Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Passwort wurde bei einem Datenleck gefunden: Was tun?
Angenommen, der IT-Systemadministrator will sich einen Überblick über die Passwortstärke im Unternehmen verschaffen.
Mit dem kostenlosen Specops Password Auditor analysiert er das Active Directory, in dem alle Firmenpasswörter gespeichert sind. Dabei stellt sich heraus, dass 25% aller Kennwörter entweder unsicher oder bereits kompromittiert sind.
Da stellen sich dem IT-Verantwortlichen zwei dringende Fragen.
- Wie konnte es dazu kommen, dass Passwörter nach außen gelangt sind?
- Welche Handlungsmöglichkeiten stehen zur Auswahl, um wieder eine maximale Passwortsicherheit im Unternehmen zu erreichen?
Beide Fragen beantwortet dieser Artikel.
Vorerst soll geklärt, wie man ein Datenleck definiert und wie es entsteht.
Was ist ein Datenleck?
“Eine Datenpanne oder ein Datenleck ist ein Vorfall, bei dem Unberechtigte Zugriff auf eine Datensammlung erhalten.”
Dabei gelangen Unbefugte in den Besitz von:
- Zugangsdaten, wie Benutzernamen und Passwörtern
- Persönlichen Daten, wie Namen, Adresse, E-Mail, Bezahlinformationen und vieles mehr
- Vertraulichen betrieblichen Informationen
Die meisten digitalen Raubzüge gehen auf das Konto von Hackern.
Vor allem ungenügend gesicherte Datenbanken sind eine bevorzugte Einfallstelle für Cyberangriffe.
Teilweise verschulden Unternehmen bzw. deren Mitarbeiter die Datenlecks selbst, z. B. durch Unachtsamkeit, Versehen, Revanche oder ungenügende Sicherheitsmechanismen.
Eine weitergeleitete E-Mail mit einem falschen Adressaten kann schon ausreichen.
Wie kommt es zu Datenpannen?
Datenpannen sind ein Resultat von Cyberangriffen oder menschlichem Versagen.
Cyberattacken
Sie bedienen sich spezieller Schadsoftware (Virus, Trojaner, usw.), Ransomware, Passwort-Cracking und anderer Methoden, mehr dazu können Sie in unserem Artikel über die Arten von Cyberangriffen nachlesen.
Für diesen Artikel besonders relevant ist das sogenannte Credential Stuffing (Credentials, engl. für Zugangsdaten, wie Benutzername und Passwort).
Dabei benutzen die Angreifer bereits entwendete Kennwörter und versuchen, damit Zugang zu anderen Konten und Onlinediensten zu erlangen.
Diese Angriffsmethode hat nur deshalb Aussicht auf Erfolg, weil Mitarbeiter die selben Zugangsdaten für verschiedene betriebliche als auch private Konten benutzen.
Werden bereits bekannte Passwörter im Firmennetzwerk genutzt, können Angreifer sowohl auf bestehende als auch auf bisher noch nicht betroffene Konten zugreifen.
Eine schnelle Zurücksetzung der betroffenen Passwörter hat für die Systemadministratoren höchste Priorität.
Social Engineering
Hier werden Personen manipuliert und getäuscht, damit sie Zugangsdaten unter falschen Vorwänden herauszugeben.
Das Phishing nutzt die Gutgläubigkeit und Nachlässigkeit von den Anwendern aus.
Z. B. versenden Kriminelle glaubwürdig erscheinende E-Mails, um an persönliche Informationen oder Zugangsdaten zu gelangen.
Die Schwachstelle Mensch ist ein einfaches und oft nicht gleich zu entdeckendes Einfallstor zu sensiblen Daten.
Wie auch immer es zu einer Datenpanne kommt, die Folgen können für das Unternehmen als auch für die betroffenen Personen enorm sein.
Warum können Datenlecks für Sie gefährlich werden?
Wenn der Verlust von vertraulichen, persönlichen oder betrieblichen Daten auf kriminelle Energie trifft, entsteht erheblicher Schaden.
Negative Konsequenzen müssen nicht immer sofort offensichtlich sein. Sie können auch erst nach einem längeren Zeitraum ersichtlich werden.
Das trifft vor allem zu, wenn der Datenklau nicht gleich bemerkt wird und im Hintergrund weiterläuft.
Die negativen Folgen können persönlicher und wirtschaftlicher Natur sein.
Persönliche Konsequenzen
Wenn Kriminelle die E-Mail-Adresse erbeuten und massenweise nervige Werbung schicken, ist man noch glimpflich davongekommen.
Im schlimmsten Fall können die privaten Daten auch zu Erpressungsversuchen, Identitätsklau und Verleumdung verwendet werden. Das führt oft zu finanziellen und emotionalen Schäden und Belastungen.
