Flexible Security for Your Peace of Mind

So kommunizieren Sie neue Kennwortrichtlinien an Ihre Nutzer

Die Einführung einer neuen Kennwortrichtlinie ohne entsprechenden Kommunikationsplan kann schnell zu Problemen führen. Mit einem Kommunikationsplan wollen Sie vermeiden, dass alle Nutzer aufgefordert werden, ihre Passwörter zu ändern, ohne zu wissen, was oder warum dies geschieht. Dies würde bei Ihrem Service-Desk- oder IT-Team zu Chaos führen und möglicherweise einen Moment der Schwäche darstellen, den Angreifer ausnutzen können. In diesem Beitrag gehen wir auf das Wichtigste ein, das für eine transparente und verständliche Kommunikation der Änderungen benötigt wird.

Wenn Ihre Richtlinien bereits ausgearbeitet und breit für die Implementierung sind, dann kommt dieser Beitrag zum richtigen Zeitpunkt. Wenn Sie jedoch noch nicht ganz so weit sind, finden Sie in unserem Whitepaper zum Thema Passwortrichtlinien nützliche Informationen zur Planung der einzelnen Schritte.

Paukenschlag oder gestaffelte Einführung einer neuen Kennwortrichtlinie?

In welchem zeitlichen Rahmen Sie die neuen Richtlinien einführen, bleibt letztendlich Ihnen überlassen. Wir empfehlen jedoch immer, Ihr Active Directory zu unterteilen und die Einführung zeitlich zu staffeln, damit nicht alle Nutzer gleichzeitig ihre Kennwörter ändern und damit eine Flut von Support-Tickets auslösen.

Wenn eine Gruppe von Kennwörtern ohnehin in den nächsten Tagen oder Wochen abläuft, warum dann nicht die neue Richtlinie zuerst auf diese Benutzer anwenden? Für Benutzer, deren Kennwörter noch lange nicht ablaufen, weil sie diese erst kürzlich geändert haben, könnte es frustrierend sein, sie so bald wieder ändern zu müssen – man könnte diese Benutzer bis kurz vor der Umstellung warten lassen.

Alternativ können Sie eine Gruppe von Nutzern mithilfe des Specops Password Auditor oder eines anderen Tools definieren. Diese Gruppe mit möglicherweise kompromittierten Passwörtern bietet Ihnen die Möglichkeit, Ihre Implementierung zu testen und einen schnellen Proof-of-Concept zu erhalten. Solche Gruppen eignen sich gut als Pilotgruppe für die Einführung, d.h. Sie können sich zuerst um die Benutzer mit dem höchsten Risiko kümmern und erhalten außerdem ein Feedback darüber, ob die Einführung reibungslos verläuft. 

Specops Password Auditor Reports
Schlummern gestohlene Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Specops Password Auditor analysiert Ihr Active Directory mit einem Read-Only-Scan auf eine Reihe von Passwortrelevanten Schwachstellen und gibt diese in detaillierten Reports aus:

Identifizieren Sie passwortrelevante Schwachstellen mit dem Specops Password Auditor in Ihrem AD

Kommunikation der neuen Kennwortrichtlinie an die Endanwender

Wenn Sie Ihre Endnutzer vor der Benachrichtigung über das Zurücksetzen per E-Mail informieren, wird die Einführung reibungsloser verlaufen. In der Mitteilung sollte erklärt werden: 

  • Warum tun wir das?
  • Die Anforderungen der neuen Kennwortrichtlinie  
  • Erinnerung an die “Bad-Practices” wie Weitergabe, Aufschreiben oder Wiederverwendung von Passwörtern 
  • An wen man sich bei Fragen wenden kann 

Sie könnten auch in Erwägung ziehen, neue Passwortkonzepte, wie Passphrasen, zu erwähnen. Denken Sie daran, die Dinge einfach und leicht verständlich zu halten. Wenn die Nutzer bisher kurze aber komplexe Passwörter (z. B. acht Zeichen mit einer Mischung aus Zahlen, Kleinbuchstaben, Großbuchstaben und einem Sonderzeichen) verwendet haben und nun eine einfachere, aber längere Passphrase erstellen können, lohnt es sich die auf diese Option hinzuweisen.   

