Die Gemeinde Sorø erfüllt die Compliance zu 100 %

Neue Vorschriften & Passwortdruck

Wie viele Organisationen verlässt sich die Gemeinde Sorø auf Passwörter als primäre Verteidigungslinie. Für ihr fünfköpfiges IT-Team war die Aufrechterhaltung der Cybersicherheit zunehmend schwieriger geworden, insbesondere angesichts der weit verbreiteten Angewohnheit der Benutzer, Passwörter wiederzuverwenden, die oft dieselben Anmeldeinformationen sowohl für private als auch für berufliche Systeme nutzen.

Im Jahr 2024 kam weiterer Druck hinzu, als ein neues dänisches Mandat eingeführt wurde, das alle Gemeinden dazu verpflichtete, aktiv nach kompromittierten Anmeldeinformationen zu suchen. Dies war eine Herausforderung für ein bereits überlastetes IT-Betriebsteam, das für die End-to-End-Verwaltung der gesamten Infrastruktur und des Sicherheits-Stacks verantwortlich ist.

Emil ist seit 18 Jahren IT-Betriebsleiter in Sorø. Er erklärte, dass eine wichtige Entscheidung zur Implementierung von Specops durch eine Erkenntnis aus Branchen-Webinaren ausgelöst wurde, an denen er teilgenommen hatte. Ihn beeindruckte der Satz „Hacker hacken nicht, sie melden sich an“, der die Bedeutung des Schutzes von Anmeldeinformationen vor Sicherheitsverletzungen und geleakten Passwörtern verdeutlichte. „Wir sind ein kleines Team, das 2.700 Benutzer verwaltet“, erklärte Emil. „Specops musste einfach funktionieren.“

Stärkere Passwortrichtlinie + kontinuierliches Scannen

Um ihre neuen Compliance-Ziele zu erreichen, implementierte Sorø Specops mit mehreren wichtigen Sicherheitsmaßnahmen. Die Organisation setzte eine Mindestpasswortlänge von 14 Zeichen durch, mit Plänen, dies zukünftig auf Passphrasen von 15 oder mehr Zeichen zu erhöhen. Sie entwickelten auch ihren Ansatz zur Passwortrotation weiter, indem sie von der Anforderung, Passwörter alle drei Monate zu ändern, zu einer jährlichen Änderung übergingen.

Specops Password Policy blockiert aktiv die Verwendung kompromittierter Passwörter innerhalb der Organisation und bietet so eine entscheidende Verteidigung gegen Angriffe, die auf Anmeldeinformationen basieren. Kontinuierliches Scannen läuft automatisch im Hintergrund und generiert E-Mail-Benachrichtigungen an das IT-Team, wenn kompromittierte Anmeldeinformationen erkannt werden. Tägliche Scans erkennen kontinuierlich neue Schwachstellen, sobald sie auftreten, und bieten so Echtzeitschutz vor neuen Bedrohungen.

Die Lösung kann auch zusammen mit MitID, Dänemarks nationaler Multi-Faktor-Authentifizierungsanwendung, eingesetzt werden, was die Benutzerfreundlichkeit optimiert und gleichzeitig die Sicherheit aufrechterhält. „Specops bietet uns Compliance und Schutz – mit praktisch keinem Verwaltungsaufwand“, fasste Emil zusammen.

Specops bietet uns Compliance und Schutz – mit praktisch keinem Verwaltungsaufwand.

Erhebliche Reduzierung des Gefährdungsgrades

Die Implementierung von Specops hat beeindruckende Ergebnisse über mehrere Metriken hinweg geliefert. Verletzungswarnungen sind auf weniger als eine pro Monat gesunken – eine erhebliche Reduzierung gegenüber ihren früheren Gefährdungsgraden. Die sorgfältige manuelle Handhabung von Anmeldeinformations-Resets führte dazu, dass während der Einführung keine Sperrungen gemeldet wurden, was die Geschäftskontinuität während des gesamten Übergangs sicherstellte.

„Seit der Implementierung von Specops erhalte ich vielleicht eine Verletzungswarnung pro Monat – wenn überhaupt“, bemerkte Emil und hob die deutliche Verbesserung ihrer Sicherheitslage und die Reduzierung des Verwaltungsaufwands für sein kleines Team hervor.
Am wichtigsten für die Einhaltung gesetzlicher Vorschriften ist, dass Sorø eine 100%ige Compliance mit Dänemarks KL-Scan-Anforderung für Sicherheitsverletzungen von 2024 erreichte. Für ein fünfköpfiges IT-Team, das umfassende Infrastrukturaufgaben verwaltet, hat sich diese Kombination aus verbesserter Sicherheit und minimalem Betriebsaufwand als unschätzbar wertvoll erwiesen, um sowohl regulatorische Anforderungen als auch praktische Geschäftsbedürfnisse zu erfüllen. Die Lösung funktioniert als „Einrichten und vergessen“-System, das vom IT-Team höchstens zweimal pro Jahr zur Wartung angemeldet werden muss.

Die Implementierung hat einen nachweislichen Return on Investment durch Risikoreduzierung und nahtlose Einhaltung gesetzlicher Vorschriften gezeigt. „Es ist ein großer Wert: einfach einzurichten, minimaler Aufwand und echter Schutz“, schloss Emil.

Seit der Implementierung von Specops erhalte ich vielleicht eine Verletzungswarnung pro Monat – wenn überhaupt.

Was kommt als Nächstes?

Mit Blick in die Zukunft hat Sorø Dienstkonten als nächste Phase ihres Sicherheitsprojekts identifiziert. Diese Konten haben oft schlecht dokumentierte Passwörter, die von Administratoren festgelegt wurden, und das Ändern dieser Passwörter kann zu Systemausfällen führen, was eine einzigartige Herausforderung darstellt, die sorgfältige Planung und Ausführung erfordert.

Specops-Lösungen eignen sich besonders gut für Organisationen, die mit regulatorischen Vorgaben umgehen müssen, sensible Bürger- oder Forschungsdaten verarbeiten und IT-Teams, die unter Ressourcenknappheit leiden. Wie Emil bemerkt, gehen die Vorteile für die Gemeinde Sorø über die organisatorische Sicherheit hinaus: „Je besser die Passwörter unserer Benutzer sind, desto sicherer sind ihre Arbeit und ihr Privatleben.“