Organisation: NHS
Land: Vereinigtes Königreich
Branche: Gesundheitswesen
Ziel: Passwörter stärken, die Service-Desk-Last reduzieren, sichere Authentifizierung gewährleisten und Compliance-Anforderungen erfüllen
Ergebnis: Erkennung von Passwort-Schwachstellen, Schutz vor kompromittierten Passwörtern, durchgesetzte Passwort-Richtlinien und Self-Service-Passwortzurücksetzung (SSPR)
Lösung: Specops Password Policy, Breached Password Protection, Password Auditor, Secure Service Desk
NHS Digital beschreibt im Rahmen der Keep I.T Confidential-Kampagne zentrale Cybersecurity-Bedrohungen als Risiken für den NHS und Patientendaten. Dazu zählen schwache Passwörter, Phishing, Tailgating, ungesperrte Bildschirme und Social Engineering. Ziel der Kampagne ist es, durch gezielte Sensibilisierung der Nutzer das Risiko zu reduzieren. In einigen dieser kritischen Bereiche setzen NHS Trusts zudem technische Kontrollmechanismen ein, um die Risiken weiter zu minimieren und Richtlinien dort durchzusetzen, wo es notwendig ist.
Specops Software arbeitet seit 2006 erfolgreich mit dem NHS zusammen und liefert Lösungen für Passwortsicherheit und Authentifizierung. Dadurch schützt Specops NHS- und Patientendaten, entlastet Service-Desks und unterstützt die Einhaltung regulatorischer Vorgaben.
Passwörter im NHS stärken
Starke Passwörter haben im NHS oberste Priorität. Über 80 % der Sicherheitsverletzungen beruhen auf Brute-Force-Angriffen oder verlorenen bzw. gestohlenen Zugangsdaten. Da bekannt ist, dass Nutzer ein Passwort im Durchschnitt bis zu 14-mal wiederverwenden, ist es entscheidend für den Schutz von NHS- und Patientendaten, dass keine schwachen, mehrfach genutzten oder geleakten Passwörter verwendet werden.
Specops Password Policy und Breached Password Protection werden von NHS Trusts breit eingesetzt, um dieses Problem zu lösen und gleichzeitig die Anforderungen der Cyber Essentials Plus-Zertifizierung zu erfüllen. Die Lösungen vereinfachen das Management von fein abgestimmten Passwort-Richtlinien, einschließlich Passwortkomplexität, benutzerdefinierten Wörterbüchern und Passphrasen-Einstellungen. Zudem bietet Breached Password Protection einen Service, der Nutzerpasswörter gegen eine regelmäßig aktualisierte Datenbank mit über 2,5 Milliarden geleakten Passwörtern überprüft.
“Specops Password Policy is easy to get up and running and works as promised… We were supported throughout the proof of concept process and I would gladly recommend the solution„Specops Password Policy ist einfach einzuführen und funktioniert wie versprochen… Wir wurden während des gesamten Proof-of-Concept-Prozesses unterstützt und ich würde die Lösung jedem empfehlen, der seine Passwortsicherheit verbessern möchte.“ to anyone wanting to improve their password security.”
Andre de Araujo, Head of ICT – NHS Foundation Trust
Mehr erfahren: Wie dieser NHS Trust schwache Passwörter für Cyber Essentials eliminiert hat.
Neben Cyber Essentials und Cyber Essentials Plus erfüllt Specops Password Policy auch die Passwortanforderungen des selbstzertifizierten NHS Data Security & Protection Toolkit (DSPT). Damit ermöglicht die Lösung die Durchsetzung von Passwort-Richtlinien, die folgende Kriterien abdecken:
- Verhinderung der Erstellung offensichtlicher Passwörter (z. B. basierend auf leicht zugänglichen Informationen) durch benutzerdefinierte Wörterbücher
- Technische Kontrolle zur Vermeidung von gängigen und kompromittierten Passwörtern
- Verhinderung und Erkennung von Passwortwiederverwendung
Remote-Arbeit und Entlastung des Service-Desks
Als größter Arbeitgeber im Vereinigten Königreich mit einer komplexen IT-Infrastruktur stand der NHS vor der großen Herausforderung, Mitarbeitenden den Übergang zur Remote-Arbeit zu ermöglichen – und gleichzeitig den Zugriff auf kritische klinische Daten und Dienste sicherzustellen sowie den laufenden Betrieb möglichst wenig zu stören.
