Flexible Security for Your Peace of Mind

Kompromittierte Kennwörter: Ursachen und Gegenmaßnahmen

Kennwörter sind immer noch Dreh- und Angelpunkte der Sicherheit von IT-Landschaften in Unternehmen. Die Methoden, mit denen Angreifer versuchen, diese zu knacken, haben sich stets weiterentwickelt. Daher müssen auch Gegenmaßnahmen mit der Zeit gehen. In diesem Artikel erfahren Sie, wie Kriminelle kompromittierte Kennwörter verwenden, um Zugriff auf Ihr Unternehmensnetzwerk zu erhalten, und wie Sie diese Versuche erfolgreich abwehren können.

Beliebtes Einfallstor: Remote Desktop Protocol (RDP) unter Windows

Eines der häufigsten Einfallstore von Angriffen auf Unternehmensnetzwerke ist RDP. RDP steht für Remote Desktop Protocol, und mit Hilfe dieses Protokolls wird unter Microsoft Windows der Remote-Zugriff auf einen anderen Rechner ermöglicht. Nach erfolgreichem Login erhält der User Zugriff auf den Desktop des Zielrechners und kann den betreffenden Rechner fernsteuern. RDP wird nicht nur von Mitarbeitenden im Home Office genutzt, um auf Unternehmenssoftware zuzugreifen, sondern beispielsweise auch von Administratoren, um Computer in einem örtlich entfernten Rechenzentrum zu warten.

Daher gibt es zahlreiche Server im Internet, auf deren ein RDP-Dienst läuft. Dieser ist dem Port 3389 zugeordnet. Notwendig für den erfolgreichen Login auf einem Server mit RDP-Dienst ist natürlich die IP-Adresse des Zielrechners sowie der Benutzername und das zugehörige Kennwort für ein dort eingerichtetes Konto. Die IP-Adresse des Zielrechners kann durch einen Scan von IP-Bereichen herausgefunden werden. Dazu werden fortlaufend an Server mit aufeinanderfolgenden IP-Adressen TCP-Requests gesandt und deren Responses erfasst (siehe Abbildung). Einen solchen Scanner müssen Angreifer nicht selbst implementieren. Es gibt zahlreiche Tools, die dies automatisiert übernehmen, und die teilweise damit werben, dass die gesamte IPv4-Range des Internets in wenigen Minuten nach RDP-Diensten durchsucht werden kann.

Systematisches Scannen der IP-Ranges um potenzielle Opfer zu finden
© https://www.rasthofer.info/

Und selbst das Scannen nach RDP-Ports kann entfallen: Es gibt Webdienste wie etwa Shodan, die solche Scans ständig durchführen und die Ergebnisse in einer Datenbank abspeichern. Dort können potenzielle Angreifer sie abrufen und für ihre Zwecke missbrauchen.

Kompromittierte Kennwörter erleichtern das Eindringen

Wenn ein RDP-Dienst identifiziert ist, erfolgt der Angriff auf die Credentials des Nutzers. Die primitivste Vorgehensweise sind hierbei traditionelle Brute-Force-Attacken, die zum Ziel haben, das korrekte Passwort zu einem gegebenen (bekannten oder vermuteten) Accountnamen zu identifizieren. Hierbei werden Millionen bis Milliarden möglicher Zeichenkombinationen durchgegangen, bis eine Kombination zum erfolgreichen Login führt.

Durch die (ehemals) weite Verbreitung dieser Angriffsmethode ist sie heute aber kaum noch durchführbar – selbst in Systemen mit ansonsten unzureichenden Sicherheitsmaßnahmen fallen Brute-Force-Angriffe schnell auf. Das System reagiert in der Regel mit einem Account-Lockout und blockiert alle weiteren Versuche des Logins für eine bestimmte Zeitspanne.

Erfolgversprechender für Angreifer ist die Verwendung von bereits kompromittierten Passwörtern. Diese – also Dateien und Datenbanken mit Kennwörtern, die in der Vergangenheit bereits gestohlen wurden – gibt es im Netz in zahlreichen Varianten. Zwar kann auch beim Durchprobieren solcher kompromittierten Kennwörter der Account-Lockout nicht immer umgangen werden, aber die Chancen auf einen korrekten Login sind besser als bei naivem Brute Force. Auch sogenanntes Password Spraying ist möglich. Hier wird das Prinzip umgekehrt: Statt zu einem Benutzernamen sehr viele Passwörter auszutesten, wird ein Passwort mit vielen verschiedenen Benutzernamen getestet. Hierauf springen herkömmliche Account-Lockout-Mechanismen nicht sofort an. Das funktioniert mit schon kompromittierten Kennwörtern, aber auch mit solchen, die leicht erraten werden können, weil sie kurz und wenig komplex sind oder zum Beispiel gängige Begriffe aus dem Umfeld von Nutzern und Unternehmen enthalten. Fundierte Vermutungen bezüglich möglicher Passwörter im Unternehmen können auch angestellt werden, wenn die Ablaufzeiten von Passwörtern bekannt sind. So liegt die Vermutung nahe, dass im Winter 2023 irgendjemand das Passwort „Winter23!“ verwendet.

