Flexible Security for Your Peace of Mind

NEU: MFA für Windows-Anmeldungen, RDP oder VPN mit Specops Secure Access

Wir freuen uns über die Einführung von Specops Secure Access: Multi-Faktor-Authentifizierung (MFA) für Windows-Anmeldungen, RDP und VPN – eine leistungsstarke neue Möglichkeit, den Authentifizierungsprozess Ihres Unternehmens mit einem zusätzlichen Faktor noch besser zu sichern. Durch die Implementierung von MFA an wichtigen Zugriffspunkten hilft Specops Secure Access Ihrem Unternehmen dabei, sich vor unbefugtem Zugriff und Passwordangriffen in Windows-Netzwerkinfrastrukturen zu schützen. Sie können nun sowohl das Passwort als auch den Authentifizierungsprozess schützen und so sicherstellen, dass unerlaubter Zugriff komplett blockiert wird, auch dann, wenn ein Passwort kompromittiert ist.

„Da die meisten kompromittierten Konten keine MFA verwenden, wissen wir, dass ein Passwortschutz alleine nicht ausreicht, um den Netzwerkzugang zu sichern” so Darren James, Senior Product Manager bei Specops Software. „Wir freuen uns, heute ein Angebot vorstellen zu dürfen, das unser bestehendes Angebot für den Passwortschutz um etwas erweitert, worauf unsere Kunden gewartet haben – MFA für Windows-Anmeldungen, RDP und VPN, mit Specops Secure Access.”

Weiter zur Funktionsweise

Active Directory-Passwörter zu schützen ist wesentlich, das alleine reicht aber nicht aus.

Wir befürworten schon seit langem, Active Directory-Passwörter vor Angriffen zu schützen. Mit Specops Password Policy können Sie schwache Passwörter blockieren und kontinuierlich Ihr Active Directory mit unserer Datenbank mit über 4 Milliarden einzigartigen kompromittierten Passwörter abgleichen.

Passwortschutz alleine reicht jedoch nicht aus. Keine einzelne Schutzschicht ist unangreifbar. Es ist wichtig, kontinuierlich schwache und bekannte kompromittierte Passwörter zu blockieren. Trotzdem kann kein Passwortschutz davor schützen, dass das Passwort beim Auftreten einer neuen Sicherheitslücke gestohlen wird. Jede einzelne Schicht Ihres Sicherheitsansatzes kann anfällig sein, deshalb gibt es so viele Compliance-Standards, die zusätzliche Faktoren in Form von MFA fordern:

  • Das National Institute of Standards and Technology (NIST) erfordert MFA für AAL2/3 und Zugang zu allen personenbezogenen Informationen in NIST SP 800-63B.
  • Payment Card Industry Data Security Standard (PCI DSS) erhöhte die MFA-Anforderungen mit PCI DSS 4.0 und erfordert MFA für jeden Zugang (nicht nur Admin) auf die Umgebung mit Karteninhaberdaten.
  • Cyber Essentials erfordert, dass Unternehmen für jeden Benutzerzugang in V3.1 MFA implementieren.

Angesichts der aktuellen Situation bei Passwortangriffen sind diese regulatorischen Anforderungen und Empfehlungen sinnvoll. Microsoft foundMicrosoft musste feststellen, dass 1.287 Passwortangriffe pro Sekunde (mehr als 11 Millionen pro Tag) stattfinden. Angriffe mit Wiederverwendung eines bekannten kompromittierten Passworts (ein „Replay-Angriff”, wie Microsoft es nennt) sind im Jahr 2022 auf 5,8 Milliarden pro Monat angestiegen.

Icon Timelock
Sichern Sie Ihren Active Directory Zugriff mit MFA für Windows Login, VPN & RDP
Mehr Info

Die Passwort-Wiederverwendung und das Verwenden schwacher Passwörter erhöhen die Fälle komprimittierter Passwörter beim Auftreten einer neuen Sicherheitslücken

Ein Großteil des Passwortrisikos wird durch Benutzerverhalten verursacht, das die Sicherheitsbemühungen eines Unternehmens untergräbt. Die Wiederverwendung desselben Passwortes ist hierfür ein hervorragendes Beispiel. Ein Unternehmen kann eine Password Policy einführen, durch die Endbenutzer lange, starke Passwörter erstellen müssen. Verwenden die Endbenutzer diese Passwörter jedoch auf persönlichen Geräten, Anwendungen, Webseiten mit einer schwachen Sicherheit, laufen sie Gefahr, dass auch dieses starke Passwort kompromittiert werden kann. Hacker können kompromittierte Passwörter auf Personen zurückführen und verwenden diese kompromittierten Benutzerdaten dann als Angriffsrouten in Unternehmensumgebungen. 

