Flexible Security for Your Peace of Mind

Neue Mitarbeiter, alte Probleme: So gefährden Onboardingprozesse die Passwortsicherheit

Die erste Woche bei einem neuen Arbeitgeber enthält auch immer einige Termine mit der IT-Abteilung – vor allem, wenn es beim Onboarding um Remote-Mitarbeiter geht. Denn das Einrichten von Hardware, Zugängen und Passwörtern ist ein wichtiger Schritt, um die neuen Kollegen mit entsprechenden Informationen und Zugriffen zu versorgen. Darunter fällt auch oftmals die Mitteilung und Vergabe eines Passwortes für den Active Directory Benutzer – doch diese scheinbar einfache Aufgabe kann mit einer Reihe von Gefahren verbunden sein. In diesem Beitrag werden wir auf die Gefahren für die Passwortsicherheit eingehen, die während des Onboarding-Prozesses entstehen können, und Möglichkeiten aufzeigen, wie Unternehmen diese Themen angehen können.

Wie werden Passwörter weitergegeben – und was ist daran gefährlich?

Die Weitergabe sensibler Informationen zwischen den Beteiligten ist immer mit einem Risiko verbunden. Im Folgenden sind einige Bereiche aufgeführt, in denen bei der Mitteilung von Passwörtern im Rahmen des Onboarding Risiken entstehen können.

Kann es abgefangen oder abgehört werden?

Unternehmen teilen neuen Mitarbeitern ihre Passwörter in der Regel im Klartext per E-Mail oder SMS mit. Dadurch kann das Passwort durch Man-in-the-Middle-Angriffe abgefangen werden und von Unbefugten für den Zugriff auf das System verwendet werden.

Wird das Kennwort mündlich mitgeteilt?

Eine weitere Möglichkeit, einem neuen Mitarbeiter sein Passwort mitzuteilen, ist die mündliche Weitergabe am Tag des Arbeitsbeginns. Die mündliche Weitergabe kann für das IT-Personal sehr zeitaufwändig sein. Außerdem kann die Methode dazu führen, dass Passwörter an den Vorgesetzten des Mitarbeiters weitergegeben werden, wodurch ein erhöhtes Social-Engineering-Risiko für beide Beteiligten entsteht. Ebenso kann das Passwort weiterhin von anderen mitgehört, vergessen oder vom Mitarbeiter falsch notiert werden.

Ist der Prozess anfällig für Social Engineering?

Cyberkriminelle haben es auf neue Mitarbeiter abgesehen, da diese oft nicht mit den Prozessen, dem Kommunikationsstil oder den Sicherheitsprotokollen des Unternehmens vertraut sind, was sie besonders anfällig für Social Engineering-Angriffe macht. Zudem sind neue Mitarbeiter in der Regel bestrebt, einen guten Eindruck zu hinterlassen, was dazu führen kann, dass sie vorschnell und ohne ordnungsgemäße Überprüfung auf Links oder Anhänge klicken. Hacker können öffentliche Informationen auf LinkedIn und Unternehmenswebsites leicht nutzen, um neue Mitarbeiter, Dienstwege und Lieferantenbeziehungen zu ermitteln. Dies hilft ihnen, glaubhafte Spear-Phishing-Kampagnen zu erstellen, die auf neue Kollegen abzielen.

Werden die temporären Passwörter nicht geändert?

In den meisten Fällen erhalten neue Mitarbeiter ein temporäres Passwort, welches nach einer ersten Anmeldung geändert werden muss. Doch manchmal werden diese Passwörter unzureichend geändert oder eine Änderung wird nicht erzwungen, was zu Risiken führen kann. Das führt dazu, dass besonders einfach zu erratende Passwörter oder bereits kompromittierte temporäre Passwörter eine Gefahr für Unternehmen darstellen.

Specops Password Auditor Reports
Schlummern gestohlene Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Unsere Experten analysierten ein Jahr lang durch Malware gestohlene Zugangsdaten und fanden heraus, dass 120.000 von ihnen Begriffe enthielten, die häufig im Zusammenhang mit temporären Passwörtern stehen. Darunter auch schwache und erratbare Passwörter wie “welcome123” oder “newuser1!”. Werden diese nicht rechtzeitig vom neuen User geändert oder nur durch Zahlen oder Sonderzeichen ergänzt, um den Passwortrichtlinien des Unternehmens gerecht zu werden, ist es für Angreifer ein Leichtes, diesen Account zu kompromittieren. Natürlich werden solche Muster auch beim Brute-Forcing verwendet, um Passwörter zu erraten.

Gibt es eine Möglichkeit, Passwörter für neue Mitarbeiter auf sichere Weise weiterzugeben?

Wie oben dargestellt, gibt es zwei zentrale Risiken beim Onboarding und bei Passwörtern: erstens die unsichere Art und Weise, wie Unternehmen Passwörter an neue Mitarbeiter weitergeben. Zweitens besteht das Risiko, dass Mitarbeiter ein temporäres Kennwort nicht ändern. Um diese Risiken zu minimieren, können Unternehmen eine Lösung wie Specops’ First Day Password (ein Add-On zu Specops uReset) verwenden. Diese ermöglicht es neuen Mitarbeitern, ihre Passwörter ohne Kenntnis über das initiale Passworts zu vergeben.

So wird die Weitergabe von Initialpasswörtern überflüssig, da neue Mitarbeiter ihr erstes Passwort über einen persönlichen Anmeldelink vergeben können, den sie per E-Mail oder Mobiltelefon erhalten, oder über den Link “Mein Passwort zurücksetzen” auf einem Gerät, das mit dem Unternehmensnetzwerk verbunden ist. Dynamisches Feedback durch Specops Password Policy hilft dabei, die Kennwortrichtlinien der Organisation transparent zu kommunizieren. Zusammen mit Specops Password Policy und Breached Password Protection kann First Day Password die Vergabe von starken Passwörtern fördern und gleichzeitig die Verwendung von über 4 Milliarden bereits kompromittierten Passwörtern blockieren.

Testen Sie Specops First Day Password

Reduzieren Sie die Gefahr, die temporäre Passwörter im Onboarding Prozess verursachen mit Specops First Day Password. So können neue Kollegen ab dem ersten Tag an ihre Passwörter selbst vergeben, nachdem sie ihre Identität verifiziert haben und das ganz ohne die Kenntnis des von der IT-Abteilung vergebenen Passworts. Dadurch wird nicht nur das mit der Weitergabe von Klartextpasswörtern verbundene Risiko verringert, sondern auch die Einhaltung von Sicherheitsrichtlinien gewährleistet.

Möchten Sie testen, wie Specops First Day Password in Ihrer Umgebung angewendet werden kann? Gerne beraten wir Sie dazu in einem ersten Demotermin und Proof-of-Concept.

NIST 800 Anforderungen an Passwortsicherheit
Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenloses Assessment vereinbaren!

(Zuletzt aktualisiert am 22/10/2024)

Zurück zum Blog