Flexible Security for Your Peace of Mind

Initialpasswörter – die Krux beim Onboarding

Beim Onboarding eines neuen Mitarbeiters gibt es einiges zu beachten: Der Arbeitsplatz muss vom ersten Tag an voll funktionsfähig sein, ein Zugriff auf alle relevanten Ressourcen und Informationen sollte gewährleistet sein und natürlich gilt es, die Neue / den Neuen gut in das Team zu integrieren. Bei all dem gerät eines oft ins Hintertreffen: das erste Passwort. Dabei lauern gerade hier nicht unerhebliche Gefahren für die Cybersicherheit eines Unternehmens.

In diesem Artikel erfahren Sie, wie ein solches Initialpasswort aussehen sollte, wie Sie es neuen Mitarbeitern sicher mitteilen und darüber hinaus sicherstellen, dass es nach einmaliger Benutzung zeitnah geändert wird.

Starke Initialpasswörter – alles andere als Kanonenkugeln für die Spatzenjagd

Initialpasswörter sind vorläufige, im Idealfall einmalige Passwörter, die z. B. beim Anlegen eines neuen Active-Directory-Benutzers vergeben werden. Weil es sich dabei quasi um einen Wegwerfartikel handelt, werden diese ersten Passwörter häufig recht sorglos und schematisch erstellt. Üblich sind beispielsweise Kombinationen aus Namen und Eintrittsdatum des neuen Mitarbeiters. Nicht selten wird sogar für alle Neuen ein und dasselbe Standardpasswort vergeben – immer wieder gern genommen: „User“, „Welcome“ oder „Starter“.

Wenn allerdings jeder im Unternehmen – auch jeder ehemalige Mitarbeiter – das Initialpasswort kennt oder ableiten kann, kann sich auch jeder Zugang zu dem verknüpften Benutzerkonto verschaffen. Schlimmstenfalls werden solche Passwörter im Darknet angeboten. Solange solch ein kompromittiertes Passwort nicht geändert wird, können Angreifer es als Einfallstor nutzen und etwa Backdoors einschleusen oder sich per Rechteausweitung (Privilege Escalation) Zugriff auf privilegierte Konten und sensible Bereiche des Netzwerks verschaffen, um Spionage, Erpressung oder Sabotage zu betreiben. Diese Gefahr ist umso größer, je länger im Voraus das Initialpasswort für ein neues Benutzerkonto angelegt wurde und je später es nach dem ersten Login geändert wird – und glauben Sie mir: Viele neue Mitarbeiter werden ihr Passwort trotz Warnhinweis nicht selbst ändern, wenn Sie das nicht erzwingen.

Welche Folgen schwache Initialpasswörter haben können, zeigt der Angriff auf SolarWinds. Das Unternehmen bietet u. a. das Managementsystem „Orion“ zur Überwachung und Fehlerbehebung in Unternehmensnetzwerken an. Über das Passwort „solarwinds123“ gelang es Angreifern 2020, Backdoor-Malware in Orions Software-Updates einzuschleusen und so in die Netzwerke von SolarWinds-Kunden einzudringen.

Individuell und ausreichend komplex

Starke Passwörter sind also alles andere als eine Methode von IT-Administratoren, um Mitarbeiter zu gängeln, sondern ein sicherheitsrelevanter Faktor für das Unternehmensnetzwerk. Auch Initialpasswörter stellen eine wichtige Maßnahme zum Schutz sensibler personenbezogener Daten im Sinne der DSGVO dar (siehe nächster Abschnitt). Daher sollten die ersten Passwörter hinreichend komplex und für jeden neuen Mitarbeiter individuell generiert werden. Mit anderen Worten: Auch die Initialpasswörter sollten den Passwortrichtlinien Ihres Unternehmens entsprechen. Eine gute Orientierung für das Erstellen starker Passwörter bieten die Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) oder unser Blogartikel „BSI-Passwortrichtlinien: Wie sich die Anforderungen aus dem IT-Grundschutz-Kompendium umsetzen lassen.“ Zudem sollten Sie die Sicherheit Ihrer Initialpasswörter in Ihrem Active Directory (AD) regelmäßig bewerten und auf Kompromittierung überprüfen, z. B. mithilfe der Online-Datenbank HaveIBeenPawned oder mit dem kostenlosen Specops Password Auditor.