Vorlage zur Kommunikation neuer Passwortrichtlinien via e-Mail

Im Folgenden finden Sie ein Muster, welches Sie an Ihre Bedürfnisse anpassen können: 

Liebe:r Mitarbeiter:in
zwischen X/X/X und X/X/X werden wir in der gesamten Organisation eine neue Passwortrichtlinie einführen. Dies wird sowohl Sie, als auch das Unternehmen davor schützen, dass Passwörter gehackt oder von Dritten erraten werden. Sie werden irgendwann innerhalb des oben genannten Zeitraums eine Benachrichtigung erhalten, dass Sie ein neues Active Directory-Passwort erstellen müssen. 
Die Anforderungen an die neue Kennwortrichtlinie lauten wie folgt: 

  • Länge: Neue Kennwörter müssen mindestens 15 Zeichen lang sein.  
  • Komplexität: Neue Passwörter müssen mindestens einen Großbuchstaben, eine Zahl und ein Sonderzeichen enthalten 
  • Weiterverwendung: Wiederverwendete oder geringfügig veränderte Passwörter werden automatisch abgelehnt 
  • Prüfung auf Sicherheitslücken: Bereits kompromittierte Passwörter werden ebenfalls automatisch abgelehnt. 

Wir empfehlen, eine „Passphrase“ zu erstellen, da dies der einfachste Weg ist, ein langes, sicheres und leicht zu merkendes Passwort zu erstellen.
Bitte beachten Sie auch die Regeln im Umgang mit Passwörtern, die im Rahmen Ihrer Cybersecurity-Schulung hervorgehoben wurden: 

  • Geben Sie Ihr Passwort nicht weiter  
  • Schreiben Sie Ihr Passwort nicht auf (es sei denn, Sie bewahren es an einem sicheren Ort auf) 
  • Verwenden Sie Ihr Passwort nicht auf anderen Geräten, Anwendungen und Websites wieder. 

Wenn Sie Fragen haben, wenden Sie sich bitte an [email], um Hilfe zu erhalten. 
Mit freundlichen Grüßen, 
X 

Weitere Benutzergruppen, die Sie bei der Kommunikation beachten sollten

Es gibt einige andere Benutzergruppen innerhalb einer Organisation, für die Sie die oben beschriebene Kommunikation möglicherweise anpassen möchten. Wir haben hier einige der wichtigsten Gruppen aufgeführt:

