Mit der Authentifizierung wird der Zugriff einer Person auf ein Gerät oder einen Dienst wie E-Mail, die Konfigurationsseite einer Firewall, ein VPN- oder Webzugriff mittels unserer Web-Clients kontrolliert. Dies kann auf verschiedene Arten durchgeführt werden. Üblich ist die Kombination aus Benutzername und Passwort.

Andere Methoden basieren auf dem Einsatz von Sicherheits-Tokens oder im besten Fall einer Kombination dieser Methoden, genannt Multifaktor-Authentifizierung.

Kombination Anmeldung/Passwort

In der GA-Systemwelt wird die Kombination aus Benutzername und Passwort am häufigsten verwendet.

Die Verwendung von guten Benutzernamen und Passwörtern trägt wesentlich zur IT-Sicherheit bei.

Befolgen Sie die wichtigsten Elemente bei der Erstellung und Verwendung starker und sicherer Passwörter:

  • Ändern Sie sofort bei der erstmaligen Anmeldung im System das Standardpasswort von Siemens in ein starkes Passwort.
  • Verwenden Sie für jedes Projekt ein anderes Passwort.
  • Verwenden Sie unterschiedliche Passwörter für verschiedene Benutzer.
  • Verwenden Sie nur starke Passwörter bestehend aus:
    • Grossbuchstaben
    • Kleinbuchstaben
    • Zahlen
    • Sonderzeichen
  • Ein Passwort muss min. 8 Zeichen für ein Benutzerkonto enthalten und min. 12 für Konten mit erweitertem Zugriff.
  • Ändern Sie die Passwörter regelmässig, z.B. alle 45 Tage.
  • Bewahren Sie das Passwort an einem sicheren Ort auf, der gegen nichtautorisierten Zutritt geschützt ist.
  • Bewahren Sie nie das Passwort an einem ungesicherten Ort, z.B. auf Ihrem Monitor oder Ihrer Tastatur, auf.

Schwaches Passwort

Schwache Passwörter sind:

  • Das Standardpasswort eines Systems ist schwach. Normalerweise ist es dokumentiert und die breite Verfügbarkeit der Produktdokumentation kann nicht verhindert werden.
  • Ein Benutzername mit dem Familiennamen des Benutzers (und z. B. dem ersten Buchstaben des Vornamens) ist schwach. Wenn alle Benutzernamen in einer Firma nach derselben Regel erstellt sind, müssen Sie nur den Namen der Person kennen und können den Benutzernamen ableiten.
  • Triviale Passwörter wie 123456, Katzen, Passwort oder der Benutzername sind weit verbreitet. Dasselbe gilt für kurze Passwörter mit z.B. 4 Zeichen und allgemein gebräuchliche Wörter.
  • Einfache Passwörter wie der Geburtstag einer Person, der Name des Ehepartners und ähnliche sind einfach zu finden. Soziale Medien, Social-Engineering und andere Methoden liefern solche Informationen sehr schnell.
  • Einfache Muster auf der Tastatur sowie die ersten Zeichen von bekannten Sprüchen oder Redensarten sind nicht mehr sicher.
  • Die Verwendung langer Passwörter mit trivialen Teilen wie mein-Name_12345 ermöglichen es Hackern, die Passwörter innerhalb weniger Minuten mit durch Wörterbücher unterstützten Brute-Force-Angriffen zu knacken.
  • Andere einfach zu findende Passwörter wie mein-Name_Standortname oder Standortname_Kundenname sind noch gefährlicher. Ist der Zugang zu einem Standort einmal gehackt, können andere mit minimalem Aufwand angegriffen werden.

In der Vergangenheit basierten Angriffe von ausserhalb der Firma hauptsächlich auf dem Ausnutzen von schwachen Passwörtern. Interne Angriffe nutzten manchmal zusätzlich Social-Engineering.

Strenge Anmeldungen und Passwörter

Ein Passwort muss zufällig gewählt sein, d.h. nicht von etwas abgeleitet sein, woran man sich einfach erinnern kann, und eine Gruppe von Passwörtern wie Passwörter für alle Projekte darf nicht einfach zu erraten sein oder einer einfachen Erstellungsmethode folgen.

Ein Passwort sollte eine gute Mischung aus Gross- und Kleinbuchstaben, Ziffern sowie Sonderzeichen aufweisen.

Es sollte die maximale Länge haben, welche vom entsprechenden Gerät oder der Applikation unterstützt wird

Ein Passwort muss von Zeit zu Zeit geändert werden und darf nie im Klartext oder mit schwacher Verschlüsselung auf einem Gerät gespeichert sein, auf welches ein Dritter zugreifen kann.

Passwörter dürfen nicht wiederverwendet werden, z. B. von einem Projekt ins andere oder von einem privaten E-Mail-Konto zu Projekten. Heutzutage verwenden Hacker Passwörter von einem kompromittierten Konto für Anmeldeversuche an vielen anderen Stellen.

Da es schwierig ist, sich an starke Passwörter zu erinnern, sind andere Methoden gefordert.