Endbenutzer verursachen dieses Risiko natürlich nicht absichtlich. Sie müssen sich dank der Explosion von SaaS-Apps an mehr Passwörter denn je erinnern und suchen somit natürlich nach Wegen, ihre Aufgaben einfacher und schneller zu erledigen. Eine Bitwarden-Umfrage von 2023 ergab, dass 84 % der Endbenutzer mit mehr als 10 Passwörtern zugegeben haben, dass sie ihre Passwörter wiederverwenden. Dieselbe Studie ergab, dass 26 % der Befragten seit über einem Jahrzehnt dasselbe Passwort verwenden.

Für Unternehmen, die den Ansatz verfolgen, dass Active Directory-Passwörter „niemals ablaufen” ist das Risiko, Passwörter wiederzuverwenden, sogar noch höher. Die meisten Prüfungen auf kompromittierte Passwörter auf dem Markt wie Azure AD (Entra ID) Password Protection, erfordern das Ändern oder Zurücksetzen eines Passworts. Werden diese nicht geändert oder zurückgesetzt, wird das Risiko durch die Wiederbenutzung von Passwörtern nicht überprüft.  

Infographic zeigt Anstieg von SaaS Apps per Organisation - 16fach seit 2015
Source: BetterCloud, 2023

Wie versuchen Unternehmen risikoreiche Passwörter zu verhindern? 

Es ist nicht neu, dass Endbenutzer Risiken hervorrufen. Unternehmen haben einige Strategien zur Verfügung, um das Risiko der Passwort-Wiederverwendung und andere risikoreiche Verhaltensweisen zu stoppen, aber diese weisen wesentliche Sicherheitslücken auf, wenn sie alleine verwendet werden:

  • Schulung der Benutzer zu einem besseren Passwort-Verhalten. Es ist immer Zeit für eine Sicherheits- und Bewusstseinsschulung, aber diese werden nie ausreichen, um  zu verhindern, dass Menschen sich riskant verhalten. Eine LastPass-Studie ergab, dass von den Personen, die eine Schulung zur Cybersicherheit absolviert haben, nur 31 % aufhörten, Passwörter wiederzuverwenden.
  • Abschaffung von Passwörtern: Das klingt angesichts der mit Passwörtern verbundenen Probleme nach einer verlockenden Lösung. Aber Passwörter vollständig abzuschaffen ist für ein durchschnittliches Unternehmen nicht realistisch. Und selbst wenn Sie es schaffen, auf allen Ihren Anwendungen mit passwortloser Technologie zu arbeiten, wird als Rückfalloption für diese Technologien tendenziell stets doch wieder auf das bescheidene Passwort zurückgegriffen. 
  • Prüfung auf kompromittierte Passwörter: Es ist ein wichtiger Schritt, bekannte kompromittierte Passwörter in Ihrem Active Directory zu finden. Dies lässt Hackern aber dennoch Möglichkeiten weiter offen. Selbst der stärkste Passwortschutz schützt nicht vor einem „Zero-Day-Angriff” (oder unangemessenem Benutzerverhalten, wenn Benutzer zum Beispiel ihre Passwörter auf Notizen in der Nähe des Gerätes vermerken). Und wenn Unternehmen kompromittierte Passwörter nur beim Zurücksetzen oder Ändern eines Passwortes überprüfen können, ist der Spielraum für Hacker hier noch größer.
  • Bloßes Hinzufügen von MFA zu Cloud-Apps: Das kann ein bestimmtes Risikoniveau mindern, hinterlässt aber erneut Sicherheitslücken. Das Risiko eines gestohlenen Gerätes oder von Insider-Bedrohungen wird hier nicht berücksichtigt. Worauf hat zum Beispiel ein Angreifer Zugriff, wenn er den gestohlenen Laptop eines Endbenutzers öffnet, der nicht über MFA verfügt? Zugang zu lokalen Dateien oder zu seinem Outlook? In diesem Fall könnten schwerwiegende Schäden entstehen.

