Navigation
Seiteninhalt
Das NISG verlangt von Unternehmen, ihre Netz- und IT-Systeme nach neuestem Technikstand zu schützen. Das Gesetz definiert geeignete Maßnahmen, gibt jedoch keine Umsetzungsmethodik vor. Dieser Artikel beleuchtet daher die technische Implementierung des Identitäts- und Zugriffsmanagements für sichere Passwörter.
Von DI Matthias Holzgethan , Manuel Loitzl
01. Dezember 2020 / Erschienen in Compliance Praxis 4/2020, S. 46

Kriterien für ein sicheres Passwort

Die Bedeutung eines angemessenen Zugriffsmanagements ist auch dem österreichischen Gesetzgeber nicht entgangen. So verlangt dieser im Zuge des NISG (Netz- und Informationssystemsicherheitsgesetz),1 dass betroffene Unternehmen geeignete und verhältnismäßige Maßnahmen zu treffen haben, um Sicherheitsrisiken zu minimieren. Im zugehörigen Anforderungskatalog2 werden die jeweils notwendigen Maßnahmen beschrieben, unter anderem eben Identitäts- und Zugriffsmanagement, unterteilt in Identifikation und Authentifikation sowie Autorisierung. Dies ist nicht nur für den Anwendungsbereich des NISG relevant. Auch im Datenschutzrecht bestimmt die DSGVO (Datenschutz-Grundverordnung)3, dass personenbezogene Daten so verarbeitet werden sollen, dass Sicherheit und Vertraulichkeit hinreichend gewährleistet sind. Dazu gehört sowohl die Gewährleistung, dass Unbefugte auf die Daten selbst nicht zugreifen können, sowie eine Unterbindung des Zugriffs auf die Geräte, mit denen sie verarbeitet werden.4 Erreicht wird dies vor allem durch den Einsatz angemessener Passwörter beziehungsweise Passwortrichtlinien, an die sich alle Mitarbeiter zu halten haben. Doch was bedeutet „angemessen“ in diesem Kontext?

Es ist nicht übertrieben zu sagen, dass der Einsatz unsicherer Passwörter eine der größten Gefahren für Unternehmen darstellt.5 Der genauen Implikationen der möglichen Maßnahmen, sowie der jeweiligen Vor- und Nachteile sind sich allerdings nur wenige bewusst. Um sich einen Überblick zu verschaffen, kann man sich in einem ersten Schritt an ­internationalen Best-­Practice-Methoden orientieren, etwa den amerikanischen NIST (National Institute of Technology)-Standards6. Diese schaffen Rahmenbedingungen für die Erstellung von Passwörtern.

Die wohl wichtigste Anforderung an sichere Passwörter ist deren Länge sowie das akzeptierte Zeichenset, also alle Buchstaben, Ziffern und Sonderzeichen, aus denen das Passwort besteht. In den NIST Guidelines ist hier von mindestens 8 Zeichen im Fall der Erstellung durch Benutzer die Rede. Des Weiteren sollen alle ASCII7- sowie, im Idealfall, sogar alle UNICODE-Zeichen8 – welche auch Emojis inkludieren – akzeptiert werden. Die Wahl des Zeichensets spielt eine bedeutende Rolle, wie folgendes Beispiel zeigt: Angenommen, ein achtstelliges Kennwort kann nur aus den Ziffern 0–9, also insgesamt zehn Zeichen bestehen. Daraus folgen 108, also 100.000.000 Möglichkeiten. Werden hingegen auch Kleinbuchstaben zugelassen, erhöht sich diese Zahl auf 368, also um das 28.000-Fache der Möglichkeiten. Werden zusätzlich Großbuchstaben akzeptiert, erhöht sie sich sogar um das über 2.000.000-Fache. Je nach Auswahl an Sonderzeichen kann dieses Spiel beliebig fortgesetzt werden.

