Flexible Security for Your Peace of Mind

5 Gründe, warum man 2023 eine Lösung für Self-Service Password Reset braucht

Immer noch sind Passwörter ein neuralgischer Punkt in der IT-Sicherheitslandschaft eines Unternehmens. Hier – wie bei kaum einem anderen Thema der Cybersecurity – zeigt sich der Konflikt zwischen größtmöglicher Sicherheit auf der einen Seite und Komfort und Bequemlichkeit der Nutzer auf der anderen Seite.

Auch Ihre Mitarbeitenden sind nur Menschen und hängen im täglichen Stress und Alltagsgeschäft die IT-Sicherheit nicht immer so hoch auf, wie Sie es sich wünschen würden. Password Resets sind daher eine häufige Anforderung an die IT, sei es, weil Passwörter ablaufen, vergessen oder kompromittiert werden.

Wie lässt sich diese Anforderung optimal lösen? Die Antwort lautet Self-Service Password Reset – und dafür gibt es gleich fünf Gründe, die wir Ihnen im Folgenden vorstellen.

1. Entlastung Ihres IT-Helpdesks

Wenn es Ihnen geht wie den meisten Unternehmen in Deutschland, dann sind IT-Fachkräfte Mangelware. Grund genug, sie von Routine-Aufgaben so weit wie möglich zu entlasten – überall dort, wo Automatisierung sinnvoll möglich ist. Das Self-Service Password Reset ist ein Paradebeispiel.

Individuelle Anfragen von Nutzern an den IT-Helpdesk wegen eines vergessenen Passworts oder anderer Schwierigkeiten bei der Anmeldung verschwenden sowohl die Zeit des IT-Personals als auch des anfragenden Nutzers selbst. Mit Hilfe von Self-Service Password Reset kann dieses Problem für IT und Nutzer deutlich entschärft werden. Und das nicht nur zeitlich: Auch auf der Beliebtheitsskala der Aufgaben in der IT steht die Beantwortung von Routine-Anfragen nicht besonders weit oben. Der Umstieg auf Self-Service verspricht also nicht nur die Freisetzung von zeitlichen Ressourcen in der IT, sondern auch höhere Zufriedenheit bei Mitarbeitenden.

2. Keine Angriffsfläche für Social Engineering

Eng mit dem vorigen Punkt verknüpft: Manuelle Bearbeitung von Passwort-Anfragen im Helpdesk ist auch eine Sicherheitslücke in Bezug auf Social Engineering.

Und zwar in zwei Richtungen: Wenn Mitarbeitende daran gewöhnt sind, dass das IT-Personal persönlich für Passwort-Reset zuständig ist, können Angreifer dies nutzen, um sich bei den Nutzern als IT-Helpdesk-Mitarbeiter auszugeben und sie durch geschickte Gesprächsführung zur Preisgabe von Passwörtern und anderen sensiblen Informationen zu verleiten.

Ebenso anders herum: Angreifer können ihrerseits den IT-Support kontaktieren und so Prozesse in Gang setzen, die sie ihrerseits für ein Eindringen in das Unternehmensnetzwerk nutzen können. Beispiele hierfür sind das Abfangen von E-Mails, die vom IT-Support an Mitarbeitende versandt werden, oder sogar die telefonische Mitteilung temporärer Passwörter. Die Identifizierung von Mitarbeitenden bei telefonischem Kontakt ist in vielen Unternehmen unsicher und leicht durchschaubar, etwa durch die Abfrage von Geburtsdatum oder Mitarbeiter-IDs. Diese Sicherheitslücke wird durch Self-Service Password Reset geschlossen – einerseits gibt es hier keinen manipulierbaren menschlichen Ansprechpartner, andererseits steht auch eine Reihe von zuverlässigen Methoden der Identifizierung zur Verfügung, beispielsweise mit Multi-Faktor-Authentifizierung (MFA).

3. Keine Probleme mehr mit Cached Credentials in der Remote-Arbeit

Immer mehr Mitarbeitende wollen oder müssen remote arbeiten. Die Pandemie hat diesen Trend weiter beschleunigt. Auch Pendler und Geschäftsreisende nutzen die Zeit unterwegs gern produktiv.