Kompromittierung als Ausgangspunkt für weitere Angriffe

Im Internet sind ständig mehrere Tausend Dienste unterwegs, die Angriffe auf Systeme unternehmen, um etwa Malware oder Ransomware zu verbreiten und dies im Rahmen von Cybercrime-as-a-Service potenziellen Angreifern anzubieten. Diese Malware-Dienste laufen häufig beispielsweise auf kompromittierten Webseiten, so dass die Urheber schwierig festzustellen sind.

Ist ein Login am RDP-Port auf einem Server erst einmal erfolgreich, ist dies in der Regel nur der Ausgangspunkt für weitere Aktivitäten der Angreifer. Von seinem neuen, internen Standort aus führt er nun weitere Brute-Force-Angriffe auf andere Dienste des Unternehmens durch. Dies wird auch als Lateral Movement bezeichnet. Häufig zielt der Angreifer darauf ab, dabei noch weiter reichende Nutzerprivilegien zu erwerben (Privilege Escalation) und sich vom Opfer unbemerkt im Zielnetzwerk festzusetzen. Wenn Daten gestohlen werden, erfolgt deren Abfluss häufig über Filesharing-Dienste wie Nachfolger des mittlerweile abgeschalteten Megaupload oder vom Angreifer gehostete Seiten um dann mit der Veröffentlichung von Daten weitere Erpressungen durchzuführen.

Um solche Angriffe von vornherein zu vereiteln, sollte im Unternehmen sorgfältig geprüft werden, ob und auf welchen Servern ein RDP-Dienst wirklich notwendig ist. Zudem kann der Zugang zu RDP über das Internet eingeschränkt werden, so dass etwa Mitarbeitende im Home Office nur per VPN zugreifen können. Auch eine Firewall vor dem RDP-Dienst oder ein Zugriff nur für IP-Adressen auf einer Whitelist verringern das Risiko für Angriffe auf RDP. Wenn tatsächlich ein öffentlich zugänglicher RDP-Dienst notwendig ist, dann muss das Risiko auf der Ebene der Authentifizierung verringert werden: Durch die bereits erwähnte Account-Lockout-Mechanismen, durch Multi-Faktor-Authentifizierung und durch die Implementierung geeigneter Passwortrichtlinien.

Kompromittierung von Kennwörtern vermeiden mit Passwortrichtlinien

Wie lässt sich die Gefahr unsicherer oder bereits kompromittierter Kennwörter eindämmen? Indem Sie im Unternehmen Richtlinien für sichere Passwörter durchsetzen (Password Policies).

In einer Passwortrichtlinie wird festgelegt, welchen Anforderungen ein Kennwort genügen muss, um die Sicherheit ihrer Accounts und der gesamten IT-Infrastruktur des Unternehmens zu gewährleisten. Auf die Stärke und damit Sicherheit eines Kennwortes haben folgende Eigenschaften einen Einfluss und sollten unbedingt in einer Password Policy berücksichtigt werden:

  1. Hat es eine hohe Entropie – wie leicht oder schwer ist es durch zufälliges Ausprobieren zu finden?
  2. Wie leicht ist es (mithilfe von Zusatzannahmen, z. B. Umgebungsinformationen) zu erraten?
  3. Ist es bereits bekannt (kompromittiert)?

Genau genommen wirken die Punkte 2 und 3 wieder auf die Entropie zurück, denn ein leicht zu erratendes Passwort hat eine niedrigere Entropie und ein bereits bekanntes eine Entropie von Null. Details erfahren Sie in unserem Blogbeitrag Passwort-Entropie als Maß für die Passwortsicherheit von Passwörtern und Passphrasen.

Specops Empfehlungen für starke Passwörter

 – Passwörter müssen lang sein – Führen Sie Passphrasen ein!

 – Passwörter brauchen nicht komplex zu sein!

 – Passwörter für privilegierte Konten sollten eine Länge von mindestens 15 Zeichen haben!

