.4.A8) \u2026 Passw\u00f6rter, die leicht zu erraten sind oder in g\u00e4ngigen Passwortlisten gef\u00fchrt werden, NICHT verwendet werden<\/em>….<\/p>\n

Zus\u00e4tzlich zu den Einstellungsm\u00f6glichkeiten zu Passwortl\u00e4nge und Komplexit\u00e4t in Gruppenrichtlinien oder via Fine Grained Password Policies<\/em> in Active Directory, erweitern Tools wie Specops Password Policy die Funktionen, um bei Bedarf mithilfe von Blacklists oder Exklusion-Lists, leicht zu erratende Kennw\u00f6rter mit Bezug auf Ihre Organisation auszuschlie\u00dfen.<\/p>\n

\"Individuelle<\/a>
\nAbbildung 1: Erstellen Sie individuelle Blacklists zur Sperrung von leicht zu erratenden Begriffen mit Specops Password Policy, zum Vergr\u00f6\u00dfern klicken<\/a><\/em><\/p>\n

Allerdings fordert das BSI auch, Passw\u00f6rter nicht so kompliziert zu gestalten, dass sie nicht mehr \u201emit vertretbarem Aufwand\" regelm\u00e4\u00dfig verwendet werden k\u00f6nnen (ORP.4.A22). Hintergrund ist, dass Menschen, wenn es darum geht, dem Ged\u00e4chtnis auf die Spr\u00fcnge zu helfen, zu Strategien neigen, die sich ung\u00fcnstig auf die Sicherheit des \u201egemerkten\" Passworts auswirken: Man hinterlegt dann beispielsweise das Passwort schriftlich irgendwo am Arbeitsplatz oder nutzt einfach das gleiche \u201esichere\" Passwort f\u00fcr die verschiedensten Accounts. Denn: Ein Aufschreiben von Passw\u00f6rtern erlaubt das Grundschutz-Kompendium nur f\u00fcr den Notfall und nur, wenn das schriftlich fixierte Kennwort sicher aufbewahrt wird (ORP.4.A8).<\/p>\n

Die Wiederverwendung von Passw\u00f6rtern<\/h2>\n

Vielen Anwendern scheint nicht klar zu sein, dass ein mehrfach genutztes Passwort, wenn es erst einmal kompromittiert ist, den Zugang zu allen anderen damit gesicherten Accounts \u00f6ffnet (Stichwort \u201eCredential Stuffing\"). Das BSI betont daher:<\/p>\n

Passw\u00f6rter D\u00dcRFEN NICHT mehrfach verwendet werden. F\u00fcr jedes IT-System bzw. jede Anwendung MUSS ein eigenst\u00e4ndiges Passwort verwendet werden. (ORP.4.A8).<\/p><\/blockquote>\n

Hier lautet die Pr\u00e4ventivma\u00dfnahme der Wahl: Sensibilisierung und Schulung sowie Tools wie Passwortmanager die dabei helfen, alle \u201ePost-Login\"-Passw\u00f6rter oder Zugangsdaten zu speichern.<\/p>\n

Bereits (und zuk\u00fcnftig) kompromittierte Passw\u00f6rter<\/h2>\n

In ORP.4.A8 hei\u00dft es \u201e\u2026Passw\u00f6rter, die leicht zu erraten sind oder in g\u00e4ngigen Passwortlisten gef\u00fchrt werden, D\u00dcRFEN NICHT verwendet werden. Passw\u00f6rter M\u00dcSSEN geheim gehalten werden. Sie D\u00dcRFEN NUR den Benutzenden pers\u00f6nlich bekannt sein…\"<\/em> und A23 fordert \u201e… Es M\u00dcSSEN Ma\u00dfnahmen ergriffen werden, um die Kompromittierung von Passw\u00f6rtern zu erkennen\u2026\"<\/em> – doch wie l\u00e4sst sich das am einfachsten umsetzen?<\/p>\n

Online-Verzeichnisse wie\u00a0haveibeenpwned<\/a>, erm\u00f6glichen es Passw\u00f6rter via API gezielt daraufhin zu \u00fcberpr\u00fcfen, ob sie in den jeweiligen Listen auftauchen. Auch ein automatischer und regelm\u00e4\u00dfiger Scan aller Passw\u00f6rter in Active Directory hilft dabei unsichere Passw\u00f6rter schnellstm\u00f6glich identifizieren und den Anforderungen gerecht zu werden.<\/p>\n