Remote-Arbeit belastet IT-Support und Service-Desks stark. Besonders belastend und risikobehaftet sind abgelaufene Passwörter und gesperrte Benutzerkonten. Jeder dieser Support-Fälle verursacht Kosten, die sich jedoch durch die Einführung von Self-Service-Passwortzurücksetzungen (SSPR) in NHS Trusts deutlich reduzieren lassen.
Specops Software’s Self-Service-Passwortzurücksetzung mit Specops uReset Die Self-Service-Passwortzurücksetzungslösung Specops uReset ermöglicht es NHS Trusts, Passwortänderungen und Kontosperrungen effektiv zu bewältigen. Gleichzeitig erhalten Nutzer klare Rückmeldungen zur Passwort-Richtlinie, einschließlich Hinweisen bei fehlgeschlagenen Passwortänderungen aufgrund der Verwendung kompromittierter Passwörter. Die Lösung bietet sichere Self-Service-Passwortzurücksetzungen mit verschiedenen Multi-Faktor-Authentifizierungsverfahren (MFA) sowie die automatische Aktualisierung lokal zwischengespeicherter Zugangsdaten.
Zusätzlichen Mehrwert für IT-Administratoren schafft Specops Password Notification, das über eine grafische Benutzeroberfläche konfiguriert wird. Es sendet automatisierte, individuell anpassbare E-Mail-Benachrichtigungen, die Nutzer an bevorstehende Passwortabläufe erinnern – ganz ohne den Einsatz von Skripten. So werden Kontosperrungen aufgrund abgelaufener Passwörter weiter minimiert.
Social engineering und der Service-Desk
Social Engineering nimmt weiterhin zu und ist eine häufig eingesetzte Methode gegen stark ausgelastete Service-Desks. Dabei handelt es sich um eine Technik, mit der Hacker Nutzer manipulieren, persönliche oder vertrauliche Informationen preiszugeben – etwa Patientendaten, Gesundheitsakten oder Details zu IT-Systemen.
Anhand der erlangten Informationen fordert der Angreifer eine Passwortzurücksetzung an, besteht die Identitätsprüfung und erhält so ein neues Passwort seiner Wahl. Damit erhält er einfachen Zugang zum Netzwerk, ohne das Passwort tatsächlich knacken zu müssen.
Specops Secure Service Desk wurde entwickelt, um diese Angriffsmethode zu verhindern und die Anfälligkeit für Social Engineering zu reduzieren. Die Lösung ermöglicht Trusts die Durchsetzung einer sicheren Nutzerverifizierung mittels Multi-Faktor-Authentifizierung und stärkt so die gesamte IT-Sicherheitsinfrastruktur.
Nächste Schritte für die Cybersecurity bei NHS Trusts
Unsere Empfehlung an NHS Trusts, die ihre Cybersecurity verbessern möchten: Stellen Sie sicher, dass Sie Vertrauen in Ihre erste Verteidigungslinie haben – nämlich Ihre Nutzer und deren Passwörter.
Beginnen Sie mit einer Situationsanalyse und führen Sie ein Passwort-Audit durch, um passwortbezogene Schwachstellen aufzudecken. Specops Password Auditor wurde speziell entwickelt, um verschiedene Sicherheitslücken zu identifizieren und innerhalb weniger Minuten exportierbare Berichte zu erstellen.