  • Service Desk/IT-Support/Sicherheitsteams: Diese Teams müssen wissen, wann sie mit einem höheren Aufkommen an Tickets und potenziellen Problemen im Zusammenhang mit Passwörtern rechnen müssen. Hoffentlich verläuft die Einführung reibungslos und die Kommunikation mit den Endbenutzern ist von Vorteil, aber Kinderkrankheiten lassen sich nicht immer ausschließen. Diese Teams sollten sich auch über die neuen Anforderungen der Richtlinie im Klaren sein. Denken Sie auch daran, dass alle Anrufe zum Zurücksetzen von Kennwörtern durch eine zwingende Verifizierung der Identität des Antragsstellers geschützt sein sollten (hier erfahren Sie mehr über die sichere Verifizierung am Service Desk).
  • Führungskräfte/Manager: Für diese Gruppe ist es besonders wichtig, die Gründe für die neue Richtlinie zu verstehen, damit sie die Einführung unterstützen und befürworten. Sie können auch bei der Kommunikation mit den Anwendern helfen. Es kann sich auch lohnen, Statistiken oder Daten über die Risiken kompromittierter Passwörter mitzuteilen, um die Akzeptanz der neuen Richtlinie zu fördern.  
  • Service-Konten: Diese Konten führen in der Regel kritische Dienste und Systeme aus und haben nur sehr selten eine Gültigkeitsdauer für ihre Passwörter. Die Passwörter für diese Konten werden in der Regel auch nicht regelmäßig manuell eingegeben, sondern aus einem Passwortspeicher kopiert und eingefügt. Überlegen Sie, ob Sie die Komplexität und Länge der Passwörter für diese Konten auf sehr hohe Werte einstellen, z. B. 64+ Zeichen, und ob sie anfällig für Denial-of-Service-Angriffe sind, indem dafür Ihre Kontosperrrichtlinien missbraucht werden. 
  • Admins: Benutzer mit hoch privilegiertem Zugang zum Netzwerk und/oder Zugriff auf sensible Daten sollten ebenfalls stärker geschützt werden als normale Konten. Es sollte erwogen werden, längere Passwörter/Passphrasen zu erzwingen und möglicherweise die Verwendung von ablaufenden Passwörtern fortzusetzen, selbst wenn diese nicht kompromittiert wurden. Möglicherweise ist eine zusätzliche Kommunikation erforderlich, um diese strikteren Anforderungen zu erläutern.
  • Mitarbeiter im Urlaub: Bei der Planung der Einführung sollten Sie auch bedenken, ob Mitarbeiter für längere Zeit beurlaubt sind. Möglicherweise haben diese keinen Zugang zu den Systemen, die es ihnen ermöglichen würden, ihre Passwörter zu ändern. Besprechen Sie die Bedürfnisse dieser Benutzer mit ihren Vorgesetzten und der Personalabteilung und treffen Sie mit dem Servicedesk oder durch detaillierte Anweisungen Vorkehrungen, um sie zu unterstützen.

Wie können Sie die Einführung einer neuen Kennwortrichtlinie noch benutzerfreundlicher gestalten? 

Neben einem soliden Kommunikationsplan gibt es einige Elemente, die Sie in Ihre Kennwortrichtlinie einbauen können, um den Endbenutzern das Leben einfacher zu machen. Dinge wie Single Sign-On (SSO), Passwort-Manager und Authentifizierungshardware wie YubiKeys können sich positiv auf die Benutzererfahrung auswirken. Natürlich müssen Sie auch dafür sorgen, dass die Benutzerfreundlichkeit und die Sicherheit in einem ausgewogenen Verhältnis stehen. Eine der besten Möglichkeiten, Endbenutzern zu helfen, besteht darin, ihnen Feedback bei der Vergabe ihrer Passwörter in Echtzeit zu geben. Das hilft dabei die Frustration zu senken und Rückfragen zu reduzieren.

Bessere User Experience bedeutet weniger Service Desk Tickets. Specops Password Policy bietet mit dem Specops Authentication Client ein dynamisches Feedback, das auf die Eingaben der Benutzer bei der Vergabe von Passwörtern reagiert und sie dazu anleitet, sichere Passwörter zu erstellen, die sie sich auch merken können. Wie unten gezeigt, bietet der Specops Authentication Client direkt dynamisches Feedback beim Zurücksetzen von Passwörtern, das den Benutzern in Echtzeit zeigt, was sie tun müssen, um die neue Richtlinie zu erfüllen (z.B. eine Passphrase mit mehr als 15 Zeichen). Außerdem kann ein ängenbasiertes Ablaufdatum für Kennwörter dabei helfen, die Benutzer mit einer längeren Zeitspanne bis zum nächsten Reset zu “belohnen”, wenn sie ein längeres Kennwort wählen.

Wollen Sie mehr darüber erfahren, wie die Tools von Specops Sie bei der Stärkung Ihrer Passwortsicherheit unterstützen kann? Wir beraten Sie gerne!

NIST 800 Anforderungen an Passwortsicherheit
Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt 14-tägige Demo vereinbaren!

(Zuletzt aktualisiert am 23/10/2024)

Zurück zum Blog