Wir setzen auf unserer Webseite Cookies und andere Technologien ein, um Ihnen den vollen Funktionsumfang unseres Angebotes anzubieten. Sie können auch zu Analysezwecken gesetzt werden. Durch die weitere Nutzung unserer Webseite erklären Sie sich mit dem Einsatz von Cookies einverstanden. Weitere Informationen, auch zur Deaktivierung der Cookies, finden Sie in unserer Datenschutzerklärung.
Mehr Sicherheit und Produktivität mit Self-Service-Lösungen zum Zurücksetzen von Passwörtern.
Ob in Unternehmen, Bildungseinrichtungen oder Kommunen: Passwort-Resets sind immer ein Thema! Der Grund dafür ist, dass es noch sehr häufig geschieht, dass Benutzer den IT-Support bitten müssen, ihr Passwort zurückzusetzen. Das passiert gerne mal, wenn man aus dem Urlaub zurückkommt und das Passwort vergessen hat. Doch wie kann man diesen Prozess verbessern? Kann man die Nutzer in die Lage versetzen, ihr Passwort sicher und selbstständig zurückzusetzen? Die Antwort lautet “ja” und warum es sich auch für Ihre Organisation lohnen kann, beleuchten wir in diesem Beitrag.
Gründe dafür, den Benutzern eine Möglichkeit zu bieten, ihre Passwörter selbstständig zurückzusetzen
Sparen Sie Zeit (und Geld)
In einer Umgebung, in der der Benutzer das Passwort für sein Konto – sei es ein Active-Directory-Konto oder ein Microsoft-365-Konto – selbst zurücksetzen kann, spart das den IT-Mitarbeitern tatsächlich viel Zeit. Denn die Rechnung ist einfach: Wenn die Benutzer ihre Passwörter zurücksetzen können, gibt es weniger derartige Tickets im IT-Support oder IT-Helpdesk, was wiederum Zeit für andere Aufgaben mit höherem Mehrwert schafft.
Schätzungen zufolge kostet jedes IT-Support-Ticket ein Unternehmen zwischen 50 und 70 Euro, wobei das Zurücksetzen eines Passworts zwischen 20 % und 40 % der Tickets ausmachen kann. Durch eine Self-Service-Lösung ist also zu erwarten, das sich die Arbeitsbelastung des Helpdesks in diesem bereich verringert.
Auf der Seite der Benutzer ergibt sich die Zeiteinsparung dadurch, dass sie in der Regel auch schnell wieder Zugriff auf ihr Konto erhalten, ohne auf einen IT-Support-Mitarbeiter warten zu müssen. Tagsüber wird die Wartezeit wahrscheinlich kürzer sein als bei einem Vorfall außerhalb der Geschäftszeiten oder am Wochenende. Besteht eine Self-Service-Lösung zum Zurücksetzen des Passworts, ist der Nutzer jeden Tag und rund um die Uhr autonom.
Social Engineering – ein reales Risiko
Wie der jungste Ransomware-Angriff auf die Hotelgruppe MGM Resorts zeigt, sind Passwort-Resets über den IT-Helpdesk anfällig für Social Engineering Attacken. Social Engineering ist eine Technik, die von Cyberkriminellen eingesetzt wird, um Benutzer zu manipulieren und sie dazu zu bringen, vertrauliche Informationen preiszugeben oder Handlungen auszuführen, die zur Kompromittierung des Kontos und weitreichende Konsequenzen führen könnten. Man kann auch von psychologischer Manipulation sprechen, bei der das Vertrauen eines Nutzers missbraucht wird.
Hier geht es darum, die Wachsamkeit des Supportmitarbeiters zu täuschen, indem man sich als Nutzer ausgibt, um Zugang zu einem Konto zu erhalten. In einem Unternehmen mit mehreren Dutzend, Hunderten oder Tausenden von Nutzern, die wahrscheinlich über mehrere geografische Standorte verteilt sind, ist das Risiko groß, dass solch ein Angriff erfolgreich ist.
Bei Self-Service-Passwort-Resets mit Multi-Faktor-Verifizierung ist solch ein Angriff ungleich schwieriger – wo kein IT-Helpdesk-Mitarbeiter, da keine Chance die Hilfsbereitschaft auszunutzen.
Technische Passwort-Reset-Lösungen in einer Active-Directory-Umgebung
Active Directory gekoppelt mit Microsoft 365
Viele Unternehmen mit einem lokalen Active Directory haben auch einen Microsoft 365-Tenant. In diesem Fall wird das lokale AD-Verzeichnis mithilfe des Tools Azure AD Cloud Sync (oder Azure AD Connect) mit dem Microsoft 365-Tenant synchronisiert, um die gleichen Benutzer, Gruppen usw. zu haben. Microsoft bietet die Möglichkeit des “Self-Service Password Reset” (SSPR), dessen Verifizierungsmethoden die gleichen sein können, die Sie bereits zur on-Prem-Benutzerauthentifizierung nutzen.