Initialpasswörter und die DSGVO

Mit der Verordnung (EU) 2016/679 des Europäischen Parlaments (Datenschutz-Grundverordnung, DSGVO) soll der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt werden.

Zwar enthält die DSGVO keine speziellen Vorgaben zur Vergabe oder Verwaltung von Initialpasswörtern, in Artikel 32 werden jedoch „geeignete technische und organisatorische Maßnahmen“ gefordert, um ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten.

Die wirksame Absicherung von Benutzerkonten per Authentifizierung mittels Nutzername und Passwort stellt eine solche technische und organisatorische Maßnahme dar. Für Unternehmen kommt dies daher einer Verpflichtung gleich, sichere Passwörter zu vergeben. Das gilt sowohl für persönliche Passwörter wie für Initialkennwörter. Vergibt ein Unternehmen dagegen unsichere Passwörter oder lässt die Verwendung unsicherer Passwörter zu, handelt es gegen seine Sorgfaltspflichten und geht damit ein nicht unerhebliches Haftungsrisiko ein: Bei Verstößen gegen die DSGVO können, je nach „Art, Schwere und Dauer des Verstoßes“ Geldbußen in Höhe von bis zu 20 Mio. EUR oder bzw. bis zu 4 Prozent des weltweit erzielten Jahresumsatzes verhängt werden (Art. 83 Abs. 4 DSGVO).

Reports Übersicht zu Specops Password Auditor
Prüfen Sie mit Specops Password Auditor, ob kompromittierte Kennwörter in Ihrem Active Directory schlummern!

Wie können Initialpasswörter sicher und DSGVO-konform übermittelt werden?

Schwache Initialpasswörter sind allerdings nicht die einzige Achillesferse beim Onboarding-Prozess. Denn auch das stärkste Passwort kann auf dem Weg zum neuen Mitarbeiter schwächeln. Trotzdem: Nicht selten lösen Unternehmen die Frage, wie dem neuen Mitarbeiter das Initialpasswort mitgeteilt wird, mit einer Post-it-Notiz auf der Computertastatur. Dass dies keine sichere, DSGVO-konforme Methode ist, sollte keiner weiteren Erläuterung bedürfen.

Aber welche Alternativen haben IT-Verantwortliche? Auch wenn es ein wenig wirkt wie aus einem Spionagefilm des vergangenen Jahrtausends – eine der sichersten Methoden ist die persönliche Übergabe in einem verschlossenen Umschlag oder ein vertrauliches Vier-Augen-Gespräch. Allerdings haben Mitarbeiter der IT-Abteilung nicht immer Zeit und häufig auch nicht die Gelegenheit für persönliche Termine am ersten Arbeitstag jedes neuen Mitarbeiters. Bei größeren Unternehmen befindet sich zudem das zuständige IT-Team häufig an einem anderen Standort.

IT-Teams haben dann vor allem zwei Möglichkeiten: die Übermittlung per E-Mail oder per SMS bzw. Messaging-App. Allerdings ist diese Form der Passwortweitergabe sehr anfällig gegenüber Man-in-The-Middle-Angriffen. Daher sollten die Passwörter dabei auf keinen Fall im Klartext, sondern stets über einen sicheren Ende-zu-Ende verschlüsselten Kanal übermittelt werden.

Drei Maßnahmen, damit Initialpasswörter zeitnah und zuverlässig geändert werden

Wie wir bereits gesehen haben, ist auch die Frage, wie lange ein Initialpasswort gültig ist bzw. wie lange es verwendet wird, sicherheitsrelevant. Denn Initialkennwörter, die über einen längeren Zeitraum unverändert bleiben, sind ein nicht unerhebliches Sicherheitsrisiko für Benutzerkonten, Unternehmensnetzwerke und sensible Daten.

