Warum recycelte Passwörter eine ernstzunehmende Gefahr für Ihre IT-Sicherheit darstellen

Trotz jahrelanger Warnungen an die Endbenutzer ist die Wiederverwendung von Passwörtern weiterhin sehr verbreitet.
Für IT-Teams ist es schwierig, dieses Problem in den Griff zu bekommen, vor allem, wenn die Mitarbeiter ihre Arbeitspasswörter auch zu Hause wiederverwenden. So kann eine Sicherheitslücke in einem anderen Unternehmen zu Cybersecurity-Problemen führen, selbst wenn die eigenen Sicherheitsmaßnahmen gut sind und über die gesetzlichen Vorgaben hinausgehen.

Die Wiederverwendung von Passwörtern ist ein größeres Problem, als vielen bewusst ist, und lässt sich nur schwer nachverfolgen. Laut einer TechRepublic-Umfrage geben 53 % der Benutzer zu, dass sie dasselbe Kennwort für mehrere Konten verwenden – für Hacker ist das genau das Richtige. Bedenkliches Nutzerverhalten und unermüdliche Anstrengungen seitens der Cyberkriminellen an solche Passwörter zu kommen sind keine gute Kombination. Es ist jedoch ein Risiko, das mit den richtigen Tools gemindert werden kann.

Warum verwenden Menschen Passwörter mehrfach?

Einfach ausgedrückt: Der Mensch wählt gerne die bequemste Lösung. Selbst wenn es gegen stundenlange Sicherheits- und Sensibilisierungsschulungen verstößt, merken sich die Leute lieber ein Passwort als mehrere. Zusätzlich möchte man sich natürlich nicht aussperren oder bei selten genutzten Accounts sein Passwort zurücksetzen, weil man es vergessen hat. Außerdem gehen viele davon aus, dass es eine gute Idee ist, ein sicheres Kennwort auch für private Geräte und Anwendungen zu verwenden, schließlich ist ihr berufliches Kennwort sicher. Denn wie groß ist die Wahrscheinlichkeit, dass sie das Pech haben, von Hackern ins Visier genommen zu werden?

Zwar sollten Enduser es im Jahr 2023 besser wissen aber es ist nicht fair, nur den Mitarbeitern die Schuld zu geben. Unternehmen setzten zunehmend auf Software-as-a-Service (SaaS), da diese flexibel und einfach zu skalieren ist und weniger internes Fachwissen voraussetzt. Seit 2021 ist die Nutzung von SaaS um 18 % gestiegen, wobei das durchschnittliche Unternehmen 130 SaaS-Anwendungen nutzt. Das führt dazu, dass ein durchschnittliches 250-Personen-Unternehmen schätzungsweise 47.750 Passwörter verwendet.

Die große Mehrheit der Endbenutzer hat nicht die Absicht, ihr Unternehmen zu gefährden. Sie müssen sich einfach eine Menge merken und denken wahrscheinlich, dass die Wiederverwendung von Passwörtern keine große Sache ist. Leider ist dies weit von der Wahrheit entfernt.

Die versteckten Risiken durch die Wiederverwendung von Passwörtern

Verizon schätzt, dass 86 % der Erstzugriffe durch gestohlene Anmeldedaten erfolgen. Wenn dasselbe Kennwort für viele Geräte und Anwendungen verwendet wird, muss nur das schwächste Glied kompromittiert werden. Eine Phishing-E-Mail, ein ungesichertes öffentliches Netzwerk oder ein mit Malware infiziertes persönliches Gerät können dazu führen, dass ein Passwort im Privatleben eines Endbenutzers kompromittiert wird. Wenn der Benutzer sein Passwort für die Arbeit wiederverwendet hat, kann dieser zunächst unbedeutende Cybervorfall eine Kette von Ereignissen auslösen, die sich auf Ihr Unternehmen auswirken.

Eines der größten Risiken besteht darin, dass Angreifer eine Datenbank mit Passwörtern von einer weniger sicheren Website oder SaaS-Anwendung in die Hände bekommen. Nehmen wir an, ein Hacker dringt in einen Online-Shop ein und gelangt in den Besitz einer ganzen Datenbank mit Passwörtern. Selbst wenn die Passwörter gehasht sind, hat der Angreifer alle Zeit der Welt diese offline zu knacken und herauszufinden, wer diese Personen sind und wo sie arbeiten. Wenn eines dieser Passwörter am Arbeitsplatz wiederverwendet wurde, ist dies ein einfacher Weg in das Unternehmen des Mitarbeiters.

