Organisation: The Clatterbridge Cancer NHS Foundation Trust
Land: Vereinigtes Königreich
Branche: Gesundheitswesen
Ziel: Längere und stärkere Passwörter durchsetzen
Ergebnis: Reibungsloser Rollout an über 2.400 Mitarbeitende
Lösung: Specops Password Policy mit Breached Password Protection (BPP)
Nach einem Penetrationstest, der aufdeckte, dass ein erheblicher Teil der Passwörter leicht von Angreifern geknackt werden konnte, wandte sich das IT-Sicherheitsteam des Clatterbridge Cancer Centre an die Specops Password Policy, um stärkere Passwörter durchzusetzen.
Andy Kilbane, Digital Systems Security Specialist am Clatterbridge Cancer Centre, berichtet, dass die standardmäßigen Komplexitätsvorgaben der Microsoft-Domänenrichtlinie beim internen Penetrationstest erhebliche Schwächen zeigten:
„Wir konnten einen sehr hohen Prozentsatz unserer Passwörter in unter drei Sekunden knacken. Damit war klar: Unsere Passwort-Richtlinie war nicht ausreichend. Für die Microsoft-Richtlinie galt ‚Password1‘ bereits als komplex – das war natürlich völlig unzureichend.“
Um das gesamte Ausmaß des Passwortproblems zu erfassen und weitere passwortbezogene Schwachstellen zu minimieren, setzte die Organisation das kostenlose Tool Specops Password Auditor ein. Damit konnten kompromittierte Passwörter ebenso identifiziert werden wie veraltete Konten, Accounts ohne Passwortablauf sowie weitere Risiken. Die Executive Summary-Funktion erleichterte zudem die Kommunikation der Ergebnisse gegenüber dem Vorstand.
Die Entscheidung fiel darauf, längere Passwörter in Kombination mit Passphrasen durchzusetzen – ohne dabei die Benutzerfreundlichkeit für Anwender oder das IT-Team einzuschränken. Andy erläutert: „Wir haben uns auch andere Lösungen angeschaut, aber Specops Password Policy wirkte einfach am unkompliziertesten. Es machte nicht den Eindruck, dass man ständig dahinter sein muss. Einmal eingerichtet, läuft es einfach.“
Für die Endanwender – die bekanntlich oft zurückhaltend auf Veränderungen reagieren – nutzte Andrew die Funktion für längengestützte Passwortalterung, um Nutzer zu belohnen, die längere Passwörter wählen. Diese Funktion verknüpft die Länge des Passworts direkt mit dem Ablaufzeitraum: Je länger das Passwort, desto länger die Gültigkeitsdauer.
Auch die Endanwender-Kommunikation mit dynamischem Live-Feedback wurde eingesetzt, um die Nutzererfahrung zu verbessern.
„Wenn die Nutzer ihr Passwort ändern wollten, zeigte ihnen die Benutzeroberfläche in Echtzeit, welche Anforderungen erfüllt werden müssen“, erklärt Andy. „Das war extrem hilfreich – vor allem dabei, den Mitarbeitenden die Auswahl neuer Passwörter zu erleichtern. Und sobald sie verstanden hatten, dass längere Passwörter oder Passphrasen zu längeren Ablaufzeiten führen, war die Akzeptanz deutlich höher“, ergänzt er.
Wird die Funktion zusammen mit der Specops Breached Password Protection (BPP) eingesetzt, erhält der Endnutzer dynamisches Feedback darüber, welche Richtlinien noch nicht erfüllt wurden – und ob das gewählte Passwort bereits als kompromittiert bekannt ist.
Auf die Frage, ob er Specops Password Policy weiterempfehlen würde, antwortet Andy:
„Die Lösung hat uns definitiv geholfen, unsere Passwort-Schwachstellen zu reduzieren. Der Roll-out verlief reibungslos und der Support war durchweg hervorragend. Dass die Nutzer zwischen klassischem Passwort und Passphrase wählen können – ich wüsste nicht, warum irgendeine Organisation auf diese Flexibilität verzichten sollte.
Es funktioniert einfach. Ohne Probleme. Eine rundum stressfreie Lösung.“