Was sollte man also stattdessen tun? Das Passwort und den Anmeldeprozess schützen

Die Antwort darauf, wie man gegen die kontinuierliche Bedrohung der Passwort-Wiederverwendung oder anderer riskanter Verhaltensweisen vorgehen kann, ist, das Active Directory-Passwort mit Sicherheitsebenen zu schützen. Zunächst sollten Sie Ihr Active Directory stets auf eine häufig aktualisierte kompromittierte Passwortdatenbank überprüfen und zweitens MFA zum Active Directory-Passwort hinzufügen. Diese Sicherheitsfaktoren haben gewisse Vorteile, wenn sie alleine verwendet werden, sind jedoch stärker, wenn sie sich gegenseitig ergänzen. 

So funktioniert MFA für Windows-Anmeldungen, RDP oder VPN mit Specops Secure Access

Einige Unternehmen haben das Gefühl, dass MFA für Endbenutzer zu umständlich ist. Die aktuelle Situation der Passwortsicherheit bedeutet jedoch, dass wir die Verstärkung von Abwehrmaßnahmen vor Passwort-Angriffen zu einer Priorität machen müssen. Microsoft stellte fest, dass 99,9 % der kompromittierten Konten MFA nicht aktiviert hatten, was zeigt, dass MFA wirklich keine Verhandlungssache sein sollte.

Specops Secure Access bietet MFA mit einer einfachen, benutzerfreundlichen Benutzerschnittstelle an den drei Stellen, an denen Active Directory-Passwörter verwendet werden. Dank flexibler MFA-Optionen, darunter ein Offlinemodus, ermöglicht Secure Access Unternehmen die sichere Authentifizierung ihrer Benutzer bei der Anmeldung über RDP und/oder VPN, unabhängig von der Netzwerkverbindung.

MFA bei der Windows-Anmeldung

Bei installiertem und für Secure Access konfiguriertem Specops Client müssen sich die Benutzer mit einem zweiten Faktor identifizieren, sobald sie ihren Windows-Benutzernamen und ihr Passwort auf dem Windows-Anmeldebildschirm eingegeben haben. Nach Abschluss dieser zweiten Authentifizierung wird der Endbenutzer wie gewohnt angemeldet.

Specops Secure Access Product Screenshot mit Anmeldemöglichkeiten
Authentifizierungsmethoden von Specops Secure Access

MFA für RDP oder VPN

Organisationen mit Benutzern, die remote über ein VPN oder über ein Remote Desktop Gateway (RDGW) auf das Netzwerk zugreifen, können ihre Benutzer schützen, indem sie eine zweite Authentifizierungsstufe für diese Logins hinzufügen. Mittels RADIUS kann der VPN-Server oder das Remote Desktop Gateway so konfiguriert werden, dass er Microsoft NPS (Network Policy Server) mit installiertem und konfiguriertem Specops NPS Companion aufruft und damit die Nutzung von Secure Access ermöglicht.

Try Secure Access today

Sie möchten wissen, wie Specops Secure Access eine Lösung für Ihr Unternehmen sein könnte? Sie haben Fragen, wie Sie es auf Ihre Bedürfnisse anpassen können? Kontaktieren Sie uns.

Fingerabdruck Authentifizierung in SSA
Ein Endbenutzer erhält eine Aufforderung zur Authentifizierung für VPN oder RDGW über die Specops:ID Mobile App

(Zuletzt aktualisiert am 04/03/2025)

Zurück zum Blog

Related Articles

  • [Neue Analyse] Sind die Passwörter für Ihre VPNs sicher?

    Wir haben 2 Millionen gestohlene Passwörter für VPN-Dienste analysiert. Welcher VPN-Anbieter führt die Liste an und was bedeutet das für Unternehmen? Erfahren Sie mehr

    Read More
  • Die meistgenutzten Passwörter bei Angriffen auf Terminal Server

    Die Anzahl der kompromittierten Kennwörter aus Angriffen und Leaks, die in Specops Breached Password Protection gespeichert sind, übersteigt nun die Schwelle von 3 Milliarden. Heute veröffentlicht das Specops Security Research Team seine Analyseergebnisse, welche Passwörter bei gegenwärtigen Angriffen speziell auf Terminal Server verwendet werden. Diese Analyse fällt zeitlich mit der neuesten Aktualisierung der Specops Breached…

    Read More
  • [Neue Analyse] Schützen längere Passwörter besser vor Cyberangriffen?

    Die Specops Breached Password Protection Database übersteigt nun mehr als 4 Milliarden einzigartige kompromittierte Passwörter. Wir teilen einige neue Erkenntnisse des Specops-Expertenteams über die Länge von Passwörtern und wie sie von Angreifern immer noch umgangen werden können.

    Read More

© 2025 Specops Software. All rights reserved.

Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.

Zur Datenschutzerklärung

OK