Die Konfiguration erfolgt über das Microsoft Azure-Portal und in den Optionen des Synchronisierungstools. In einer Microsoft Entra ID (ehemals Azure AD)-Umgebung ist diese Funktion ebenfalls verfügbar.
Die SSPR-Lösung von Microsoft setzt voraus, dass Sie über spezielle Lizenzen für Ihre Benutzer verfügen, nämlich eine dieser Lizenzen :
- Azure AD Premium P1
- Azure AD Premium P2
- Microsoft 365 Business Premium
- Microsoft 365 E3
- Microsoft 365 E5
Wenn der Nutzer sein Passwort zurücksetzen muss, sollte er dies mit seinem Smartphone oder einem anderen Computer über das Microsoft-Portal erledigen, indem er auf der Anmeldeseite auf “Ich habe mein Passwort vergessen” klickt oder auf den Link, wenn die Meldung “Ihr Konto oder Passwort ist falsch. Wenn Sie Ihr Kennwort vergessen haben, setzen Sie es jetzt zurück” nach einer falschen Eingabe auf dem Bildschirm erscheint. Das Zurücksetzen ist nicht über die Login-Seite der Windows-Sitzung möglich.
On-Premise Active Directory und Specops uReset
Specops uReset integriert sich nahtlos in das Active Directory, sodass der Benutzer sein Passwort von seinem Computer aus über das Anmeldefenster von Windows zurücksetzen kann. Im Vergleich zu Microsofts Lösung verliert der Benutzer hierbei keine Zeit dadurch, dass er sich erst über ein weiteres Gerät im Portal anmelden muss. Besonders dann, wenn der Benutzer kein berufliches Smartphone hat, vereinfacht das Diskussionen mit Betriebsräten und die Aktzeptanz beim Endnutzer.
Im Arbeitsalltag bietet Specops uReset dem Benutzer zwei Funktionen:
- Passwort-Reset in Eigenregie von der Windows-Anmeldeoberfläche aus.
- Passwortänderung, von der Anmeldemaske von Windows aus oder sobald die Sitzung geöffnet ist.
Der zweite Aspekt ist nützlich, wenn der Benutzer ein abgelaufenes Passwort zurücksetzen muss und im Home-Office arbeitet, da er sein Passwort zurücksetzen kann, auch wenn er sich nicht mit dem VPN verbinden kann (wegen des ausstehenden Passworts, das gerade aktualisiert wird).
In der Enrollment-Phase muss jeder Nutzer seine Anmeldung bei Specops uReset durchführen. Während dieser Phase kann er dann auch die Authentifizierungsfaktoren konfigurieren (SMS-Code, E-Mail, Yubikey, Microsoft Authenticator, Google Authenticator, FreeOTP, biometrische Authentifizierung, geheime Fragen, Cisco Duo, usw.). Den einzelnen Faktoren ist ein Sternesystem zugeordnet, wodurch eine Faktor im Vergleich zu einer anderen stärker gewichtet werden kann. Welche Faktoren zugelassen werden kann der Admin entsprechend einstellen.
Wenn ein Benutzer dann sein Passwort zurücksetzen möchte, muss er seine Identität mithilfe mehrerer Authentifizierungsmethoden überprüfen, um ausreichend Sterne zu erhalten. So beweist er, dass er tatsächlich der Initiator der Reset-Anfrage ist.
Sollten Organisationen auch eine Verifizierung der Benutzer des IT-Supports wünschen, kann Specops Secure Service Desk ein wertvolles Tool sein. Damit können Benutzer sicherer authentifiziert werden, indem sie aufgefordert werden, ihre Identität anhand vordefinierten Authentifizierungsmethode zu bestätigen. Diese Funktion hilft dabei, Identitätsdiebstahl zu bekämpfen und sich noch besser vor Social Engineering zu schützen.
Specops uReset wird lokal auf Ihrer eigenen Infrastruktur installiert (über einen sogenannten Gatekeeper-Server) und steht in direkter Verbindung mit den Identitätsdiensten. Allerdings, und das ist ein wichtiger Hinweis, werden alle Informationen im Zusammenhang mit der Benutzerregistrierung im Active Directory gespeichert. Die Anwendung fügt ihre eigenen Attribute in das Active Directory ein, um die Werte sicher zu speichern. Die Daten werden nicht in der Cloud gespeichert, da diese nur als Relais dient.
Auf der Seite des Benutzerarbeitsplatzes muss ein Agent bereitgestellt werden. Dessen Bereitstellung erfolgt über eine Gruppenrichtlinie.
Fazit
Eine Self-Service-Lösung zum Zurücksetzen von Passwörtern bietet den Mitarbeitern Ihrer Organisation – sowohl den Endanwendern als auch den Mitarbeitern des IT-Helpdesks – eine echte Produktivitätssteigerung. Gerne beraten unsere Experten Sie.
(Zuletzt aktualisiert am 04/10/2023)