Auf zu hohe Komplexitätsanforderungen, insbesondere Regeln der Zusammensetzung („Das gewählte Passwort muss zumindest aus einem Großbuchstaben, einem Kleinbuchstaben, einer Ziffer und einem Sonderzeichen bestehen“), sollte nach neueren Erkenntnissen allerdings verzichtet werden. So hat eine Analyse aus veröffentlichten Passwörtern ergeben, dass eine solche Vorgehensweise nicht im Ansatz so nützlich ist, wie ursprünglich angenommen, allerdings wird dadurch die Merkbarkeit stark ­beeinträchtigt. Dies zeigt ein einfaches Beispiel: Angenommen, ein Benutzer hat als Passwort „password“ gewählt. Sollte ein Großbuchstabe und eine Ziffer erforderlich sein, gilt es als sehr wahrscheinlich, dass dieses zu „Password1“ beziehungsweise zu „Password1!“ abgewandelt wird, wenn zusätzlich ein Sonderzeichen verlangt wird. Diese und ähnliche Vorgehensweisen werden in modernen Angriffsmethoden miteinkalkuliert und stellen für das „Knacken“ durch Computer nur einen vernachlässigbaren Mehraufwand dar.

Etwas weniger einfach als „richtig“ oder „falsch“ zu klassifizieren ist die Thematik der periodischen Passwortänderungen. In Informationssicherheits- beziehungsweise Passwortrichtlinien von Unternehmen findet sich häufig die Bestimmung, dass Passwörter alle drei, sechs oder zwölf Monate geändert werden müssen. Während es durchaus Sinn macht, dass Benutzer nicht unbegrenzt lange das gleiche Passwort behalten, ist der zeitliche Abstand dieser Änderungen deutlich weniger unumstritten. Vielleicht mag es auf den ersten Blick so wirken, als würde ein kurzmöglichster Abstand im geringsten Risiko eines Sicherheitsvorfalls resultieren, allerdings zieht dies andere Gefahren mit sich. So sind etwa Benutzer, die alle drei Monate ihr Passwort ändern müssen, viel eher dazu verleitet, ältere Passwörter wiederzuverwenden. Auch wenn dies durch das Verhindern des Einsatzes vergangener Passwörter vermeidbar ist, so liegt es nahe, dass Benutzer deutlich weniger komplexe Passwörter einsetzen – immerhin kann sich das menschliche Gehirn nur eine gewisse Anzahl an komplexen Zeichenfolgen merken. Was zusätzlich ins Gewicht fällt ist, dass vielerseits nur eine Ziffer inkrementiert wird (beispielsweise wird „Password1“ zu „Password2“), was im Zuge moderner Angriffsmethoden keinen bedeutsamen Mehrwert im Vergleich zur Beibehaltung des ursprünglichen Passworts bringt.

Passwortverwaltung & Zwei-Faktor-Authentifizierung

In heutigen Zeiten kann es passieren, dass die alleinige Einhaltung der zuvor genannten Kriterien nicht ausreichend ist, was im nachfolgenden Abschnitt „Wie Angreifer vorgehen“ näher erläutert wird. Die Problemstellung ergibt sich aus der Tatsache, dass Benutzer für viele verschiedene Zwecke – seien es Internetseiten, E-Mail-Accounts oder PC-Systeme – Passwörter benötigen. Die Tatsache, dass komplexe Zeichenfolgen nur schwer zu merken sind, führt oftmals dazu, dass viele Benutzer das gleiche Kennwort, oder eine leicht abgewandelte Version dessen, für den Zugriff auf unterschiedlichste Ressourcen nutzen. Besonders zu berücksichtigen sind Systemadministratoren und Anwender mit administrativen Rechten, da diese regelmäßig die größte Angriffsfläche für den Eintritt in das Unternehmensnetzwerk darstellen und sie deshalb noch höhere Komplexitätsanforderungen treffen. Dies kann eine hohe Gefahr darstellen, wie im nachfolgenden Abschnitt „Wie Angreifer vorgehen“ näher beleuchtet wird.