Password-Safe verwenden

Eine mögliche Lösung ist, die Passwörter mittels einer Password-Safe-Software in einem verschlüsselten Container zu speichern. Der Inhalt sollte mit einem starken Passwort oder über Sicherheits-Token geschützt sein (z. B. Mitarbeiter-ID-Karte mit Sicherheitschip). Ein gutes Beispiel für ein Passwortspeicherprogramm ist KeePass.

Siehe http://keepass.info/index.html.

KeePass ist Open-Source, gratis und nach heutigem Erkenntnisstand ohne bekannte Hintertüren oder Schwächen. Es bietet auch die Funktion, starke Passwörter zu generieren. Es ist für die Installation auf PCs und als portable Applikation wie z.B. auf einem Flash-Drive sowie für populäre Mobilbetriebssysteme wie Apple iOS (MiniKeePass) oder Android verfügbar.

Diese Methode ermöglicht das Speichern aller Passwörter in einer Datei, womit man sich nur an ein einziges, starkes Passwort erinnern muss. Ist ein KeePass-Passwort wirklich stark (22+ Zeichen und alle oben genannten Kriterien), kann sogar die KeePass-Datei (KDBX) mit normaler E-Mail an eine Gruppe von Personen gesendet werden, welche die gespeicherten Passwörter auch kennen müssen.

Passwort-Karte

Eine Methode, sich an starke Passwörter zu erinnern, ist der Einsatz einer Passwort-Karte, welche über das Internet heruntergeladen http://www.passwordcard.org/en oder selbst erstellt werden kann. Das folgende Bild zeigt eine solche Passwort-Karte.

Passwortkarte

Kopien solcher Passwort-Karten können ohne Einschränkung verteilt werden. Es muss jedoch sichergestellt werden, dass nicht alle Kopien verloren gehen.

Die Karten werden verwendet, indem ein leicht zu merkendes Muster definiert wird, welches aber nicht zu einfach sein darf, z.B. kein Quadrat oder Rechteck. Gut ist z.B. ein Muster mit mindestens ein paar Richtungsänderungen und vorzugsweise einem Sprung. Beim virtuellen Ziehen einer Linie über dem Muster, entsteht das zufällige Haupt-Passwort für den Password-Safe durch Aneinanderreihen aller überfahrenen Zeichen. Das Haupt-Password sollte mindestens 22 Zeichen lang sein.

Umgang mit gemeinsamen Passwörtern

Der Umgang mit gemeinsamen Passwörtern in einer Organisation ist komplizierter. Typischerweise hat eine Organisation mehrere Personen und Gruppen, die für bestimmte Regionen oder Kundengruppen zuständig sind. Ein möglicher Weg für den effizienten Umgang mit der Passwort-Thematik ist:

Jedes Mitglied der Organisation verwendet die Password-Safe-Software auf den eigenen Geräten (PCs, Smartphones, Tablets…).

Jedes Mitglied verwendet dieselbe Passwortkarte. Ermutigen Sie die Mitglieder, mehrere Kopien an verschiedenen Orten aufzubewahren, um die Auswirkung einer verlorenen Karte auf das Geschäft zu minimieren.

Basierend auf der Arbeitsaufteilung in der Organisation ist zu definieren, wieviele Gruppen mit eigenem Passwortsatz, d.h. alle von der jeweiligen Gruppe benötigten Passwörter, notwendig sind. Wird ein Gruppenpasswort ausserhalb der Organisation bekannt, z.B. wenn ein Mitarbeiter die Firma im Streit verlässt, müssen die Passwörter an allen Kundenstandorten gewechselt werden, sodass Gruppen weder zu gross noch zu klein definiert werden sollten.

Richten Sie eine Passwortdatei pro Gruppe ein und geben Sie deren Passwortsatz ein. So kann z. B. in KeePass eine übersichtliche Hierarchie zur effizienten Informationsabfrage nach Kunde/Standort/Typ erstellt werden.

Es wird pro Passwortdatei ein Haupt-Passwort mittels der Passwortkarte definiert.

Die Passwortdatei wird mit normaler E-Mail verteilt und die betroffenen Personen persönlich über das zu dieser Passwortdatei gehörende Passwortmuster informiert.

Ändern sich die Projektpasswörter oder werden neue hinzugefügt, kann die Passwortdatei ergänzt und neu verteilt werden.

Branch-Office KeePass-Datei

Zum Schutz gegen einen Angriff müssen allen Geräte und Applikation inklusive nicht offensichtliche Einrichtungen, gut geschützt werden. Ihr System ist nur so stark wie das schwächste Glied.

Bietet ein Gerät oder Programm die Authentifizierung "pro Benutzer" anstelle von "pro Rolle", umgehen Sie diese zusätzliche Sicherheitsmassnahme nicht, indem Sie dasselbe Benutzerkonto mehr als einer Person zuweisen.

Auch das sicherste Passwort ist nutzlos, wenn sich der Benutzer am Ende der Sitzung nicht ordnungsgemäss von der Applikation abmeldet. Eine aktive Sitzung kann so lange missbraucht werden, bis das jeweilige System eine Abmeldung aufgrund von Inaktivität durchführt. Nehmen Sie an, dass Benutzer mit eingeschränkten IT-Kenntnissen dies möglicherweise nicht wissen, und geben Sie den Benutzern entsprechende Anweisungen.