Aus diesem Grund kann die Wiederverwendung von Kennwörtern für Unternehmen mit ansonsten strengen Kennwortrichtlinien ein großer Dorn im Auge sein. Zwar kann ein Unternehmen Endbenutzer dazu verpflichten, am Arbeitsplatz längere, sichere Passwörter zu verwenden, aber nichts hindert die Mitarbeiter daran, diese Passwörter in privaten Anwendungen und Geräten mit schwacher Sicherheit oder in unsicheren Netzwerken wiederzuverwenden.

Wie können Sie Ihre Organisation vor den Risiken der Passwortwiederverwendung schützen?

Das Problem bei der Wiederverwendung von Kennwörtern ist, dass sie zu kompromittierten Kennwörtern führen kann. Es gibt einige Möglichkeiten, wie Unternehmen das Risiko verringern können, dass Hacker durch diese Lücke in ihr Unternehmen eindringen können.

Schulungen

Unternehmen schulen ihre Mitarbeiter schon seit langem, aber das hat die Wiederverwendung von Passwörtern nicht aufgehalten. Bitwarden fand heraus, dass 68 % der Internetnutzer Passwörter für mehr als 10 Websites verwalten – 84 % dieser Personen geben die Wiederverwendung von Passwörtern zu. Es ist sinnvoll, das Bewusstsein für Cybersicherheit zu schärfen, aber es wäre reines Wunschdenken zu glauben, dass die Schulung der Endnutzer das Problem allein lösen wird.

Multi-Faktor-Authentifizierung (MFA)

Sicherlich ist sie hilfreich. Allerdings ist keine Form der Authentifizierung für entschlossene Hacker unfehlbar. MFA kann für Angriffe wie Prompt Bombing anfällig sein, daher ist es immer noch wichtig, auch die Passwörter entsprechend zu sichern.

Keine Passwörter mehr

Dies mag wie ein Traumszenario für IT-Teams klingen, ist aber nicht immer machbar. Tatsächlich sind die meisten Unternehmen noch weit davon entfernt, Passwörter ganz abzuschaffen.

SSO und die Anzahl der zu verwaltenden Accounts reduzieren

Durch die Reduzierung der Anzahl von zu verwaltenden Accounts oder Logins durch SSO (Single-Sign-On) nimmt man den Benutzern teilweise die Last sich zu viele Kennwörter zu merken. Doch das ist auch nicht immer einfach umzusetzen oder mit Mehrkosten bei SaaS-Lösungen verbunden.

Suche nach kompromittierten Passwörtern

IT-Teams werden immer damit zu kämpfen haben, Mitarbeiter davon abzuhalten, ihre beruflichen Passwörter außerhalb der Arbeit wiederzuverwenden. Daher ist es von großer Bedeutung, eine Möglichkeit zur Überwachung der Passwörter zu haben, falls diese kompromittiert werden. Lösungen wie Azure AD (Entra ID) werden jedoch nur beim Zurücksetzen oder Ändern von Passwörtern aktiviert. Bis diese Events eintreten, kann es schon zu spät sein – den Daten von IBM aus dem Jahr 2023 zufolge dauert es 204 Tage, bis eine Sicherheitsverletzung entdeckt wird, und 73 Tage, um sie einzudämmen. Lösungen, die nur beim Ändern oder Zurücksetzen von Passwörtern auf eine Kompromittierung prüfen, sind besonders riskant für Unternehmen mit Passwörtern, die nie ablaufen.

Dauerhaftes Scannen nach kompromittierten Passwörtern

Specops Password Policy mit Breached Password Protection bietet deshalb einen automatisierten, fortlaufenden Schutz für Ihr Unternehmen gegen die Bedrohung durch kompromittierte Passwörter. Es schützt Ihre Endbenutzer vor der Verwendung von mehr als 4 Milliarden bekannten kompromittierten Passwörtern, einschließlich Daten von sowohl bekannten Lecks als auch von unserem eigenen Honeypot-System, das täglich Passwörter erfasst, die in echten Passwort-Spray-Angriffen verwendet werden.

Mithilfe von Specops Password Policy werden alle Active Directory-Passwörter einmal täglich mit der Breached Password Protection API auf Kompromittierungen überprüft. Die API wird täglich mit neu entdeckten kompromittierten Passwörtern aus unserem Passwort-Honeypot-System sowie mit neu aufgedeckten Passwortlecks aktualisiert. Administratoren können die Ergebnisse des letzten kontinuierlichen Scans in den Domain Administration Tools überprüfen.

Möchten Sie gerne mehr darüber erfahren, wie Specops Password Policy in Ihrer Organisation zu mehr IT-Sicherheit beitragen kann? Dann vereinbaren Sie noch heute einen unverbindlichen Termin mit unseren Experten.