Was hierbei aber immer wieder zum Problem wird: Cached Credentials und ihr ausbleibendes Update, wenn das Passwort geändert wird. Ursache ist, dass in Windows-Netzwerken die Authentifizierung eines Benutzers in der Regel über den nächstgelegenen Domänencontroller erfolgt. Außer bei Remote-Nutzern: Diese stellen keine direkte Verbindung zum Unternehmensnetz her und können daher bei der Anmeldung bei einem Domänenmitglied nicht vom Domänencontroller authentifiziert und autorisiert werden. Verwendet werden stattdessen zwischengespeicherte („cached“) Anmeldeinformationen.

Wenn diese veraltet sind, weil in der Zwischenzeit das Passwort zurückgesetzt wurde, versucht der Laptop des Remote-Nutzers somit unweigerlich, mit ungültigen Anmeldeinformationen auf Ressourcen des Unternehmens zuzugreifen. Je nachdem, wie die Policy für fehlgeschlagene Anmeldeversuche aussieht, kann damit schnell eine Kontensperrung eintreten. Diese führt zu noch mehr Arbeit für den IT-Helpdesk als der ursprüngliche Passwort-Reset.

Auch hier hilft Self-Service Password Reset, denn die Aktualisierung der gecachten Anmeldeinformationen kann durch eine automatisierte Lösung – wie etwa Specops uReset – gleich  mit übernommen werden.

4. Zeitlich und örtlich flexibel – Self-Service überall und jederzeit

Auch das eine Folge des anhaltenden Trends zum flexiblen Arbeiten: Die Passwort-Rücksetzung kann nicht mehr an begrenzte Arbeitszeiten des IT-Helpdesks gebunden sein. Mitarbeitende arbeiten von überall und zu fast jeder Zeit – sei es wegen unterschiedlicher Zeitzonen, dringender Fristen oder persönlicher Notwendigkeiten und Vorlieben, etwa bei der Vereinbarkeit von Familie und Beruf.

Kaum etwas ist unangenehmer sowohl für die Nutzer als auch den IT-Helpdesk, wenn morgens als erstes panische Anfragen von Mitarbeitenden eingehen, die seit dem Vorabend nicht mehr in ihren Account kommen, obwohl sie dringende Aufgaben zu erledigen haben.

Self-Service Password Reset entspannt solche Drucksituationen und entschärft Arbeitsspitzen beim IT-Support. 

5. Einfache Absicherung per Multi-Faktor-Authentisierung (MFA) möglich

Die telefonische Identifizierung von Mitarbeitenden, wie oben schon kurz erwähnt, ist mit vielen Unsicherheiten behaftet. Scheinbar private Informationen, etwa Geburtstage, sind oft Allgemeinwissen im Unternehmen und darüber hinaus und damit zur Identifizierung nutzlos. Auch andere Informationen, etwa ID-Nummern für Mitarbeitende, können an Unbefugte geleakt worden sein.

Eine Lösung zum Self-Service Password Reset lässt sich dagegen leicht mit MFA ausrüsten. So bietet beispielsweise Specops uReset eine Auswahl verschiedener MFA-Verfahren, die sogar in Kombination eingesetzt werden können – vom Yubikey bis hin zum Smartphone. Wenn ein Identitätsdienst nicht verfügbar ist, kann der Nutzer auf einen anderen zurückgreifen. Zur Auswahl stehen beispielsweise Duo Security, Okta Verify und der MS Authenticator.

Specops uReset: Self-Service Password Reset

Fazit: Mit der Einführung einer Lösung für Self-Service Password Reset steigern Sie nicht nur die Cybersicherheit und die Effizienz der Abläufe rund um die Zurücksetzung von Anmeldeinformationen – sondern auch die Zufriedenheit von Nutzern und IT-Personal.

Specops hat dabei eine Lösung für Sie, die sich nahtlos in Ihre Active-Directory-Umgebung einfügt und neben den oben genannten Features noch andere Sicherheiten bietet, wie etwa Geo-Blocking. Kontaktieren Sie uns, um Specops uReset als benutzerfreundliche und elegante Self-Service-Lösung kostenlos und unverbindlich zu testen.

Autorin

Christina Czeschik Dr. Christina Czeschik ist Ärztin und Medizininformatikerin und schreibt seit etwa 10 Jahren als freie Autorin über Datenschutz, Informationssicherheit und Digitalisierung im Gesundheitswesen, unter anderem für die B2B-Content-Marketing-Agentur ucm.

(Zuletzt aktualisiert am 10/08/2023)

Zurück zum Blog