Für die IT-Verantwortlichen in betroffenen Unternehmen kann eine Datenpanne auch rechtliche Konsequenzen haben. Werden ihnen grobe und fahrlässige Verstöße gegen den Datenschutz nachgewiesen, kann das mit empfindlichen Bußgeldern enden.
Wirtschaftliche Schäden für das Unternehmen
Ein zu einfach gewähltes oder doppelt vergebenes Passwort kann sich verheerend auf das Betriebsergebnis und die Reputation eines Unternehmens auswirken.
Ein Datenleck zieht meistens unkalkulierbare Unterbrechungen des IT-Systems nach sich. Das wiederum beeinträchtigt die betrieblichen Abläufe und es kommt zu Produktionsausfällen.
Je nach Schwere der Datenpanne schmälern jegliche Ausfälle das Leistungsvermögen und damit das Betriebsergebnis der Firma.
Finanzielle Schäden können sich aber auch aus einem Imageschaden ergeben. Laufen einem Unternehmen die Kunden aufgrund einer Datenpanne weg, führt das zu weniger Aufträgen, weniger Umsatz und im schlimmsten Fall zu einer existenziellen Bedrohung.
Das zu reparieren dauert länger, als nur das Datenleck zu stopfen.
Passwörter im Datenleck offengelegt: Was tun?
Sind die Passwörter erst einmal Unbefugten in die Hände gefallen, heißt es schnell handeln.
Was sind jetzt die nächsten Schritte?
Als Erstes gilt es, eine Schadensanalyse zu machen.
Wo ist das Passwortleck, wie konnte es dazu kommen und wie lässt es sich schnellstmöglich beheben?
Der Analysebericht von Specops Password Auditor zeigt genau, welche Konten bereits kompromittierte Kennwörter verwenden und welche unzureichend geschützt sind.
Sind diese akuten Probleme angegangen, geht es darum, eine solche Situation in Zukunft zu verhindern. Das können die IT-Verantwortlichen auf zwei Wegen angehen.
Mit Specops Password Policy starke Passwort-Richtlinien einsetzen
Da ist zum einen die kompetente Schulung und eindringliche Sensibilisierung aller Mitarbeiter für eine stringente Passwortsicherheit im Unternehmen.
Da das allein nicht reicht, sollte zum anderen ein leistungsstarker Passwortfilter eingesetzt werden.
Zwar haben alle Betroffenen im obigen Beispiel ihre schwachen und kompromittierten Passwörter sofort geändert, aber ob diese qualitativ besser, sicherer oder wirklich neu sind, kann der Systemadministrator eventuell nicht genau sagen.
Hier wird ein resoluter und einfach zu handhabender Passwortfilter wie Specops Password Policy benötigt.
Diese Software geht weit über eine reine Durchsetzung von Passwort-Richtlinien hinaus.
- Sie setzt strenge und moderne Passwort-Richtlinien im gesamten Unternehmen um.
- Password Policy erzwingt starke Passphrasen / Passwörter und blockiert gleichzeitig schwache und bereits kompromittierte Kennwörter. Damit wird eine gleichbleibend hohe Passwortsicherheit im Unternehmen hergestellt.
- Das Programm gleicht neue Zugangsdaten laufend mit einer Liste von Millionen bereits bekannter Passwörter ab. So können die Mitarbeiter nicht einmal zufällig kompromittierte Passwörter anlegen.
- Die Nutzer werden laufend über die Qualität und Laufzeit ihrer Kennwörter informiert. Das reduziert “Passwortfrustration” und unnötige Anfragen an das Helpdesk-Team.
Ein effektiv gesichertes IT-System benötigt die aktive Mitwirkung aller Beschäftigter und ein leistungsfähiges Programm, das sowohl die Nutzer als auch die Systemadministratoren effektiv unterstützt.
Fazit: Passwort-Management mit Specopssoft auf ein neues Level heben
In der Einleitung musste der Systemadministrator ein Passwortleck mit 25% angreifbaren Zugangsdaten stopfen.
Um Datenverluste, wirtschaftliche und persönliche Schäden zu vermeiden, sollte es in keiner Organisation so eklatante Sicherheitsmängel geben.
IT-Manager und Systemadministratoren bekommen mit dem kostenlosen Password Auditor und der leistungsfähigen Password Policy zwei perfekt abgestimmte Specops-Programme, um eine größtmögliche Passwortsicherheit im Unternehmen zu gewährleisten.
Daten und Informationen mögen virtuell, nicht greifbar sein – die Schäden, die aus ihrem Verlust resultieren, sind leider nur zu real.
IT-Manager und Interessierte finden auf der Specops-Webseite weiterführende Informationen oder können gleich einen Termin für eine Demo vereinbaren.
(Zuletzt aktualisiert am 03/11/2022)