Demgegenüber kann der Einsatz von Passwortverwaltung Abhilfe schaffen. Hierzu wird ein Passwortmanager eingesetzt, ein Softwareprogramm, durch dessen Hilfe Benutzer ihre Passwörter verschlüsselt speichern, verwalten und in der Regel auch generieren können. Dabei ist es gleichgültig, worin der Einsatz dieser Passwörter liegt. Durch Eingabe eines (möglichst sicheren) sogenannten „Masterkennwortes“ kann der Benutzer auf seine sonstigen Passwörter zugreifen. Dieses „Masterkennwort“ sollte möglichst komplex sein, da ein Angreifer bei Kenntnis dessen die Möglichkeit hat, auf alle anderen Passwörter zuzugreifen. Der Vorteil von Passwortmanagern liegt darin, dass Benutzer beliebig sichere Passwörter generieren können, da sie sich diese ohnehin nicht merken müssen.

Besonders bei sicherheitskritischen Anwendungsbereichen ist zudem der Einsatz einer Zwei-Faktor-Authentifizierung empfehlenswert. Hierbei handelt es sich um einen doppelt abgesicherten Identitätsnachweis, um auf Systeme oder Programme zugreifen zu können. Das Konzept an sich ist nichts Neues, so wird es schon seit längerer Zeit etwa bei Bankomaten angewendet: Um Geld abheben zu können, benötigt man sowohl eine Bankomatkarte als auch den zugehörigen PIN-Code. Ähnlich wird dies auch bei modernen Zugriffsverfahren angewendet. Dies schützt sowohl die Anmeldedaten des Benutzers, als auch die Einrichtung, auf die er zugreifen will. Hier muss man zur erfolgreichen Anmeldung zwei der drei folgenden Komponenten nachweisen:

  • Wissen (zB ein Passwort, einen PIN-Code oder ein bestimmtes Muster)
  • Besitz (zB ein Mobiltelefon oder eine Bankomatkarte)
  • Sein (zB ein Fingerabdruck, Stimmerkennung oder ein Gesichtsscan)

In der Praxis kann dies etwa so aussehen, dass zuerst ein Passwort eingegeben werden muss (Wissen) und bei erfolgreicher Eingabe im weiteren Verlauf eine SMS mit einem Authentifizierungscode an die angegebene Nummer versendet wird (Besitz). Nur wenn der Benutzer über beide Faktoren verfügt, kann der Zugriff erfolgen. Der Authentifizierungsprozess wird dadurch zwar komplizierter, allerdings deutlich sicherer9.

Wie Angreifer vorgehen

Die vorangehenden Abschnitte haben unterschiedliche Methoden beleuchtet, um Angriffsversuchen entgegenzuwirken. Doch wie gehen Angreifer eigentlich vor? Eine der bekanntesten Vorgehensweisen ist sogenanntes „Phishing“.10 Hierbei handelt es sich um eine Art von „Social Engineering“ (soziale Manipulation), bei der Angreifer sich als eine offizielle Institution, etwa als Bank oder Unternehmen, ausgeben. Das Ziel wird meistens per E-Mail oder SMS unter einem Vorwand aufgefordert, vertrauliche Daten, zum Beispiel Bankinformationen oder Zugangsdaten, preiszugeben. Im Vergleich zu anderen Angriffsmethoden ist der Erfolg nicht von der Passwortstärke, sondern vom Sicherheitsbewusstsein des Benutzers abhängig. Einschlägige Schulungen können dieses Bewusstsein verstärken, indem sie häufige Auffälligkeiten erläutern – unter anderem eine besondere Art der Dringlichkeit, verdächtige Absender und Rechtschreibfehler.

Ebenfalls sehr geläufig sind sogenannte „Brute-Force-Attacken“.1111 Durch Ausprobieren aller möglichen Kombinationen wird versucht, das Passwort zu erraten. Dies ist sehr wohl von der Stärke des Passwortes abhängig und kann von Sekunden bis hin zu Jahren dauern. Die Brute-Force-Methode kann durch sogenannte „Dictionary Attacks“ (Wörterbuch-Angriffe) ersetzt werden, welche bekannte Wörter sowie häufige Passwortkombinationen (zB „Password1“, „abc123“) enthalten. Dadurch wird der Berechnungsprozess deutlich beschleunigt.