 – Validieren Sie Kennwörter regelmäßig gegen Listen mit kompromittierten Passwörtern!

 – Blockieren Sie einfach zu erratende Kennwörter durch Wortlisten!

 – Unterschiedliche Kennwortrichtlinien für Standard- und Admin-Accounts!

 – Lassen Sie Passwörter ablaufen!

Daher sollte eine Passwortrichtlinie eine gewisse Länge für Passwörter vorschreiben, aber gleichzeitig – je nach Schutzbedarf des betreffenden Kontos – ausreichend benutzerfreundlich sein, damit sie nicht von Endnutzer kreativ umgangen wird.  Zudem sollten in der Passwortrichtlinien keine Kennwörter zugelassen werden, die Begriffe aus dem Unternehmensumfeld verwenden, zum Beispiel den Unternehmensnamen selber, Namen von Teams oder Produkten, Monaten und Jahreszeiten und so weiter. Eine solche Regel verringert die Wahrscheinlichkeit von leicht erratbaren Kennwörtern. Und nicht zuletzt müssen Kennwörter ausgefiltert werden, die bereits kompromittiert sind, die also bereits in öffentlich verfügbaren Hacker-Datensätzen gelandet sind.

Wirksame Passwortrichtlinien mit Specops Password Auditor und Specops Password Policy

Ob unsichere und kompromittierte Kennwörter in Ihrem Unternehmen verwendet werden, können Sie anhand einer kleinen Stichprobe mit 1 Milliarde von kompromitierten Kennwörtern mit Hilfe des Specops Password Auditor erkennen. Dieses Werkzeug stellt Ihnen ein übersichtliches Dashboard bereit, auf dem Sie beispielsweise sehen, welche Benutzer ein bereits kompromittiertes Kennwort verwenden. Ebenfalls sichtbar: ob Mitarbeitende Kennwörter miteinander teilen, um beispielsweise Urlaubsvertretungen zu vereinfachen. Auch dies ist eine Praxis, die im Sinne der Unternehmenssicherheit abgestellt werden sollte.

In der Datenbank des Specops Password Auditor selbst stehen aus Sicherheitsgründen keine Passwörter im Klartext, sondern nur Hashes, die mit denen in Ihrem Active Directory verglichen werden.

Mit Specops Password Auditor haben Sie nun Ihren Handlungsbedarf ermittelt. Für die zukünftige Durchsetzung sicherer Kennwörter kommt Specops Password Policy ins Spiel. Die Lösung erweitert die Funktionalität von Gruppenrichtlinien in Active Directory und vereinfacht die Verwaltung von granularen Passwortrichtlinien für verschiedene Benutzergruppen und Konten. So kann etwa sichergestellt werden, dass für Kennwörter für Administrator-Accounts strengere Richtlinien gelten als für herkömmliche Nutzer-Accounts. Ebenfalls den nativen Fähigkeiten von Active Directory überlegen ist das Length-Based Password Aging in der Specops Password Policy. Hier ist ein Belohnungssystem für lange Kennwörter implementiert: Nutzer werden für die Wahl eines langen Kennwortes belohnt, indem dieses erst nach längerer Zeit als kurze Kennwörter abläuft – oder auch gar nicht.

Eine der wichtigsten Komponenten der Specops Password Policy ist zudem die Breached Password Protection, bei der ein vom Nutzer gewähltes Kennwort gegen eine Liste von etwa 4 Millionen kompromittierten Kennwörter geprüft wird. Diese Datenbank wird fortlaufend aktualisiert und die Prüfung Ihrer Kennwörter erfolgt täglich um sicherzustellen, dass Sie jederzeit vor bekannten kompromittierten Kennwörtern geschützt sind.

Steigern Sie Ihre IT-Sicherheit mit starken und geheimen Passwörtern!

Wir beraten Sie gerne dazu, wie Sie in Ihrem Unternehmen kompromittierte Kennwörter erkennen und zukünftig vermeiden. Nutzen Sie unseren Specops Password Auditor zur Überprüfung Ihres Status quo und kontaktieren Sie uns unverbindlich, um weitere Schritte für mehr Kennwortsicherheit in Ihrem Unternehmen zu besprechen.

Autorin

Christina Czeschik Dr. Christina Czeschik ist Ärztin und Medizininformatikerin und schreibt seit etwa 10 Jahren als freie Autorin über Datenschutz, Informationssicherheit und Digitalisierung im Gesundheitswesen, unter anderem für die B2B-Content-Marketing-Agentur ucm.

(Zuletzt aktualisiert am 21/11/2023)

Zurück zum Blog