Third-Party L\u00f6sungen wie Specops Password Policy<\/a> mit\u00a0Breached Password Protection bieten hier eine regelm\u00e4\u00dfige \u00dcberpr\u00fcfung<\/a> der Passw\u00f6rter. Daf\u00fcr werden die Passwort-Hashes mit einer umfangreichen, t\u00e4glich aktualisierten Datenbank bereits kompromittierter Kennw\u00f6rter abgeglichen. Diese Datenbank enth\u00e4lt derzeit mehr als 4 Milliarden kompromittierte Passw\u00f6rter aus Leak-Listen, Passwort-Spray-Angriffe auf eigene Honeypot-Systeme und Passw\u00f6rter die von Infostealer-Malware gestohlen wurden.<\/p>\n

Lauern bereits kompromittierte Kennw\u00f6rter in Ihrem Active Directory? \u00dcberpr\u00fcfen Sie es mit dem kostenlosen read-only Tool Specops Password Auditor<\/a> auf \u00fcber 1 Milliarde kompromittierte Kennw\u00f6rter sowie weitere, passwortrelevante Schwachstellen.<\/p>\n

\"Scans<\/a>Abbildung 2 Regelm\u00e4\u00dfige Scans auf kompromittierte Passw\u00f6rter helfen die Gefahren durch Wiederverwendung von Passw\u00f6rtern, Infostealern und bereits kompromittierten Passw\u00f6rtern zu reduzieren, zum Vergr\u00f6\u00dfern klicken<\/a><\/em><\/p>\n

IT-Grundschutz-Anforderungen zum Passwortwechsel<\/h2>\n

Wurden kompromittierte Passw\u00f6rter gefunden, m\u00fcssen sie nat\u00fcrlich umgehend ge\u00e4ndert werden \u2013 ebenso wie Passw\u00f6rter, von denen unautorisierte Personen Kenntnis erlangt haben. Dies gilt nach ORP.4.A8 sogar dann, wenn nur der Verdacht besteht, dass ein Passwort bekannt geworden sein k\u00f6nnte.<\/p>\n

Dagegen r\u00fcckt das BSI von der alten Forderung nach einem regelm\u00e4\u00dfig erzwungenen Passwortwechsel klar ab: \u201eIT-Systeme oder Anwendungen SOLLTEN NUR mit einem validen Grund zum Wechsel des Passworts auffordern. Reine zeitgesteuerte Wechsel SOLLTEN vermieden werden<\/em>\" (ORP.4.A23). Nur falls Ma\u00dfnahmen zur Erkennung kompromittierter Kennw\u00f6rter nicht m\u00f6glich sind, r\u00e4t das IT-Grundschutz-Kompendium zu pr\u00fcfen, ob \u201edie Nachteile eines zeitgesteuerten Passwortwechsels in Kauf genommen werden k\u00f6nnen<\/em>.\"<\/p>\n

Um Nutzern die Vergabe von l\u00e4ngeren Passw\u00f6rtern schmackhaft zu machen, empfehlen wir aber vielmehr einen zeitlich nicht zu eng gestalteten Wechselturnus an die L\u00e4nge der Passw\u00f6rter zu koppeln. Mit Specops Password Policy<\/a> k\u00f6nnte beispielsweise bei Passwortl\u00e4ngen von 15 und mehr Zeichen der Nutzer mit einem j\u00e4hrlichen\u00a0Passwortwechsel belohnt werden, wobei k\u00fcrzere Passw\u00f6rter dann ein entsprechend k\u00fcrzeren Zeitraum g\u00fcltig w\u00e4ren.<\/p>\n

\"Einstellm\u00f6glichkeitenAbbildung 3: Einstellungsm\u00f6glichkeiten zur Umsetzung von L\u00e4ngenbasierten Ablaufdaten f\u00fcr Passw\u00f6rter in Specops Password Policy<\/em><\/p>\n

Fazit<\/h2>\n

Das IT-Grundschutz-Kompendium enth\u00e4lt eine Reihe von Vorgaben, die sich auf unterschiedliche Weise in Passwortrichtlinien, L\u00f6sungen von Drittanbietern und einem st\u00e4rkeren Cybersecurity-Bewusstein der Mitarbeiter umsetzen lassen. Gerne beraten unsere Experten von Specops Software Sie dabei, wie Sie regelkonforme Passwortrichtlinien einfach f\u00fcr Ihre Organisation umsetzen k\u00f6nnen.<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Werbung – Wie kann ich sicherstellen, dass\u00a0 im Active Directory starke Passw\u00f6rter\u00a0 verwendet werden? Das BSI hat mit seinem \"IT-Grundschutz\" quasi ein Kochrezept f\u00fcr IT-Administratoren geliefert, um Ressourcen einer Institution zu sch\u00fctzen. Specops Software, f\u00fchrend im Bereich Passwortmanagement- und Authentifizierungsl\u00f6sungen, … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,301,2557],"tags":[6712,3475,4328,3288],"class_list":["post-306739","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-windows","category-windows-server","tag-active-directory","tag-passwort","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306739","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=306739"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/306739\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=306739"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=306739"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=306739"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}