Etwas anders als Brute-Force-Attacken funktioniert „Credential Stuffing“. Dazu werden „Password Dumps“ eingesetzt – das sind im Internet veröffentlichte Listen aus Hack-Angriffen und Datenpannen, welche Kombinationen von Benutzernamen beziehungsweise E-Mail-Adressen und den zugehörigen Passwörtern enthalten. Diese Accountinformationen werden automatisiert oder manuell auf der gleichen oder anderen Plattformen eingegeben in dem ­Versuch, Zugriff zu erhalten. Auch leicht abgewandelte Kombinationen können berücksichtigt werden (etwa „Pumpkin2!“, wenn das veröffentlichte Passwort „Pumpkin1!“ ist). Die Trefferquote ist im Vergleich zu reinem Erraten deutlich höher, und der Rechenaufwand wesentlich geringer. Deshalb stellt die Wiederverwendung von Zugangsdaten über mehrere Dienste eine große Gefahr für Mitarbeiter und Unternehmen dar, immerhin können diese etwaige Datenschutzverletzungen auf externen Plattformen nicht beeinflussen.12 Durch den Einsatz von Passwortmanagern kann diesem Problem, unter Berücksichtigung der erläuterten Passwortkriterien, entgegengewirkt werden. Wenn man dies zusätzlich um die Verwendung von Zwei-Faktor-Authentifizierungen erweitert, kann Angreifern dahingehend ein Bein gestellt werden, dass diese – selbst wenn sie ein Passwort „geknackt“ haben – immer noch über einen weiteren Faktor (etwa über das Mobiltelefon des Angriffsziels) verfügen müssen, um Zugriff auf den Account zu erhalten. 

Fußnoten

  1. Netz- und Informationssystemsicherheitsgesetz – NISG, BGBl I 2018/111.   ^
  2. Netz- und Informationssystemsicherheitsverordnung – NISV, BGBl II 2019/215.   ^
  3. Datenschutz-Grundverordnung, Verordnung (EU) 2016/679.   ^
  4. Schonschek, Oliver: „Passwortregeln und DSGVO: ­Zugangsschutz für mehr Datenschutz“, unter: https:// www.computerweekly.com/de/ratgeber/Passwortregeln-und-DSGVO-­Zugangsschutz-fuer-mehr-Datenschutz (10. 07. 2020)   ^
  5. Vgl zB Comtios, Paul: „Weak passwords are still the biggest security risk”, unter: https://www.triella.com/weak-passwords (14. 07. 2020).   ^
  6. Vgl „NIST (National Institute of Technology) Digital Identity Guidelines – Authentication and Lifecycle Management“, unter: https://pages.nist.gov/800-63-3/sp800-63b.html (10. 07. 2020)   ^
  7. „ American Standard Code for Information Interchange“ (Amerikanischer Standard-Code für den Informationsaustausch), eine Zeichencodierung bestehend aus 128 Zeichen. Weitere Informationen: https://www.ascii-code.com/.   ^
  8. Ein internationaler Standard, der für jedes bekannte Schriftzeichen einen digitalen Code festlegt. Derzeit (Stand: Mai 2019) besteht er aus 137.929 Zeichen. Weitere Informationen: https://home.unicode.org/.   ^
  9. Vgl Rouse, Margaret: „two-factor authentication (2FA)“, unter: https://searchsecurity.techtarget.com/definition/two-factor-authentication (13. 07. 2020)   ^
  10. Phishing ist ein Kunstwort aus password fishing, also Passwort angeln. Weitere Informationen: https://www.phishing.org/what-is-phishing.   ^
  11. Dt Übersetzung rohe Gewalt. Weitere Informationen: https://www.kaspersky.com/resource-center/definitions/brute-force-attack.   ^
  12. Vgl OWASP Foundation: „Credential Stuffing“, unter: https://owasp.org/www.community/attacks/Credential_­stuffing (14. 07. 2020).   ^

Autoren

DI Matthias Holzgethan

DI Matthias Holzgethan ist im Bereich Digital Forensic für computerforensische Untersuchungen verantwortlich und berät Unternehmen mit dem Umgang und der Aufarbeitung von Sicherheitsvorfällen.

Manuel Loitzl

Manuel Loitzl ist im Deloitte Digital Forensic Team mit Schwerpunkt Cyber Prevention tätig.