Organisation: East Ayrshire Council
Land: Schottland
Branche: Öffentlicher Sektor
Ziel: Durchsetzung stärkerer Passwörter mittels einer individuell angepassten Wörterbuchliste.
Ergebnis: Stärkere Passwort-Richtlinien, die auf verschiedene Rollen in der Organisation zugeschnitten sind, ohne die Nutzererfahrung zu beeinträchtigen.
Lösung: Specops Password Policy
Im Jahr 2017 führte East Ayrshire Council eine Prüfung durch, die den Einsatz schwacher Passwörter bei seinen 6.000 Mitarbeitenden aufdeckte. Um gängige und unsichere Passwörter zu blockieren, implementierte das Unternehmen Specops Password Policy, um stärkere Passwörter durchzusetzen und eine individuelle Wörterbuchliste für Passwörter anzulegen.
In allen schottischen Kommunalverwaltungen wird jährlich eine externe Prüfung durchgeführt. Die Prüfung von 2017 bei East Ayrshire Council zeigte, dass viele Nutzer gängige Passwörter wie Password1, Initial1 und Summer17 verwendeten. Außerdem wurden leicht zu erratende Passwörter gewählt, die Namen lokaler Fußballvereine enthielten (Kilmarnock, Celtic, Rangers etc.). Aufgrund der kurzen Passwortablauffrist von 45 Tagen griffen die Nutzer sogar darauf zurück, am Ende ihres Passworts eine Zahl anzufügen, um es aktualisieren zu können.
„Wir hatten ein Problem mit schwachen Passwörtern, und die Einstellungen der Active Directory-Passwortrichtlinie erlaubten es uns nicht, gängige Wörter zu sperren“, erklärt Ian Aston, ICT Security Manager bei East Ayrshire Council. „Wir kannten Specops Software bereits und haben schnell eine Demo eingerichtet, um die Specops Password Policy zu evaluieren.“
Neben dem Blockieren von Passwörtern mit hoher Wahrscheinlichkeit wollte der Kunde eine Passwortablauf-Funktion nutzen, ohne dadurch die Wiederverwendung oder inkrementelle Passwörter zu fördern. Die Unterstützung von Passphrasen wurde als wünschenswerte Funktion in der Passwort-Policy-Software angesehen. Specops Password Policy erfüllte alle Anforderungen und wurde zeitnah implementiert.
East Ayrshire Council erstellte eine individuelle Liste gesperrter Passwörter, die sowohl die am häufigsten genutzten als auch die in der Prüfung als schwach identifizierten Passwörter enthielt. Durch die Integration dieser Liste konnte verhindert werden, dass diese Passwörter bei der Erstellung eines neuen Passworts verwendet werden. Zudem nutzten sie die Funktion von Specops Password Policy, um inkrementelle Passwörter zu unterbinden.
Die Umsetzung erfolgte über einen Zeitraum von acht Wochen, beginnend mit dem IT-Personal, bevor die neue Password Policy für alle Nutzer freigeschaltet wurde. Um die Mitarbeitenden auf die neue Passwort-Richtlinie vorzubereiten, versendeten Ian und sein Team eine E-Mail mit einer Erklärung der neuen Regelungen sowie Screenshots der Fehlermeldungen, die angezeigt werden, wenn ein Nutzer ein Passwort aus der individuellen Wörterbuchliste auswählt.
„Wir haben den Authentication Client auf all unseren Endgeräten installiert, damit unsere Nutzer entsprechende Meldungen erhalten, falls sie kein starkes Passwort wählen“, erklärt Ian. „Diese Funktion ist sehr hilfreich und hat den Implementierungsprozess reibungslos gestaltet. Wir bekamen nur wenige Anrufe beim Helpdesk mit Rückfragen.“
Die einzige Beschwerde kam von Nutzern, die zuvor fortlaufende Zahlen an ihre Passwörter angehängt hatten, eine unsichere Praxis, die es zu untergraben galt. Die Nutzer im Unternehmen setzen sich aus verschiedenen Berufsgruppen zusammen – von Mitarbeitenden im Support mit Bürotätigkeiten bis hin zu Sozialarbeitern und anderen Außendienstmitarbeitern. Specops Password Policy ermöglicht es, unterschiedliche Passwort-Richtlinien für verschiedene Rollen innerhalb einer Organisation zu definieren.
Da die Nutzer sich zunehmend der Bedeutung von Passwortsicherheit bewusst werden, plant Ian, die Verwendung von Passphrasen durchzusetzen. Diese längeren Passwörter bieten einen besseren Schutz gegen Brute-Force-Angriffe. Außerdem möchte Ian die Ablaufzeit verlängern, damit die Nutzer ihre Passphrasen nicht so häufig zurücksetzen müssen.
Für die Einführung der Passphrasen plant das Unternehmen eine umfassende Nutzerkommunikation, bestehend aus Sicherheitsschulungen für Endanwender, E-Mails und Desktop-Benachrichtigungen. Die Schulungen laufen bereits und sollen den Nutzern dabei helfen, sichere Passphrasen zu erstellen, die leicht zu merken, aber schwer zu knacken sind.
East Ayrshire Council prüft derzeit zudem weitere Produkte von Specops Software, um auch das Erlebnis beim selbstständigen Zurücksetzen von Passwörtern zu verbessern.