Es ist also wichtig, dass solche Passwörter möglichst nur einmal genutzt und danach schnellstmöglich geändert werden. Um das sicherzustellen, können Unternehmen verschiedene Maßnahmen ergreifen:

  1. Gültigkeitszeitraum begrenzen: Initialpasswörter sollten nach einem vorgegebenen, möglichst kurzen Zeitraum (idealerweise nur einige Tage) automatisch ungültig werden. Auf diese Weise sind neue Mitarbeiter gezwungen, das zugeteilte Passwort schnell zu ändern.
  2. Passwortwechsel erzwingen: Implementieren Sie eine Richtlinie, die Benutzer dazu zwingt, ihr Initialpasswort sofort nach der ersten Anmeldung zu ändern – z. B. durch einen Enforced Change at Next Logon in AD. Allerdings ist dies aufgrund technischer Einschränkungen nicht immer möglich, wenn etwa ein neuer Remote-Benutzer für die Anmeldung eine VPN-Verbindung benötigt und diese nur möglich ist, wenn die Einstellung „Änderung bei der nächsten Anmeldung“ deaktiviert ist.
  3. Kontrolle: Überprüfen Sie regelmäßig, ob neue Benutzer noch ihr Initialpasswort nutzen. Specops Password Auditor bietet IT-Administratoren über den Password Age Report die Möglichkeit aufzulisten, welche Benutzer ihr Passwort seit einem bestimmten Datum geändert haben.

Darüber hinaus sollten Sie neue Mitarbeiter über die Wichtigkeit eines sofortigen Wechsels des Initialkennworts aufklären sowie alle Mitarbeiter regelmäßig zu Passwortsicherheit und den Passwortrichtlinien Ihres Unternehmens schulen.

Onboarding ohne Weitergabe von Initialpasswörtern: Selbstbedienungsportale

Durch Kombination der beschriebenen Maßnahmen kann das „Risiko Initialpasswort“ deutlich minimiert werden. Noch sicherer ist es allerdings, wenn ganz auf die Weitergabe verzichtet werden kann. Mit einem Self-Service-Portal wie Specops First Day Password können Nutzer das Initialpasswort, das bei der Einrichtung eines neuen Active-Directory-Nutzers erstellt wurde, direkt beim Onboarding zurücksetzen – und zwar ohne es selbst zu kennen. Über einen Link „Passwort zurücksetzen“, den die Mitarbeiter per SMS oder per E-Mail erhalten oder direkt über den Passwort-Reset-Link beim Login auf ein mit der Domain verbundenes Endgerät, können sie ihr erstes Passwort direkt selbst erstellen. Dabei verifizieren sie sich über einen Code, der ihnen entweder als persönliche E-Mail oder per SMS zugeschickt wurde. Noch vor der Passwortvergabe erhalten sie dann Informationen zu den Passwortrichtlinien des Unternehmens bzw. darüber, welche Anforderungen und Einschränkungen es beim Erstellen eines Passworts gibt. Während der Passwortvergabe wird jeweils die entsprechende Kennwortrichtlinie als dynamisches Feedback angezeigt.

Mehr zur sicheren Vergabe von ersten Passwörtern über Selbstbedienungsportale erfahren Sie in unserem Blogbeitrag Specops Software präsentiert “First Day Password” – Für ein geheimes Initialpasswort.

Illustration eine Bildschirms der passwortgeschützten Code anzeigt.
Jetzt mit Specops Password Policy starke Passwortrichtlinien in Ihrem Active Directory umsetzen!

Autor

Torsten Krüger

Torsten Krüger ist seit mehr als 20 Jahren Spezialist für Content-Marketing und Presse bei der B2B-Content-Marketing-Agentur ucm. Dort und als freier Autor schreibt er vor allem zu Themen aus den Bereichen IT, Energie, Elektrotechnik, Medical/Healthcare, Maschinenbau und Musik.

(Zuletzt aktualisiert am 02/07/2024)

Zurück zum Blog